Page Web archivée - GD-310 : Document d'orientation sur les analyses de la sûreté pour les centrales nucléaires

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Archivée

Cette page Web a été archivée dans le Web.

Préface

Le document d’orientation GD-310, Document d’orientation sur les analyses de la sûreté pour les centrales nucléaires, explique comment respecter les exigences établies dans le document d’application de la réglementation RD-310, Analyses de la sûreté pour les centrales nucléaires.

Dans la mesure du possible, les directives fournies dans le présent document sont neutres sur le plan technologique pour ce qui est des réacteurs refroidis à l’eau. Le présent document contient les critères pour s’assurer que les rapports d’analyse de sûreté déterministe démontrent clairement la sûreté de la centrale nucléaire. Il fournit de l’information sur la préparation et la présentation des rapports d’analyse de sûreté, y compris la sélection des événements à analyser, les critères d’acceptation, les méthodes d’analyse, ainsi que la documentation, la revue et la mise à jour de l’analyse de la sûreté.

Le présent document fournit des directives au sujet d’une méthode axée sur les risques pour la catégorisation des accidents. Cette méthode tient compte de tout un éventail d’événements possibles et notamment les événements ayant le plus de retombées pour le public.

Les principes et éléments clés utilisés dans l’élaboration du présent guide d’orientation et du document connexe d’application de la réglementation sont conformes aux normes nationales et internationales.

Aucune information contenue dans le présent guide ne doit être interprétée comme libérant le titulaire de permis de ses obligations. Il incombe au titulaire de permis de recenser l’ensemble des règlements et des conditions de permis applicables, et de s’y conformer.

Table des matières

1.0 Objet

Le présent document d’orientation clarifie les exigences réglementaires du document d’application de la réglementation RD-310, Analyses de la sûreté pour les centrales nucléaires. Il fournit l’information nécessaire pour assurer que les analyses déterministes de sûreté pertinentes sont effectuées pour démontrer la sûreté de l’installation nucléaire. Cette information facilite la réalisation, l’examen et l’approbation des analyses déterministes de sûreté.

2.0 Portée

Le présent document porte sur l’analyse déterministe de sûreté et fournit de l’information sur la préparation et la présentation des rapports qui y sont reliés, y compris la sélection des événements à analyser, les critères d’acceptation, les méthodes d’analyse, ainsi que la documentation, la revue et la mise à jour de l’analyse de sûreté.

L’étude probabiliste de sûreté est, quant à elle, traitée dans le document S-294, Études probabilistes de sûreté (EPS) pour les centrales nucléaires.

Les exigences et directives réglementaires liées à la manutention sûre des matières fissiles à l’extérieur du cœur du réacteur sont décrites dans le document RD-327, Sûreté en matière de criticité nucléaire, et le document GD-327, Directives de sûreté en matière de criticité nucléaire.

3.0 Législation pertinente

Les articles pertinents de la Loi sur la sûreté et la réglementation nucléaires (LSRN) et des règlements connexes qui s’appliquent au présent document d’orientation sont les suivants :

• Le paragraphe 24(4) de la LSRN, selon lequel la Commission ne peut délivrer, renouveler ou modifier un permis que si le titulaire de permis ou le demandeur : « (a) est compétent pour exercer les activités visées par la licence ou le permis; (b) prendra, dans le cadre de ces activités, les mesures voulues pour préserver la santé et la sécurité des personnes, pour protéger l’environnement, pour maintenir la sécurité nationale et pour respecter les obligations internationales que le Canada a assumées »
• Le paragraphe 24(5) de la LSRN, qui autorise la Commission à assortir un permis des conditions qu’elle estime nécessaires à l’application de ladite loi
• L’alinéa 3(1)(i) du Règlement général sur la sûreté et la réglementation nucléaires, selon lequel la demande de permis doit comprendre, en plus de tout autre renseignement, « une description et les résultats des épreuves, analyses ou calculs effectués pour corroborer les renseignements compris dans la demande »
• L’alinéa 5(f) du Règlement sur les installations nucléaires de catégorie I, selon lequel la demande de permis pour construire une installation nucléaire de catégorie I doit comprendre, en plus de tout autre renseignement, « un rapport préliminaire d’analyse de la sûreté démontrant que la conception de l’installation nucléaire est adéquate »
• L’alinéa 5(i) du Règlement sur les installations nucléaires de catégorie I, selon lequel la demande de permis pour construire une installation nucléaire de catégorie I doit comprendre, en plus de tout autre renseignement, « les effets sur l’environnement ainsi que sur la santé et la sécurité des personnes que peuvent avoir la construction, l’exploitation et le déclassement de l’installation nucléaire [...] »
• L’alinéa 6(c) du Règlement sur les installations nucléaires de catégorie I, selon lequel la demande de permis pour exploiter une installation nucléaire de catégorie I doit comprendre, en plus de tout autre renseignement, « un rapport final d’analyse de la sûreté démontrant que la conception de l’installation nucléaire est adéquate »
• L’alinéa 6(h) du Règlement sur les installations nucléaires de catégorie I, selon lequel la demande de permis pour exploiter une installation nucléaire de catégorie I doit comprendre, en plus de tout autre renseignement, « les effets sur l’environnement ainsi que sur la santé et la sécurité des personnes que peuvent avoir l’exploitation et le déclassement de l’installation nucléaire [...] »
• L’alinéa 7(f) du Règlement sur les installations nucléaires de catégorie I, selon lequel la demande de permis pour déclasser une installation nucléaire de catégorie I doit comprendre, en plus de tout autre renseignement, « les effets que les travaux de déclassement peuvent avoir sur l’environnement ainsi que sur la santé et la sécurité des personnes [...] »

4.0 Rôles et objectifs de l’analyse de sûreté

Les évaluations de la sûreté sont des processus systématiques qui permettent de vérifier que les exigences de sûreté applicables sont respectées dans toutes les phases du cycle de vie d’une centrale nucléaire. Ces évaluations sont exécutées pour divers aspects de la sûreté, de la sécurité et des garanties comme les pratiques de gestion, l’assurance de la qualité, le rendement humain, la culture de sûreté, la formation, la justesse de la conception, l’analyse de sûreté, l’adaptation de l’équipement au service, le plan d’intervention en cas d’urgence, la protection environnementale et la radioprotection.

Une évaluation de la sûreté comprend une analyse de sûreté, soit une étude quantitative analytique menée principalement pour démontrer la sûreté d’une centrale nucléaire et la justesse de sa conception et de son rendement. L’analyse déterministe de sûreté, l’étude probabiliste de la sûreté (EPS) et l’analyse des risques sont trois types d’analyse de sûreté.

L’EPS tient compte de la probabilité et des conséquences de divers transitoires et accidents de la centrale. Les principaux objectifs de l’EPS visent à :

• déterminer les séquences d’événements qui risquent de compromettre les fonctions de sûreté fondamentales, la perte d’intégrité des structures essentielles, le rejet de radionucléides dans l’environnement et les effets sur la santé du public, ainsi que les probabilités qui y sont reliées
• définir une conception de centrale nucléaire bien équilibrée
• évaluer les conséquences des modifications apportées aux procédures ou aux composants sur la probabilité de dommages au cœur du réacteur

Pour les nouvelles centrales, les EPS aident à déterminer l’importance des caractéristiques de conception complémentaires proposées dans le cas d’accidents graves ou les mesures que les opérateurs peuvent prendre lors des accidents graves pour réduire le risque. Les exigences pour les études probabilistes de la sûreté des centrales nucléaires sont présentées dans la norme d’application de la réglementation S-294, Études probabilistes de la sûreté (EPS) pour les centrales nucléaires. Les EPS complètent les études déterministes de la sûreté.

Une analyse des risques (comme l’évaluation des risques d’incendie ou l’évaluation de la marge sismique) démontrera la capacité de la conception à répondre efficacement aux événements de cause commune prévisibles. Cette analyse a pour but de confirmer que la conception des centrales nucléaires intègre une diversité et une séparation physique suffisantes pour faire face aux événements de cause commune. Elle confirme également que les structures, systèmes et composants (SSC) validés sont qualifiés pour survivre et fonctionner le cas échéant lors des événements de cause commune prévisibles.

Le présent document porte sur l’analyse déterministe de sûreté et ne traite pas de l’EPS et de l’analyse des risques.

4.1 Rôles de l’analyse déterministe de sûreté

L’analyse déterministe de sûreté confirme que la conception répond aux exigences de l’analyse de sûreté du document RD-310 et aux critères d’acceptation des doses. Elle aide également à démontrer que les objectifs de sûreté sont atteints, que la conception reflète la défense en profondeur efficace et que la conception et l’exploitation de la centrale sont acceptables et robustes.

L’analyse déterministe de sûreté sert à évaluer le comportement d’une centrale à la suite d’une défaillance hypothétique de l’équipement, d’un événement interne ou externe ou d’une erreur de l’opérateur. En ce qui concerne l’événement analysé, l’analyse déterministe de sûreté permet de prévoir et de quantifier les menaces à l’intégrité des barrières physiques et le rendement des systèmes de la centrale (particulièrement les systèmes de sûreté) afin de prévoir les défaillances des composants et les rejets de matières radioactives.

Les méthodes d’analyse déterministe de sûreté peuvent s’appliquer à un large éventail de modes d’exploitation et d’événements touchant la centrale (y compris au cours de l’exploitation normale et d’une défaillance de l’équipement), d’erreurs des opérateurs et de difficultés résultant d’événements comme les incendies ou les tremblements de terre.

4.2 Objectifs de l’analyse déterministe de sûreté

Les analyses déterministes de la sûreté doivent satisfaire aux exigences du document RD-310, Analyses de la sûreté pour les centrales nucléaires. Les objectifs de l’analyse déterministe de sûreté sont de :

1. Confirmer que la conception de la centrale respecte les exigences en matière de conception et de sûreté en :
   1. démontrant que la centrale, telle qu’elle est construite, peut être exploitée en toute sécurité, tout en tenant compte des effets du vieillissement
   2. démontrant que la conception peut résister aux événements initiateurs hypothétiques (EIH) identifiés et y répondre efficacement
   3. démontrant que les attentes applicables pour la défense en profondeur établies dans le document RD-337, Conception des nouvelles centrales nucléaires sont satisfaites
   4. prévoyant des conditions environnementales difficiles dues aux incidents de fonctionnement prévus (IFP), aux accidents de dimensionnement (AD) et aux accidents hors dimensionnement (AHD)
2. Calculer ou confirmer les conditions et limites opérationnelles qui sont conformes aux exigences relatives à la conception et à la sûreté de la centrale nucléaire (la norme CSA N290.15-10, Exigences relatives à l’enveloppe d’exploitation sûre des centrales nucléaires donne des directives additionnelles), notamment :
   1. les limites de sûreté pour la protection et le contrôle du réacteur
   2. les limites de sûreté pour les systèmes de sûreté techniques
   3. les limites d’exploitation et les réglages de référence pour les systèmes de contrôle
   4. les contraintes dues aux procédures pour le contrôle opérationnel des procédés
   5. la détermination des configurations d’exploitation admissibles
3. Aider à établir et à valider les procédures de gestion des accidents et les lignes directrices en la matière
4. Aider à démontrer que les objectifs en matière de sûreté, qui peuvent être établis pour limiter les risques posés par la centrale nucléaire, sont atteints

Les analyses déterministes de sûreté sont également effectuées pour :

• aider à confirmer ou à valider les stratégies retenues pour récupérer la centrale en cas d’IFP ou d’AD
• aider à mettre au point une stratégie que suivra l’opérateur dans le cas où les mesures d’intervention automatiques et les procédures d’exploitation d’urgence ne parviennent pas à empêcher un accident grave
• confirmer que les modifications apportées à la conception et à l’exploitation de la centrale n’ont aucun effet néfaste important sur le plan de la sûreté

4.3 Rôles de l’analyse déterministe de sûreté dans la confirmation de la défense en profondeur

Il faut confirmer l’application du concept de défense en profondeur à la conception d’une centrale nucléaire, de sorte que la conception fournira diverses couches de mesures qui se recoupent, afin que toute défaillance soit contrôlée ou corrigée sans nuire aux personnes ou au public. Les analyses déterministes de sûreté jouent un rôle important dans cette confirmation.

Le document RD-337, Conception des nouvelles centrales nucléaires définit cinq niveaux de défense en profondeur. L’analyse déterministe de sûreté s’applique à ces niveaux comme suit :

Niveau 1 – l’objectif étant de prévenir des fonctionnements anormaux et des défaillances des SSC

Niveau 2 – l’objectif étant de détecter et de réagir aux écarts par rapport aux états d’exploitation normaux afin d’empêcher les IFP de dégénérer en conditions accidentelles, et à remettre la centrale à son état d’exploitation normale

Pour appuyer le deuxième niveau de défense en profondeur, les IFP sont analysés pour démontrer la robustesse des systèmes de contrôle en arrêtant la plupart des IFP et en prévenant les dommages aux SSC qui ne participent pas à la mise en œuvre d’un IFP, dans la mesure où ces SSC demeureront exploitables à la suite d’un IFP.

Niveau 3 – l’objectif étant de minimiser les conséquences des accidents

Pour appuyer le troisième niveau de défense en profondeur, les IFP et les AD sont analysés pour démontrer les capacités des systèmes de sûreté à atténuer toute conséquence radiologique qui en résulte; c.-à-d. pour démontrer qu’on atteint les limites de dose prescrites pour les IFP et les AD, et les critères d’acceptation dérivés connexes pour protéger les barrières du rejet de produits de fission.

Les IFP et AD sont également analysés pour contribuer à l’élaboration des procédures d’exploitation d’urgence qui déterminent quelles mesures il faudrait prendre au cours de ces événements.

Niveau 4 – l’objectif étant de s’assurer que le rejet de matières radioactives causé par des accidents graves demeure au niveau le plus bas qu’il soit possible d’atteindre

Niveau 5 – l’objectif étant d’atténuer les conséquences radiologiques de tout rejet possible de matières radioactives pouvant résulter d’accidents

Pour appuyer les quatrième et cinquième niveaux de défense en profondeur, on procède à l’analyse des AHD. Cette analyse aide à comprendre le rendement des dispositifs de conception complémentaires dans le cas d’accidents graves ou les mesures que les opérateurs devraient prendre en cas d’accidents graves afin d’en atténuer les conséquences.

5.0 Exigences de l’analyse de sûreté

5.1 Responsabilités

Il incombe au demandeur ou au titulaire de permis de s’assurer que l’analyse déterministe de sûreté répond aux exigences du document RD-310. Le titulaire de permis ou le demandeur doit :

• conserver sa capacité de réaliser ou d’obtenir une analyse de sûreté afin de :
  1. résoudre les problèmes techniques qui surviennent tout au long de la durée de vie de la centrale
  2. s’assurer que les exigences pertinentes sont respectées à l’égard de l’analyse de sûreté élaborée par l’organisation exploitante ou obtenue d’une tierce partie
• établir un processus pour vérifier que l’analyse de sûreté tient compte :
  1. de la configuration actuelle de la centrale
  2. des limites et conditions d’exploitation actuelles
  3. de l’expérience acquise en matière d’exploitation, y compris celle tirée de l’exploitation d’installations similaires
  4. des résultats disponibles provenant de la recherche expérimentale, des connaissances théoriques améliorées ou des nouvelles capacités de modélisation afin d’évaluer les impacts possibles sur les résultats des analyses de sûreté
• déterminer les normes d’assurance de la qualité, et établir et appliquer des procédés détaillés pour exécuter, obtenir, conserver, passer en revue, mettre à jour et documenter l’analyse de sûreté

5.2 Événements à analyser

5.2.1 Identification des événements

L’analyse de sûreté porte sur un ensemble d’événements qui risqueraient de compromettre les fonctions de sûreté ou de contrôle de la centrale nucléaire. Sont compris les événements causés par les défaillances des SSC ou par les erreurs commisses par l’opérateur, ainsi que les événements d’origine humaine ou de cause commune.

L’analyse de sûreté pourrait viser les simples EIH, les séquences de plusieurs événements indirects ou les combinaisons d’événements indépendants.

L’ensemble d’événements à examiner dans l’analyse de sûreté est déterminé à l’aide d’un processus systématique qui tient compte :

• des examens de la conception de la centrale réalisés en utilisant des méthodes comme des analyses de l’exploitabilité et des risques, des analyses des modes de défaillance et de leurs effets ainsi que des schémas logiques maîtres
• des listes d’événements élaborées pour l’analyse de sûreté d’autres centrales nucléaires
• de l’analyse des données liées à l’expérience d’exploitation de centrales semblables
• de tout événement devant faire partie de l’analyse de sûreté, selon ce que prescrivent les exigences réglementaires
• des défaillances de l’équipement, des erreurs humaines et des événements de cause commune décelés itérativement au moyen de l’EPS

La liste des événements recensés doit être examinée itérativement aux fins d’exactitude et d’exhaustivité à mesure que se déroulent les analyses de conception et de sûreté de la centrale. Les examens doivent également être réalisés de façon périodique tout au long du cycle de vie de la centrale nucléaire pour tenir compte des nouveaux renseignements et des nouvelles exigences.

Lors de la détermination des événements, il faut prendre en compte tous les modes d’exploitation de la centrale admissibles et analyser tous les modes d’exploitation utilisés pour des périodes plus longues. Les modes transitoires ou brefs peuvent être examinés sans analyse particulière dans la mesure où il peut être démontré que les analyses de sûreté existantes lient le comportement et les conséquences de ces états.

Les modes d’exploitation d’une centrale nucléaire comprennent ce qui suit, sans s’y restreindre :

1. l’approche initiale de la criticité du réacteur
2. le démarrage du réacteur, de l’état d’arrêt à la pleine puissance en passant par l’approche à la criticité
3. l’exploitation au niveau de puissance à l’équilibre, y compris en pleine puissance et à basse puissance
4. les changements de puissance du réacteur, y compris en mode turbine prioritaire, le cas échéant
5. l’arrêt du réacteur lorsqu’en puissance
6. l’arrêt en mode d’arrêt chaud
7. l’arrêt en mode d’arrêt froid
8. l’arrêt en mode de rechargement du combustible ou en mode d’entretien qui ouvre les fermetures principales dans l’enveloppe de pression du caloporteur
9. l’arrêt dans d’autres modes ou configurations de la centrale avec des conditions uniques de température, de pression ou de charge de caloporteur
10. l’exploitation d’une durée limitée, certains systèmes de sûreté n’étant pas disponibles

Dans le cas des événements identifiés par le processus systématique utilisé à cette fin, il faut tenir compte d’un éventail complet de configurations et de modes d’exploitation de l’équipement lors de la réalisation de l’analyse déterministe de sûreté.

Les modifications importantes apportées à la centrale, comme la remise en état, la fermeture temporaire ou le déclassement, peuvent produire des configurations spéciales de la centrale. Ces configurations doivent être prises en compte, et les événements possibles doivent être identifiés et intégrés à l’analyse déterministe de sûreté.

5.2.2 Portée des événements

La liste des événements élaborée pour l’analyse déterministe de sûreté comprend : l’exploitation normale et tous les événements enclenchés par des défaillances ou mauvais fonctionnements des SSC plausibles de la centrale; les erreurs de l’opérateur; et les événements de cause commune d’origine interne ou externe.

5.2.2.1 Exploitation normale

Au cours de la phase de conception, l’exploitation normale de la centrale est analysée en tant que classe distincte d’événements. Cela permet d’évaluer les sources de rayonnement ou les rejets de matières radioactives dans divers modes d’exploitation ou de transition entre les modes.

Dans le cas d’une centrale existante, il peut être nécessaire de réaliser une analyse de sûreté lors de l’exploitation normale si un nouveau mode opérationnel est envisagé ou si des modifications importantes sont apportées à la conception.

5.2.2.2 Défaillances ou mauvais fonctionnements des structures, systèmes et composants

Les défaillances d’équipement comprennent le défaut de fonctionner lorsque nécessaire, le fonctionnement défectueux et les défaillances partielles. Les événements à prendre en compte comprennent :

• les défaillances ou mauvais fonctionnements des systèmes actifs comme les pompes, les vannes, les systèmes de contrôle ou l’alimentation électrique
• les défaillances des systèmes passifs comme des brèches dans les enveloppes sous pression du réacteur, y compris les tuyaux et les disques de rupture

5.2.2.3 Erreurs commises par les opérateurs

En tant qu’événements initiateurs, les erreurs commises par l’opérateur produisent normalement les mêmes résultats que les événements causés par une défaillance de l’équipement, mais il n’est pas nécessaire de les considérer séparément. Toutefois, si une erreur particulière de l’opérateur entraîne un événement initiateur unique, il faut l’inclure dans la liste des EIH aux fins de l’analyse déterministe de sûreté.

5.2.2.4 Événements de cause commune plausibles, d’origine interne ou externe

Les événements de cause commune sont des défaillances de plusieurs composants qui peuvent être enclenchées par des événements internes ou externes d’origine humaine ou naturelle.

Les événements de cause commune internes comprennent les incendies, les inondations d’origine interne, les explosions et les défaillances d’équipement (comme la rupture des turbines) qui peuvent produire des missiles.

Les événements externes se produisant naturellement (déclencheurs pour les défaillances de l’équipement de la centrale) pris en considération dans l’analyse déterministe de sûreté comprennent :

• les tremblements de terre
• les incendies externes
• les inondations se produisant à l’extérieur du site
• les risques biologiques (par exemple les moules ou les algues marines ayant une incidence sur le débit ou la température de l’eau)
• les conditions météorologiques extrêmes (température, précipitations, vents forts)

Les événements initiateurs externes peuvent causer un événement interne. Par exemple, un tremblement de terre peut entraîner la défaillance de l’équipement de la centrale ou une panne de courant hors site.

Les événements externes d’origine humaine examinés dans l’analyse déterministe de sûreté comprennent :

• les impacts d’aéronef ou de missile
• les explosions survenant dans les installations industrielles situées à proximité ou dans les systèmes de transport
• le rejet de produits chimiques toxiques ou corrosifs provenant d’installations industrielles situées à proximité ou de systèmes de transport
• les interférences électromagnétiques

5.2.2.5 Combinaison d’événements

Il faut tenir compte des combinaisons d’événements qui peuvent se produire simultanément ou en séquence lors de la remise de la centrale à l’état stable.

Les types de combinaisons comprennent :

• les défaillances indépendantes multiples dans l’équipement de sûreté
• la défaillance d’un système de procédé et d’un système de sûreté
• les défaillances du système de procédé multiple
• les défaillances de l’équipement et les erreurs de l’opérateur
• les événements de cause commune et les erreurs de l’opérateur

Les exemples de combinaisons d’événements comprennent :

• la perte de caloporteur avec panne d’électricité ultérieure de la centrale
• la perte de caloporteur avec perte de refroidissement de l’enceinte
• les petits accidents de perte de réfrigérant primaire (APRP) avec défaillance due à une baisse de pression primaire ou secondaire
• la brèche de la conduite de vapeur principale avec impossibilité pour l’opérateur d’enclencher un système de refroidissement d’appoint

5.2.2.6 Regroupement d’événements

Les directives mentionnées ci-dessus permettront de déceler de nombreux événements, mais il peut ne pas être pratique ni nécessaire d’analyser tous ces événements. Les événements identifiés pourraient être groupés en catégories en fonction de la similitude des défaillances d’enclenchement, des phénomènes essentiels ou des interventions du système et de l’opérateur. Les exemples de catégories d’événement comprennent la diminution de la charge du liquide de refroidissement du réacteur, les anomalies de réactivité et de puissance, et l’augmentation de l’évacuation de la chaleur. Comme les réactions de la centrale à un événement dépendent de la conception et de la disponibilité des systèmes de la centrale, la classification la plus appropriée des événements peut varier.

Dans l’analyse de sûreté des IFP et des AD pour la défense en profondeur de niveau 3, il faut déterminer les événements limitatifs pour chaque critère d’acceptation applicable dans chaque catégorie d’événements. Dans certains cas, un scénario d’accident dans la même catégorie d’événements peut se révéler plus grave dans le contexte d’un critère d’acceptation donné (par exemple la limite de pression du confinement) et un autre scénario peut être plus grave dans le contexte d’un critère d’acceptation différent (par exemple les doses au public). Tous ces scénarios doivent être examinés dans le processus d’analyse de sûreté comme événements limitatifs pour divers critères d’acceptation.

5.2.2.7 Subdivision des événements

Un événement peut être divisé en sous-événements aux fins de prise en compte dans l’analyse de sûreté, lorsque les événements subdivisés présentent des différences importantes sur le plan :

• des phénomènes se produisant à la centrale en réponse aux événements
• des difficultés liées à la sûreté et aux systèmes de sûreté
• des fréquences

Par exemple, il est de pratique courante de traiter un APRP mineur différemment d’un APRP majeur.

Il ne faut pas subdiviser un événement dans le but explicite de reclasser un des sous-événements qui résulte de l’exercice de la subdivision d’un IFP à un AD, ou d’un AD à un AHD.

5.2.2.8 Fréquence de coupure

Lorsqu’on commence à identifier les événements, il faut inclure ceux à basse fréquence et à conséquences mineures. Lorsqu’on définit la portée des événements à analyser, l’analyse déterministe de sûreté doit choisir la même fréquence de coupure que celle utilisée dans l’analyse probabiliste de la même installation. Cette fréquence est choisie de façon à pouvoir intégrer l’analyse déterministe à l’analyse probabiliste.

Certains événements peuvent être exclus de l’étude détaillée (par exemple parce qu’ils contribuent peu au dépassement des objectifs de sûreté ou parce qu’ils sont limités par un événement analysé). Une telle exclusion doit être pleinement justifiée et les raisons doivent être bien documentées.

5.2.3 Classification des événements

Les événements sont classés parce que chaque état de la centrale comporte des exigences d’analyse de sûreté et des critères d’acceptation différents. Les exigences de l’analyse de sûreté indiquent le niveau de protection conformément au principe de défense en profondeur. Les états normaux de la centrale et les conditions accidentelles sont pris en compte dans l’analyse de sûreté. La classification des événements accidentels est la suivante :

• incidents de fonctionnement prévu – événements plus complexes que les manœuvres d’exploitation normale, qui risquent de compromettre la sûreté du réacteur et qui pourraient raisonnablement survenir au cours de la durée de vie de la centrale, selon des fréquences égales ou supérieures à 10^-2 par année de réacteur
• accidents de dimensionnement – événements qui ne sont pas sensés se produire au cours de la durée de vie de la centrale mais qui, conformément au principe de défense en profondeur, sont pris en compte dans la conception de la centrale nucléaire (dont les fréquences sont généralement égales ou supérieures à 10^-5 par année de réacteur, mais moins de 10^-2 par année de réacteur; toutefois, certains groupes d’événements ayant une fréquence inférieure peuvent être également compris dans la conception de la centrale de référence)
• accidents hors dimensionnement – événements peu probables (fréquence inférieure à 10^-5 par année de réacteur) plus graves que les AD, qui – en raison de défaillances multiples ou d’erreurs de l’opérateur – peuvent empêcher les systèmes de sûreté de remplir leurs fonctions de sûreté et ainsi causer des dommages importants au cœur du réacteur, compromettre l’intégrité de la barrière de confinement et occasionner le rejet de matières radioactives par la centrale

Même si l’évaluation de la fréquence sert de base à la classification des événements, on reconnaît qu’une telle évaluation peut comporter une grande incertitude. Par conséquent, un événement dont la fréquence prévue se situe à la valeur seuil de deux classes d’événements, ou présente une grande incertitude, est classé dans une catégorie de fréquence supérieure.

D’autres facteurs peuvent influer sur le choix de certains événements à retenir aux fins de classification. Afin de comprendre la notion de marges de sûreté ou de robustesse de la conception, l’autorité de réglementation peut demander que certains événements soient analysés comme des événements de dimensionnement. Les pratiques et l’expérience passées peuvent indiquer que certains scénarios sont plus critiques et doivent être analysés comme des AD.

Certains modes d’exploitation de la centrale ne peuvent être utilisés que pendant de courtes périodes. Normalement, les événements sont classés sans tenir compte de la fréquence de ces modes, mais celle-ci pourra être envisagée au cas par cas.

L’annexe A renferme des exemples d’événements de différentes classes fondés sur l’expérience du CANDU. Ces exemples illustrent les résultats pouvant découler du processus d’identification et de classification des événements décrit dans la sous-section 5.2. Cette liste n’est donnée qu’à titre de démonstration et n’a pas pour but d’être exhaustive. En pratique, une telle liste est normalement établie par des méthodes probabilistes. La liste fera état de regroupement d’événements (voir la sous-section 5.2.2.6). Seuls les événements représentatifs ou limitatifs de chaque groupe d’événements devraient être analysés.

5.2.3.1 Incidents de fonctionnement prévus

La conception de la centrale est censée être suffisamment robuste pour que la plupart des IFP ne nécessitent pas l’enclenchement des systèmes de sûreté pour prévenir des dommages indirects aux SSC de la centrale. Cela fait partie d’une défense en profondeur de niveau 2 et contribue à s’assurer que les événements nécessitant l’utilisation des systèmes de sûreté sont réduits au minimum. Les systèmes de contrôle de la centrale sont prévus pour compenser les effets attribuables à l’événement et pour maintenir la centrale dans un état stable pendant une durée suffisante pour qu’un opérateur intervienne. L’intervention de l’opérateur peut comprendre, le cas échéant, l’activation des systèmes de sûreté et l’arrêt de la centrale selon les procédures établies. Après examen de l’événement initiateur, il devrait être possible de relancer les activités de la centrale.

Dans le cas de la défense en profondeur de niveau 3, en plus de répondre aux attentes susmentionnées pour la défense en profondeur de niveau 2, la conception doit également démontrer avec un niveau de confiance élevé que les systèmes de sûreté peuvent atténuer tous les IFP sans l’intervention des systèmes de contrôle de la centrale.

Des exemples d’IFP sont illustrés au tableau 1, qui donne des exemples pour un réacteur CANDU et un réacteur à eau légère (REL). La liste qui suit n’est pas exhaustive. Une liste complète dépendrait du type de réacteur et de la conception des systèmes de la centrale.

Tableau 1 : Exemples d’incidents de fonctionnement prévus

Catégorie d’événement	Incident de fonctionnement prévu
Augmentation de l’évacuation de la chaleur dans le réacteur	ouverture intempestive des soupapes de décharge de vapeur mauvais fonctionnement du réglage de la pression secondaire entraînant une augmentation du débit de vapeur mauvais fonctionnement du système d’eau d’alimentation entraînant une augmentation de taux d’évacuation de la chaleur
Diminution de l’évacuation de la chaleur dans le réacteur	déclenchement d’une pompe d’eau d’alimentation réduction du débit de vapeur pour diverses raisons (p. ex. mauvais fonctionnement du contrôle, fermeture de la vanne de décharge de vapeur principale, déclenchement de la turbine, perte de la charge externe, perte de puissance, perte du vide du condenseur)
Modifications du débit du circuit du caloporteur du réacteur	déclenchement d’une pompe du caloporteur principal isolement intempestif d’une boucle du circuit caloporteur principal (le cas échéant)
Anomalies de réactivité et de distribution de puissance	retrait intempestif d’une seule barre de commande dilution de la concentration du poison neutronique due à un mauvais fonctionnement du système de contrôle du volume mauvaise mise en place de l’assemblage de combustible (REL) ou rechargement du mauvais canal (CANDU)
Augmentation de la charge de caloporteur du réacteur	mauvais fonctionnement du système de contrôle chimique et de la charge
Diminution de la charge de caloporteur du réacteur	APRP très mineur attribuable à la défaillance d’une conduite d’instrumentation
Rejet de matières radioactives provenant d’un sous-système ou d’un composant	fuite mineure d’un système de déchets radioactifs

5.2.3.2 Accident de dimensionnement

Les événements à l’origine des accidents AD sont classés en fonction des fréquences estimées des défaillances de l’équipement, des erreurs de l’opérateur ou des événements de cause commune. Tous les événements identifiés comme initiateurs d’IFP doivent également être considérés comme initiateurs possibles d’AD, compte tenu de la probabilité relativement élevée des IFP et de la possibilité d’autres défaillances de l’équipement ou d’erreurs de l’opérateur.

Le tableau 2 présente des exemples d’AD pour les réacteurs CANDU, les réacteurs à eau sous pression (REP) et autres réacteurs à eau légère (REL). La liste qui suit n’est pas exhaustive. Une liste complète d’AD dépendrait du type de réacteur et de la conception réelle.

Tableau 2 : Exemples d’accidents de dimensionnement

Catégorie d’événement	Accident de dimensionnement
Augmentation de l’évacuation de la chaleur dans le réacteur	rupture de la conduite de vapeur
Diminution de l’évacuation de la chaleur dans le réacteur	rupture de la conduite d’eau d’alimentation
Modification du circuit caloporteur dans le réacteur	déclenchement de plus d’une pompe de caloporteur principal blocage de la pompe du caloporteur principal ou rupture de l’arbre blocage de l’écoulement du canal combustible (CANDU)
Anomalies de la réactivité et de la distribution de puissance	retrait incontrôlé de la barre de commande éjection de la barre de commande (REL) dilution du bore due au démarrage d’une boucle inactive (REP)
Augmentation de la charge de caloporteur du réacteur	fonctionnement intempestif du refroidissement d’urgence du cœur
Diminution de la charge de caloporteur du réacteur	éventail d’APRP possibles ouverture intempestive des soupapes de décharge du circuit primaire fuites de caloporteur primaire dans le circuit secondaire
Rejet de matières radioactives provenant d’un sous-système ou d’un composant	surchauffe ou endommagement du combustible usé au cours du transport ou lors du stockage rupture dans un circuit de traitement de déchets gazeux ou liquides

Si l’on a établi un dossier de sûreté d’une fuite avant rupture (FAR) dans le cas d’un circuit de tuyauterie, alors on peut réduire la portée de l’AD, comme l’élimination de la protection contre les effets dynamiques locaux. Le dossier de sûreté d’une FAR doit appliquer une méthodologie acceptée.

5.2.3.3 Accidents hors dimensionnement

L’EPS permet d’identifier systématiquement les séquences d’événements qui risquent de compromettre les fonctions de sûreté fondamentales. Les séquences d’événements représentatives sont alors analysées en recourant aux techniques d’analyse déterministe de sûreté pour évaluer l’ampleur des défaillances du combustible, les dommages au cœur du réacteur, le circuit et le confinement du caloporteur primaire et les rejets de radionucléides. L’utilisation d’une limite de sectionnement pour la fréquence d’un AHD analysé doit prendre en compte les objectifs de sûreté établis pour la centrale.

Exemples d’accidents hors dimensionnement :

• perte complète d’évacuation de la chaleur résiduelle du cœur du réacteur
• perte complète de l’alimentation électrique pour une longue période

Cette classe d’événements comprend également des défaillances massives des cuves sous pression. Certaines de ces défaillances peuvent être exemptées de l’analyse déterministe de sûreté s’il peut être démontré qu’elles sont suffisamment improbables et que toutes les conditions suivantes sont remplies :

• la cuve est conçue, fabriquée, installée et utilisée conformément aux exigences nucléaires des codes d’ingénierie applicables et à d’autres exigences
• un programme d’inspection en service est mis en œuvre
• l’expérience d’exploitation avec des cuves semblables au point de vue de la conception et de l’exploitation entraîne une faible probabilité de défaillances
• la cuve présente des dispositifs de contrainte appropriés pour limiter la propagation des dommages à la centrale

Nota : Un collecteur du circuit caloporteur CANDU n’est pas considéré comme une cuve sous pression.

Les événements exclus de l’analyse de l’AD en fonction de la méthodologie de la FAR doivent être pris en compte dans les séquences des AHD. Par exemple, tout APRP majeur ou rupture de la conduite de vapeur principale qui a pu être exclu de AD doit être pris en compte pour l’analyse de l’AHD.

5.3 Critères d’acceptation

Les critères d’acceptation sont établis pour servir de seuil de fonctionnement sûr pour l’exploitation normale, et pour les IFP, AD et dans la mesure du possible les AHD. Les limites et conditions appliquées par les concepteurs et opérateurs de la centrale doivent être appuyées par des preuves expérimentales convenables et être conformes aux critères d’acceptation de l’analyse de sûreté décrits dans les sous-sections 5.3.1 à 5.3.4.

5.3.1 Exploitation normale

Les critères d’acceptation de l’analyse de sûreté pour l’exploitation normale sont les suivants :

• les doses de rayonnement reçues par les travailleurs et les membres du public se situent à l’intérieur des limites acceptables
• les rejets de matières radioactives générées par la centrale nucléaire se situent à l’intérieur des limites acceptables
• les doses reçues par les travailleurs et les membres du public, et les estimations des rejets de matières radioactives dans l’environnement, sont conformes au principe ALARA (niveau le plus faible qu’il soit raisonnablement possible d’atteindre)

L’analyse déterministe de sûreté pour l’exploitation normale doit également permettre de :

• vérifier que l’enclenchement des systèmes de sûreté ne se produit que si cela est nécessaire
• vérifier que les contrôles et alarmes des procédés sont efficaces et parviennent à réduire ou à éviter l’intervention des systèmes de sûreté
• répondre à toutes les conditions d’exploitation de la centrale nucléaire selon lesquelles les systèmes et l’équipement fonctionnent comme prévu, sans obstacle interne ou externe, y compris toutes les configurations opérationnelles pour lesquelles elle a été conçue pour fonctionner au cours de l’exploitation normale tout au long de sa durée de vie, en régime de puissance et à l’arrêt

5.3.2 Incidents de fonctionnement prévus et accidents de dimensionnement

L’objectif de l’analyse de sûreté des IFP et des AD consiste à démontrer l’efficacité des fonctions de sûreté essentielles suivantes :

• le contrôle de la puissance du réacteur, y compris l’arrêt du réacteur et son maintien à l’état d’arrêt
• l’évacuation de la chaleur du cœur
• la préservation de l’intégrité de barrières des produits de fission
• la préservation de l’aptitude fonctionnelle des composants pour les IFP
• l’assurance que les conséquences des rejets de matières radioactives sont inférieures aux limites acceptables
• la surveillance des paramètres de sûreté critiques

Les critères d’acceptation pour les IFP et les AD doivent comprendre :

• les critères d’acceptation associés aux doses reçues par le public
• les critères d’acceptation dérivés relatifs à la protection des barrières physiques de défense en profondeur (voir les exemples à la sous-section 5.3.4 et à l’annexe B

Les critères d’acceptation quantitatifs dérivés doivent être établis en fonction des preuves physiques directes et des phénomènes bien compris et doivent tenir compte des incertitudes.

La dose réelle au corps entier pour les membres de groupes critiques les plus à risque, à la périphérie du site ou au-delà, est calculée dans l’analyse déterministe de sûreté pendant une période de 30 jours après l’événement analysé.

Cette dose est inférieure ou égale aux critères d’acceptation des doses indiqués ci-dessous :

• 0,5 millisievert pour tout IFP
• 20 millisieverts pour tout AD

Ces limites de doses s’appliquent aux nouvelles centrales nucléaires (soit celles autorisées après publication du document RD-337, Conception des nouvelles centrales nucléaires en 2008). Dans le cas des réacteurs existants, les limites de doses précisées dans les permis d’exploitation doivent être respectées.

Pour démontrer que les conséquences radiologiques d’un événement analysé ne dépassent pas les limites, les doses doivent être calculées conformément aux indications fournies dans la sous-section 5.4.4.6.

Les critères d’acceptation pour la classe d’événements dont les fréquences sont supérieures doivent être plus rigoureux que ceux relatifs à la classe d’événements ayant des fréquences inférieures. Par exemple :

• Le critère d’acceptation radiologique pour les IFP doit être plus rigoureux étant donné que leurs fréquences sont supérieures aux autres classifications
• Les limites de doses reçues par le public pour les IFP doivent être établies de façon à ce que les activités des membres du public ne soient pas restreintes en raison des rejets radiologiques potentiels
• Les limites de doses reçues par le public pour les AD doivent être telles que le risque d’effets sur la santé attribuable aux doses reçues doit être faible; dans le cas d’un AD, les incidences radiologiques ne doivent pas nécessiter des interventions d’urgence hors site

Pour démontrer la conformité aux critères d’acceptation des doses reçues par le public pour un IFP, les fonctions d’isolement automatique et de suppression de la pression du système de confinement ne devraient pas être créditées. Toutefois, on doit tenir compte de la capacité des barrières passives de confinement et des sous-systèmes de confinement fonctionnant normalement, s’ils sont qualifiés pour les conditions d’IFP.

En ce qui à trait aux critères d’acceptation qualitatifs (comme les exemples donnés à l’annexe B), les directives suivantes ne s’appliquent qu’aux IFP :

• les critères d’acceptation qualitatifs doivent être respectés sans avoir à se fier à la fonction automatique des systèmes de sûreté pour toute une variété d’IFP. Les systèmes de contrôle de la centrale doivent normalement être en mesure de corriger le transitoire et d’empêcher d’endommager les SSC
• les systèmes de contrôle doivent être en mesure de maintenir la centrale dans un état de fonctionnement stable pendant suffisamment de temps pour permettre à l’opérateur de diagnostiquer l’événement, d’enclencher les mesures nécessaires et, s’il y a lieu, d’arrêter le réacteur en suivant les procédures applicables
• même s’il peut être démontré que les systèmes de contrôle maintiennent la centrale dans un état sûr à la suite d’un IFP sans l’enclenchement des systèmes de sûreté (défense en profondeur de niveau 2), il faut également démontrer avec beaucoup de confiance, pour tous les IFP, que les systèmes de sûreté peuvent atténuer l’événement sans les mesures bénéfiques produites par les systèmes de contrôle (défense en profondeur de niveau 3)

Certains accidents dont la fréquence prévue est inférieure à 10^-5 par année de réacteur pourraient servir d’événement de référence pour un système de sûreté. Dans ce cas, les limites de doses d’un AD devront toujours être respectées et l’analyse devra également envisager l’observation des critères d’acceptation qualitatifs applicables à ce système de sûreté particulier. Par exemple, un APRP causé par une rupture majeure peut avoir une fréquence estimée de moins de 10^-5 par année de réacteur, tout en étant encore considéré comme un AD. Le rendement du système de sûreté doit être suffisant pour s’assurer que les limites de doses d’un AD sont respectées.

5.3.3 Accidents hors dimensionnement

L’évaluation probabiliste et déterministe de la sûreté doit démontrer que la défense en profondeur de niveau 4 empêche les conséquences d’un AHD, ou les atténue, y compris les accidents graves, comme le décrit le document RD-337. L’analyse déterministe d’un AHD porte sur un ensemble de séquences représentatives dans lesquelles les systèmes de sûreté ont mal fonctionné et certaines des barrières s’opposant au rejet de matières radioactives peuvent avoir été défectueuses ou contournées. Les AHD représentatifs doivent être choisis à partir des principales séquences d’accident provenant de l’étude probabiliste de la sûreté ou en ajoutant les défaillances des systèmes de sûreté ou les interventions inappropriées de l’opérateur aux séquences d’un AD.

L’objectif de l’analyse de sûreté pour un AHD consiste à :

• évaluer la capacité de la conception à surmonter les difficultés que pose l’AHD et à identifier les vulnérabilités de la centrale
• évaluer l’efficacité des caractéristiques de conception spécifiquement incorporées dans la conception de la centrale pour réduire la probabilité ou atténuer les conséquences des AHD, y compris l’évaluation de l’équipement relatif à la gestion des accidents et l’instrumentation nécessaire à la surveillance des accidents
• évaluer la capacité de rétablir et de maintenir les fonctions de sûreté en utilisant d’autres procédures, méthodes et systèmes variés, y compris l’utilisation de l’équipement non lié à la sûreté
• aider à mettre au point un programme de gestion des accidents pour les AHD et les conditions d’accident grave
• fournir les données sur les conséquences pour les séquences d’accident à utiliser dans l’EPS
• participer à la planification d’urgence hors site

Les critères d’acceptation pour les AHD sont généralement formulés en termes de critères de risque, tels les objectifs de sûreté liés à la fréquence des dommages graves au cœur du réacteur et aux rejets importants de matières radioactives, tels qu’ils sont évalués par l’EPS.

Les calculs déterministes des termes sources pour les AHD peuvent également être effectués conformément à l’objectif de l’analyse de l’AHD, pour démontrer le respect des critères de risque. Ces calculs doivent démontrer par exemple que :

• la défaillance du confinement ne se produira pas à court terme à la suite d’un accident grave (voir les sous-sections 7.3.4 et 8.6.12 du document RD-337)
• les membres du public bénéficient d’un niveau de protection contre les conséquences pouvant découler de l’exploitation d’une centrale nucléaire de sorte qu’il n’y a pas de risque supplémentaire important pour la vie et la santé des personnes

5.3.4 Critères d’acceptation dérivés relatifs aux incidents de fonctionnement prévus et aux accidents de dimensionnement

En plus des limites de doses prévues dans la sous-section 5.3.2, les critères d’acceptation pour les IFP et les AD comprennent également un ensemble de critères d’acceptation dérivés, tels que les exemples de critères d’acceptation qualitatifs donnés à l’annexe B.

Ces critères d’acceptation sont établis par le concepteur pour limiter les dommages à diverses barrières de défense. La conformité à ces exigences garantit la présence de barrières physiques pour limiter le rejet de matières radioactives et prévenir les rejets radiologiques inacceptables suivant un IFP ou un AD. Le non-respect d’un critère d’acceptation dérivé ne signifie pas nécessairement que les limites de doses seront dépassées. Toutefois, si ces critères sont respectés avec une marge importante, il est alors possible de simplifier les calculs de doses étant donné que les rejets du produit de fission devraient être limités.

Les critères d’acceptation dérivés sont généralement plus rigoureux pour les événements dont la fréquence est plus élevée. Par exemple, pour la plupart des IFP, les interventions des systèmes de contrôle doivent être en mesure d’empêcher la dégradation indirecte de n’importe quelle barrière physique dans la mesure où les SSC connexes ne sont plus aptes au service (y compris la matrice du combustible, la gaine du combustible, la limite de pression du caloporteur du réacteur ou le confinement).

Des exigences plus rigoureuses peuvent être établies pour démontrer la disponibilité d’une marge entre la valeur prévue et les critères d’acceptation quantitatifs ou pour simplifier une analyse (par exemple pour éviter d’avoir à effectuer une modélisation complexe). Il faut clairement indiquer les conditions d’applicabilité de chaque critère additionnel.

Pour chacun des critères d’acceptation qualitatifs illustrés à l’annexe B, il faut établir des critères d’acceptation quantitatifs (ou limites). Les limites quantitatives doivent :

• être applicables au système de centrale nucléaire et au scénario d’accident donnés
• tracer une limite évidente entre les états sécuritaires (lorsque la défaillance des SSC est évitée avec un niveau de confiance élevé) et les états non sécuritaires (lorsqu’une défaillance des SSC peut se produire)
• être appuyées par des données expérimentales
• intégrer des marges ou des facteurs de sûreté pour tenir compte de l’incertitude des données expérimentales et des modèles pertinents

Lorsque les données ne suffisent pas à déterminer la transition d’un état sécuritaire à un état non sécuritaire ou à établir des modèles précis, alors la limite quantitative relative aux exigences de sûreté correspondantes doit être établie à la limite des données disponibles, à condition que la limite établie soit prudente.

5.4 Hypothèses et méthodes d’analyse de sûreté

5.4.1 Dispositions générales

La sous-section 5.4 porte principalement sur les méthodes et hypothèses liées à l’analyse déterministe de sûreté des IFP et des AD pour la défense en profondeur de niveau 3. Des méthodes et hypothèses d’analyse semblables peuvent s’appliquer à la défense en profondeur des niveaux 2 et 4 (avec des degrés appropriés de prudence). Certaines règles prudentes, comme le critère de défaillance unique, ne s’appliquent pas aux analyses des niveaux 2 et 4.

L’analyste de sûreté a la possibilité de choisir les méthodes et hypothèses d’analyse de sûreté, dans la mesure où les exigences et attentes réglementaires sont respectées.

Le choix des méthodes et hypothèses d’analyse de sûreté doit être tel que le niveau approprié de confiance puisse transparaître dans les résultats d’analyse.

5.4.2 Méthode d’analyse

Les éléments de base compris dans la méthode d’analyse de sûreté sont décrits dans les sous-sections 5.4.2.1 à 5.4.2.9.

Trois méthodes d’analyse principales sont utilisées dans l’analyse déterministe de sûreté :

1. la méthode d’analyse prudente, comme celle utilisée pour la défense en profondeur de niveau 3
2. la meilleure estimation plus évaluation des méthodes tenant compte des incertitudes, comme la méthode utilisée pour la défense en profondeur de niveau 3
3. la méthode d’analyse fondée sur la meilleure estimation, comme celle utilisée pour la défense en profondeur des niveaux 2 et 4

Les méthodes 1 et 2 mentionnées ci-dessus sont prises en compte lors de l’application du principe de prudence dans l’analyse de sûreté et sont traitées dans la sous-section 5.4.6.

5.4.2.1 Déterminer les scénarios à analyser

Le scénario à analyser, ou l’événement analysé, doivent être définis en intégrant les descriptions des éléments suivants :

• les conditions initiales
• l’événement initiateur et tout événement supplémentaire
• les interventions prévues des systèmes de la centrale et de l’opérateur en réponse à l’événement initiateur
• la description générale du transitoire prévu
• les préoccupations connexes liées à la sûreté
• l’état stable de longue durée à la fin de l’événement

5.4.2.2 Établir les critères d’acceptation applicables

Il faut déterminer un ensemble de critères applicables, y compris toute exigence réglementaire. Ces critères doivent tenir compte de tous les problèmes liés à la sûreté tout en démontrant leur conformité aux critères d’acceptation de doses décrits dans la sous-section 5.3.2, ainsi que les critères d’acceptation dérivés adoptés par le concepteur. D’autres critères peuvent être définis pour, par exemple, simplifier l’analyse en imposant des critères plus rigoureux ou pour permettre des évaluations intermédiaires dans la recherche de cas limites.

5.4.2.3 Cerner les phénomènes importants

Il faut déterminer les phénomènes essentiels et l’éventail des valeurs paramétriques associées à l’événement analysé. Il faut également fournir les données expérimentales à l’appui et démontrer une compréhension théorique.

Si un événement est caractérisé par suffisamment d’étapes diverses, alors le phénomène essentiel doit être déterminé pour chaque étape.

L’importance des phénomènes en jeu doit être évaluée par rapport à chaque critère d’acceptation. Les paramètres essentiels sont définis pour chaque phénomène important. Ces paramètres sont par la suite classés en fonction de leur capacité à influencer les critères d’acceptation applicables.

Les analyses de sensibilité peuvent être utilisées conjointement avec le jugement d’experts pour aider à définir et à classer les paramètres en évaluant leur influence sur les résultats d’analyse pour chaque critère d’acceptation. Une importance particulière doit être accordée à l’identification de toute modification radicale du phénomène au cours de n’importe quelle étape de l’analyse.

Les résultats des expériences doivent également être utilisés pour aider à déterminer les paramètres importants, à effectuer la classification en fonction de l’importance et à déterminer si des changements radicaux se sont produits, et où ils se sont produits.

5.4.2.4 Modèles et codes informatiques

L’analyse de sûreté est effectuée en utilisant les modèles des systèmes de la centrale et des phénomènes physiques.

Tous les phénomènes importants indiqués dans la sous-section 5.4.2.3 doivent être représentés dans les modèles intégrés dans le code informatique utilisé pour les calculs.

Conformément à la sous-section 5.4 du document RD-310, Analyses de la sûreté pour les centrales nucléaires, les modèles et l’applicabilité des codes informatiques à l’événement analysé seront également démontrés. Les modèles des systèmes de la centrale doivent être vérifiés pour refléter l’état de la centrale telle qu’elle est construite, en tenant compte des effets du vieillissement et des états de la centrale.

La sous-section 5.4.5 présente des directives supplémentaires.

5.4.2.5 Définition des conditions initiales et limites

L’analyse doit définir les données qui rendent compte de l’état de la centrale avant l’événement analysé et le fonctionnement de la centrale pendant l’événement, notamment, en ce qui concerne, sans s’y limiter :

• le mode d’exploitation de la centrale
• la puissance du réacteur
• la combustion du combustible et sa distribution
• les températures du combustible
• les températures et pressions du caloporteur
• les seuils de déclenchement et d’intervention pour les systèmes d’atténuation
• les retards et incertitudes des instruments
• les caractéristiques des systèmes de sûreté en matière de rendement
• le rendement d’autres équipements de la centrale (comme les pompes, les soupapes, les refroidisseurs, les chaudières et la turbine)
• les conditions météorologiques

Dans l’application de telles données, il faut tenir compte des limites et conditions d’exploitation (LCE) de la centrale. Les conditions de la centrale utilisées comme état initial pour l’analyse peuvent représenter l’état réel de la centrale ou, dans de nombreux cas, représenter les limites choisies pour la mise en vigueur des LCE. Cela serait effectué de façon que l’analyse puisse confirmer que le choix d’une valeur LCE est en vigueur. Autrement, les résultats d’analyse peuvent être employés pour calculer une valeur convenable à utiliser comme limite d’exploitation. L’attention et le bon jugement sont nécessaires pour assurer la concordance de l’ensemble des LCE dérivées de telles analyses de sûreté.

5.4.2.6 Effectuer des calculs

Des calculs complets sont effectués pour évaluer le rendement de la centrale par rapport à chaque critère d’acceptation applicable. Les études de sensibilité sont entreprises pour évaluer l’incidence des hypothèses principales sur les résultats d’analyse, par exemple en déterminant les pires défaillances uniques dans divers systèmes, ou pour évaluer les conséquences de l’utilisation des modèles simplifiés plutôt que de méthodes complexes plus précises exigeant un effort important dans les calculs. L’analyse de sensibilité, avec des variations systématiques des variables d’entrée ou des paramètres de modélisation des codes informatiques, doit confirmer qu’il n’y a pas d’« effet de falaise », comme des changements radicaux dans la réponse de la centrale, ou des conséquences accidentelles attribuables à un changement des valeurs des paramètres.

La durée des transitoires prises en compte dans l’analyse doit être suffisante pour déterminer les conséquences des événements. Par conséquent, les calculs relatifs aux transitoires de la centrale dépassent le point où la centrale nucléaire a été mise à l’arrêt et où le refroidissement stable du cœur du réacteur a été établi par des moyens évidents (c.-à-d. au point où un état stable de longue durée a été atteint et devrait demeurer comme tel le temps nécessaire).

Dans les cas où diverses étapes du transitoire sont régies par différents phénomènes ou différentes échelles de temps, des méthodes et outils divers peuvent être utilisés pour modéliser les étapes consécutives.

5.4.2.7 Tenir compte des incertitudes

Dans l’analyse déterministe de sûreté pour la défense en profondeur de niveau 3, toutes les incertitudes principales doivent être décelées et prises en compte. L’analyse de sûreté pour le niveau 3 doit intégrer des tolérances appropriées liées aux incertitudes pour les paramètres applicables au scénario d’accident analysé. De telles incertitudes doivent comprendre celles liées aux paramètres de modélisation et d’entrée de la centrale.

L’exactitude des codes obtenue par suite des travaux de validation doit être utilisée comme source pour les incertitudes liées à la modélisation. L’exactitude des codes est définie par les biais et la variabilité des biais et doit être obtenue en comparant les prévisions des codes avec les données expérimentales.

Les paramètres d’entrée de la centrale (aussi appelés paramètres opérationnels) caractérisent l’état des SSC de la centrale ou sont utilisés pour actionner le système d’atténuation. Ceux-ci sont mesurés en utilisant l’instrumentation du réacteur.

Les incertitudes des mesures sont indiquées dans la documentation portant sur les systèmes de contrôle et d’instrumentation de la centrale ou dans les LCE. Les composants systématiques (biais) et d’incertitudes aléatoires (écart type) doivent être pris en compte.

Le biais de mesures représente un élément d’incertitude des mesures résultant d’une erreur systématique qui cause un écart dans une direction fixe. L’écart type représente un élément d’incertitude de mesures que l’on ne peut pas définir exactement ou qui peut causer un écart dans n’importe quelle direction, mais que l’on peut estimer sur la base d’une distribution de probabilité.

Les incertitudes susmentionnées doivent être prises en compte dans l’analyse prudente ou la meilleure estimation plus l’évaluation des méthodologies relatives aux incertitudes.

Dans les analyses de sûreté pour la défense en profondeur de niveau 2 et de niveau 4 (où l’application d’une méthode d’analyse réaliste de la meilleure estimation est possible), il n’est pas nécessaire de tenir compte des incertitudes de la même façon.

5.4.2.8 Vérification des résultats

La vérification vise à s’assurer que les résultats de l’analyse déterministe de sûreté :

• sont extraits correctement des relevés des codes d’analyse
• sont valides au plan physique
• sont conformes aux données expérimentales provenant des essais intégraux appropriés, aux analyses de sûreté semblables antérieures ou aux simulations faisant appel à des modèles plus avancés
• correspondent aux prévisions limitatives pour chacun des critères d’acceptation de l’analyse de sûreté

5.4.2.9 Documentation des résultats

Les résultats des calculs de l’analyse déterministe de sûreté sont documentés de façon à faciliter leur examen et leur compréhension. Les résultats de l’analyse de sûreté doivent faire état :

• de l’objectif de l’analyse
• des hypothèses d’analyse et de leur justification
• de toutes les options de l’utilisateur au sujet des codes informatiques qui différent des options utilisées dans la validation des codes
• des résultats de l’analyse par rapport aux critères d’acceptation
• des résultats des calculs de sensibilité et d’incertitude

Des directives supplémentaires sont données dans la sous-section 5.5.

5.4.3 Données d’analyse

L’analyse de sûreté est fondée sur la conception de la centrale et sur des renseignements complets et exacts concernant sa construction. Cette information doit porter sur les SSC de la centrale, les caractéristiques particulières du site et les interfaces hors site.

Dans le cas d’une centrale nucléaire en phase de conception, les données opérationnelles, le cas échéant, doivent être dérivées des données génériques concernant des centrales en exploitation du même type, ou tirées de travaux de recherche ou de résultats d’essais. Dans le cas d’une centrale nucléaire en exploitation, l’analyse de sûreté doit utiliser des données d’exploitation précises.

Les valeurs de l’analyse de sûreté pour chaque paramètre d’entrée doivent être déterminées en se fondant sur :

• les spécifications de conception
• les tolérances
• les plages de variabilité en exploitation admissibles
• les incertitudes de mesures ou d’évaluation pour le paramètre visé

Les données opérationnelles doivent comprendre :

• l’information sur les performances des composants et du système, mesurées au cours de l’exploitation ou des essais
• les délais dans les systèmes de contrôle
• les biais et dérives des instruments de mesure
• l’indisponibilité du système en raison de l’entretien ou des essais

Les limites applicables aux paramètres des centrales nucléaires utilisés comme conditions initiales et aux limites doivent être déterminées. Les paramètres de la centrale nucléaire présumés dans l’analyse de sûreté doivent englober les plages de paramètres autorisées par les procédures d’exploitation ou, dans une méthode statistique, porter sur un haut pourcentage prédéterminé de chaque plage à un haut niveau de confiance prédéterminé.

Les paramètres de la centrale nucléaire suivants peuvent être utilisés dans l’analyse comme données d’entrée et doivent être précisés dans les LCE, mesurés ou évalués pendant l’exploitation de la centrale :

1. les puissances neutroniques et thermiques comprenant la distribution de puissance
2. les pressions
3. les températures
4. les débits
5. les niveaux
6. les fuites ou contournement des vannes, des joints d’étanchéité, des tubes du générateur de vapeur et de l’enceinte de confinement
7. les stocks de matières radioactives
8. les défauts dans la gaine du combustible
9. les formes de flux
10. la pureté isotopique du caloporteur et du modérateur (le cas échéant)
11. la concentration de poison neutronique
12. la combustion du cœur du réacteur et la distribution de la combustion
13. la tolérance des appareils
14. les constantes de temps et les délais des instruments
15. les paramètres liés au vieillissement des SSC (en plus de tenir compte des effets du vieillissement sur les autres paramètres)
16. la position des barres, des vannes, des registres, des portes, des barrières
17. le nombre de composants opérationnels, comme les pompes et les vannes

Nota : Lors de la préparation des données énumérées dans la liste ci-dessus, certains paramètres (comme la combustion du cœur du réacteur et la distribution de la combustion) ne sont pas mesurés directement. Les caractéristiques du cœur du réacteur pour toutes les charges de combustible doivent être prises en compte. Dans cet exemple, elles sont évaluées et extraites de la simulation par ordinateur pour laquelle l’exactitude de ces outils est appuyée par les données de la centrale et les données expérimentales. Certaines entrées de l’analyse de sûreté sont en général dérivées ou tirées des données obtenues de façon expérimentale.

Il faut également noter que les effets du vieillissement comprennent des mécanismes de longue durée qui causent une dégradation progressive et des mécanismes qui peuvent causer une dégradation rapide. Les mécanismes de dégradation comprennent les cycles thermiques, la déformation, les contraintes, le fluage, le grippage, la fatigue, la fissuration, la corrosion et l’érosion. Les limites de vieillissement permises font partie des données d’entrée de l’analyse de sûreté.

Il faut déceler et enregistrer les incertitudes concernant les données de la centrale, et en tenir compte dans les analyses d’incertitude et de sensibilité.

5.4.4 Hypothèses utilisées pour l’analyse

Les hypothèses sont formulées dans les données d’entrée, comme celles relatives aux paramètres de conception et d’exploitation, de même que dans les modèles physiques et numériques mis en œuvre dans les codes informatiques.

Les hypothèses peuvent être réalistes ou biaisées délibérément dans une orientation prudente.

Les hypothèses généralement utilisées pour l’analyse de défense en profondeur de niveau 3 des IFP et des AD sont décrites dans les sous-sections 5.4.4.1 à 5.4.4.6. Il faut noter que certaines de ces hypothèses ne sont pas nécessaires dans l’analyse des IFP pour évaluer les capacités du système de contrôle (défense en profondeur de niveau 2) si cela peut être justifié.

Dans le cas de l’analyse de sûreté des AHD, un des objectifs consiste à démontrer les capacités des SSC à répondre aux exigences de conception prescrites pour les conditions d’AHD. Pour certaines exigences visant les AHD, l’analyse doit prendre en compte l’ensemble des possibilités qu’offre la conception de la centrale, y compris l’utilisation de certains systèmes de sûreté et autres au-delà de leurs fonctions initiales prévues pour ramener l’accident grave potentiel à un état contrôlé ou pour atténuer ses conséquences. Les hypothèses d’analyse des AHD sur la prise en compte et la modélisation des systèmes de la centrale et de leur capacité au cours d’un AHD doivent être conformes aux objectifs de l’analyse. Si on crédite l’utilisation des systèmes au-delà de leur fonction initiale prévue, il devrait y avoir des motifs raisonnables pour présumer que ces systèmes pourront être utilisés, et le seront, tel qu’il est décrit dans l’analyse.

5.4.4.1 Défaillance unique dans le groupe de sûreté

Le critère de défaillance unique stipule que le groupe de sûreté formé d’un système de sûreté et de ses systèmes de soutien doit être en mesure d’exécuter ses fonctions spécifiques même si un seul composant subit une défaillance à l’intérieur de ce groupe.

Les attentes relatives à l’application du critère de défaillance unique dans la conception sont indiquées dans le document d’application de la réglementation RD-337, Conception des nouvelles centrales nucléaires.

Toute défaillance résultant de l’événement initiateur fait partie intégrante de cet événement et n’est pas considérée comme une défaillance unique aux fins de l’analyse de sûreté. Par exemple, il faut présumer que l’équipement qui n’est pas qualifié pour des conditions d’accident particulières sera défaillant, à moins que son fonctionnement normal ne mène à des résultats plus prudents.

L’analyse doit supposer qu’une défaillance unique se produit pour chaque élément d’un groupe de sûreté à tour de rôle et identifier la pire des défaillances uniques pour chaque critère d’acceptation. En plus d’une défaillance unique d’un composant, l’analyse doit tenir compte de l’impact des travaux d’entretien, d’inspection ou de réparation, ou des essais, éventuels sur le rendement du groupe de sûreté.

L’analyse de sûreté des IFP et des AD pour la défense en profondeur de niveau 3 doit appliquer le critère de défaillance unique à chaque groupe de sûreté.

Il n’est pas nécessaire d’appliquer le critère de défaillance unique dans l’analyse des IFP pour la défense en profondeur de niveau 2 et des AHD.

5.4.4.2 Rendement des structures, systèmes et composants

5.4.4.2.1 Disponibilité des systèmes

Le fonctionnement des systèmes ne doit être crédité que lorsque ceux-ci sont conçus ou prévus pour exécuter la fonction prévue et qualifiés pour surmonter toutes les difficultés et tous les effets de mode commun dus à l’accident.

Dans l’analyse de sûreté d’un IFP pour la défense en profondeur de niveau 2, on peut créditer le fonctionnement des systèmes de procédé et de contrôle dont les interventions pourraient aider à atténuer l’événement, tant que les systèmes crédités ne sont pas compromis à la suite de l’événement initiateur. L’état de ces systèmes et les valeurs attribuées à leurs paramètres doivent être justifiés.

Dans l’analyse de sûreté des IFP et des AD pour la défense en profondeur de niveau 3, aucun crédit ne doit être attribué pour le fonctionnement des systèmes de contrôle dans l’atténuation des effets de l’événement initiateur. Les effets des interventions du système de contrôle doivent être pris en compte si ces interventions risquent d’aggraver le transitoire ou de retarder l’activation des fonctions de protection.

Si le fonctionnement de l’équipement non qualifié entraîne des conséquences d’événement plus graves, il faut supposer qu’un tel équipement fonctionne d’une manière qui aggrave l’événement.

On présume que l’équipement de procédé qui fonctionne avant l’événement continue à fonctionner s’il n’est pas touché par l’événement initiateur (p. ex. on peut présumer que l’alimentation de la chaudière se poursuit jusqu’à la panne d’électricité, pour les événements qui ne créent pas un environnement difficile).

5.4.4.2.2 Défaillances partielles et totales

Les défaillances partielles et totales de l’équipement doivent être prises en compte dans l’analyse de chaque séquence de défaillance pour déceler la pire défaillance pour chaque critère d’acceptation.

5.4.4.2.3 Défaillance de tuyauterie grave

Divers modes de rupture de la tuyauterie doivent être pris en compte dans les analyses de perte de caloporteur. Ils comprennent les ruptures circonférentielles, à guillotine et longitudinales, à n’importe quel endroit dans un système.

Dans le cas des ruptures circonférentielles et à guillotine, l’analyse devrait porter sur une section d’écoulement allant jusqu’à deux fois la section de passage de la conduite ou du collecteur.

Dans le cas des ruptures longitudinales, l’analyse doit comprendre une justification de la limite maximale de la taille de la rupture hypothétique.

L’endroit, la taille et l’orientation de la rupture qui sont les plus défavorables et posent le plus de difficulté en ce qui a trait aux exigences de l’analyse de sûreté devraient être déterminés au moyen d’analyses, dont une analyse de sensibilité, en utilisant un modèle de rupture prudent.

Dans les réacteurs CANDU, les défaillances des collecteurs d’entrée et de sortie sont considérées comme des ruptures de tuyauterie.

5.4.4.2.4 Perte de l’alimentation électrique hors site

En plus d’une défaillance unique et des défaillances indirectes, il faut supposer une perte d’alimentation électrique hors site sauf si une justification est fournie.

On présume que la perte d’alimentation hors site se produit soit au déclenchement de l’événement ou à la suite du déclenchement du réacteur et de la turbine. Par exemple, lorsqu’on suppose la perte d’alimentation de catégorie IV (CANDU), l’événement doit être analysé à la fois avec ou sans perte d’alimentation électrique hors site et en utilisant les résultats les plus limitatifs.

5.4.4.3 Rendement des systèmes de sûreté

Il faut créditer les systèmes de sûreté à leur fonctionnement minimal admissible conformément aux LCE.

5.4.4.3.1 Système d’arrêt d’urgence

L’analyse déterministe de sûreté doit démontrer l’efficacité de tous les dispositifs d’arrêt d’urgence crédités en expliquant que la conception répond aux critères d’acceptation applicables (voir la sous-section 5.3).

Cette sous-section comprend différentes attentes, selon la conception et les caractéristiques inhérentes du réacteur comme on le décrit dans la sous-section 8.4 du document RD-337. Deux grandes catégories de réacteurs sont prises en compte, comme suit :

• les réacteurs dotés de caractéristiques de sûreté intrinsèque : conceptions qui démontrent qu’un IFP ou un AD avec défaillance du système d’arrêt rapide (transitoire prévu sans analyse du type de déclenchement du réacteur) n’entraîne pas des dommages graves du cœur du réacteur ni une menace précoce importante pour l’enceinte de confinement
• les réacteurs dotés de caractéristiques de sûreté technique : conceptions qui ne peuvent pas démontrer qu’un IFP ou un AD avec défaillance du système d’arrêt rapide n’entraînent pas des dommages graves du cœur du réacteur ni une menace précoce importante pour l’enceinte de confinement
  

Les critères d’acceptation applicables pour les deux catégories de réacteurs susmentionnées sont indiqués ci-dessous :

Réacteurs dotés de caractéristiques de sûreté intrinsèque
Pour le premier dispositif d’arrêt d’urgence rapide, l’analyse doit démontrer que les critères applicables à la classe d’événement initiateur (IFP ou AD selon le cas) sont respectés. Les interventions de l’opérateur pour compléter le dispositif d’arrêt rapide peuvent être créditées à condition que le déclenchement manuel du réacteur soit respecté (voir la fin de la présente sous-section).

Pour le deuxième dispositif d’arrêt d’urgence (qui peut être enclenché manuellement) :

• la fréquence d’un IFP et la fréquence de défaillance du dispositif d’arrêt rapide peuvent entraîner une fréquence combinée qui se situe dans la plage d’un AD et dans ce cas les limites applicables sont les limites de doses liées à un AD. Si le concepteur peut garantir une très haute fiabilité du dispositif d’arrêt rapide, il peut être acceptable d’utiliser les limites relatives à un AHD, c.-à-d. les objectifs de sûreté
• la fréquence d’un AD et la fréquence de défaillance du dispositif d’arrêt rapide peuvent entraîner une fréquence combinée qui se situe dans la plage d’un AHD et dans ce cas, les limites applicables sont les objectifs de sûreté

Réacteurs dotés de caractéristiques de sûreté technique
Ces réacteurs sont dotés de deux dispositifs d’arrêt rapides redondants démontrant que la conception est d’efficacité équivalente (RD-337, Conception des nouvelles centrales nucléaires, sous-section 8.4). Les critères pour les dispositifs d’arrêt seront les mêmes et seront des critères d’IFP ou d’AD qui s’appliquent à la classe d’événement.

Pour aider à mieux comprendre les attentes liées aux paramètres de déclenchement, le tableau 3 peut être utilisé pour définir les attentes minimales pour l’événement particulier visé.

La conception des réacteurs dotés de caractéristiques de sûreté intrinsèque est illustrée comme « scénario 1 de conception du réacteur ».

La conception des réacteurs dotés de caractéristiques de sûreté technique est illustrée comme « scénario 2 de conception du réacteur ».

Tableau 3 : Attentes minimales pour le nombre de paramètres de déclenchement

Scénario de conception du réacteur	L’échec de l’arrêt d’urgence compromet le confinement	Dispositif d’arrêt d’urgence (DAU)	Attente liée au paramètre de déclenchement (PD) idéal	Paramètre de déclenche-ment direct disponible?	Attente minimale	Paramètres de déclenche-ment
1	Non	Un seul DAU rapide	Un seul PD direct par événement	Oui	Un seul PD direct par événement	Un seul PD
				Non	Deux PD indirects variés par événement	Deux PD
		Deuxième DAU	Un seul PD direct par événement	Oui	Un seul PD direct par événement	Un seul PD
				Non	Deux PD indirects variés par événement	Deux PD
2	Oui	Un seul DAU	Deux PD par événement (au moins un direct)	Oui	Deux PD (au moins un direct)	Deux PD
				Non	Deux PD indirects	Deux PD
		Deuxième DAU	Deux PD par événement (au moins un direct)	Oui	Deux PD (au moins un direct)	Deux PD
				Non	Deux PD indirects	Deux PD

Il faut noter les points principaux suivants, tirés du tableau 3 :

• il faut toujours assurer deux dispositifs d’arrêt d’urgence pour chaque scénario de conception du réacteur
• si les conséquences de l’échec de l’arrêt d’urgence menacent le confinement, alors deux dispositifs d’arrêt d’urgence rapide sont exigés (scénario 2 de conception du réacteur)
• si les conséquences de l’échec de l’arrêt d’urgence menacent le confinement, alors il y a deux paramètres de déclenchement par événement et par système d’arrêt rapide
• dans la mesure du possible, un dispositif d’arrêt d’urgence doit comporter des paramètres de déclenchement multiples variés
• dans la mesure possible, les paramètres de déclenchement entre les dispositifs d’arrêt d’urgence doivent être variés

Un déclenchement manuel du réacteur peut être considéré comme l’équivalent d’un paramètre de déclenchement si les exigences visant à créditer l’intervention de l’opérateur de la salle de commande principale sont respectées (voir la sous-section 5.4.4.4) et la fiabilité de l’arrêt manuel respecte les exigences de fiabilité d’un déclenchement automatique.

5.4.4.3.2 Système de refroidissement d’urgence du cœur du réacteur

Si le système de refroidissement d’urgence du cœur du réacteur (SRUC) a une logique d’injection conditionnée à la présence d’autres indicateurs (c.-à-d. signal de conditionnement), alors l’analyse de sûreté doit cerner et évaluer les conséquences des situations dans lesquelles les signaux de conditionnement 0peuvent être effectués en aveugle.

Si la logique d’activation du SRUC est complexe (c.-à-d. plusieurs interventions différentes sont nécessaires pour que le système soit considéré comme entièrement activé), alors l’analyse de sûreté doit tenir compte des conséquences si certaines de ces interventions ne se produisent pas, par exemple l’aspiration de la pompe du SRUC ne parvient pas à se réaligner sur le puisard de confinement.

Il faut tenir compte du potentiel d’entraînement du gaz qui pourrait occasionner des dommages dus aux coups de bélier. On doit également évaluer les conséquences sur les circuits de recirculation en présence du colmatage des filtres, du blocage par des débris, du blocage de l’échangeur de chaleur et de la cavitation des pompes. On doit prendre en compte l’impact des gaz non condensables sur l’écoulement et le transfert de chaleur.

L’analyse de sûreté doit tenir compte de l’impact, sur l’efficacité du SRUC, de l’inaction, de l’action partielle et du fonctionnement normal de tout autre système qui augmente ou diminue la capacité de refroidissement du SRUC.

5.4.4.3.3 Confinement

L’analyse déterministe de sûreté doit cerner et évaluer les conséquences des situations où l’instrumentation de l’isolation du confinement fonctionne en aveugle. Dans le cas du confinement, « en aveugle » se rapporte aux conditions pour lesquelles un point de consigne d’activation de l’isolation du confinement est approché mais pas atteint. Par exemple, l’enceinte de confinement peut être « aveuglée » par l’inaction, l’action partielle ou le fonctionnement normal d’autres systèmes qui complètent ou dégradent les performances de l’enceinte de confinement. Les scénarios de confinement en aveugle sont importants parce qu’un accident qui présente un potentiel de rejet de matières radioactives ne peut pas déclencher l’activation de l’isolation du confinement.

Le débit de fuite de l’enceinte de confinement présumé dans l’analyse doit être fondé sur les exigences d’étanchéité de l’étude de confinement et confirmé par les tests du débit de fuite.

5.4.4.4 Intervention de l’opérateur

Il faut répertorier les interventions que fera l’opérateur en réponse à un accident. On peut créditer ces interventions dans l’analyse de sûreté pour la défense en profondeur de niveau 3 seulement si :

• une instrumentation fiable est conçue pour donner des indications claires et non ambiguës sur le besoin de prendre des mesures
• la centrale dispose de procédures d’exploitation qui indiquent les interventions nécessaires, la formation de l’opérateur, le personnel de soutien, les pièces de rechange et l’équipement
• les conditions environnementales n’empêchent pas l’exécution sécuritaire des interventions de l’opérateur

À la suite des premières indications claires et non ambiguës sur la nécessité des interventions de l’opérateur, de telles interventions peuvent normalement être créditées dans l’analyse de sûreté pour la défense en profondeur de niveau 3 pas plus tôt que :

• 15 minutes dans le cas des interventions faites dans la salle de commande principale
• 30 minutes dans le cas des interventions faites à l’extérieur de la salle de commande principale (sous-section 8.10.4 du document RD-337, Conception des nouvelles centrales nucléaires)

Il faut démontrer au moyen d’une évaluation que le temps que consacre l’opérateur à la détection, au diagnostic complet et à l’exécution des interventions nécessaires est suffisant. Une telle évaluation doit prendre en compte les points suivants :

• l’intervalle entre le déclenchement de l’événement initiateur et la réception de l’indication de l’événement par l’opérateur
• le temps nécessaire pour procéder au diagnostic
• le temps nécessaire pour effectuer l’intervention
• le temps nécessaire pour que la fonction de sûreté soit exécutée

Dans certains cas, on peut supposer des temps d’intervention inférieurs à 15 minutes pour la salle de commande, pourvu que :

• l’opérateur se consacre exclusivement à l’intervention en question
• l’intervention prescrite est unique et ne suppose pas un choix à partir de plusieurs options
• l’intervention prescrite est simple et ne nécessite pas de manipulations multiples

L’évaluation des points d’intervention crédités de l’opérateur doit être formelle et comporter un processus de validation. Un tel processus pourrait comprendre :

• des procédures documentées qui définissent les points d’entrée et les interventions de l’opérateur
• la formation de tous les opérateurs de la centrale travaillant par quart, à l’égard de ces procédures
• la participation aux exercices de la centrale pour enregistrer et évaluer le temps d’intervention
• une évaluation de ces délais d’intervention et une évaluation visant à déterminer une période propice pour l’utilisation de l’analyse de sûreté

5.4.4.5 Hypothèses en matière de modélisation

Les hypothèses intégrées aux codes informatiques ou élaborées au cours de l’application des codes doivent être telles que les résultats de l’analyse de sûreté, qu’ils soient de la meilleure estimation ou prudents, demeurent valides sur le plan physique.

Dans tous les cas d’exécution de l’analyse de sûreté où les hypothèses utilisées sont différentes de celles utilisées dans la validation, il faut fournir les justifications pertinentes.

5.4.4.6 Calculs des doses

Comme l’indique la sous-section 5.3, la dose réelle que reçoivent au corps entier les membres de groupes critiques le plus à risque, à la périphérie du site ou au-delà, est calculée dans l’analyse déterministe de sûreté pendant une période de 30 jours suivant l’événement analysé.

La dose efficace doit être utilisée dans les calculs de doses et doit comprendre les contributions :

• du rayonnement externe provenant des nuages et des dépôts au sol
• de l’inhalation de matières radioactives
• de l’absorption de tritium par la peau

Dans les calculs de doses, le pire scénario météorologique au point de vue de la dose prévue doit être supposé. Tous les scénarios météorologiques dont les probabilités de fréquence sont supérieures à 5 % doivent être pris en compte.

Aucune intervention sous forme de décontamination ou d’évacuation ne doit être présumée. Mais on peut supposer une intervention contre l’ingestion des matières radioactives et des procédés naturels d’élimination.

Les calculs de doses doivent être également effectués à divers intervalles et jusqu’à un (1) an après l’accident.

5.4.5 Codes informatiques

L’utilisation de codes informatiques réalistes dans l’analyse de sûreté est préférable, étant donné que l’utilisation de codes prudents peut produire des résultats trompeurs ou irréels. Toutefois, une base de données expérimentale élaborée doit être constituée pour démontrer l’applicabilité du code et pour le valider, en fournissant ainsi un élément de confiance dans la prévision des codes.

Les modèles entièrement intégrés pourraient donner une représentation plus précise de l’événement et doivent être utilisés dans la mesure du possible. Ces modèles portent sur tous les phénomènes importants dans un code unique ou dans un ensemble de codes. L’application séquentielle des codes de discipline unique risque de mal représenter les mécanismes de rétroaction et doit être évitée sauf en cas d’avantage particulier.

La norme CSA N286.7-99, Assurance de la qualité des programmes informatiques scientifiques, d’analyse et de conception des centrales nucléaires doit être appliquée dans l’utilisation et l’élaboration du code d’analyse de sûreté.

Le choix des codes informatiques doit tenir compte de l’applicabilité du code, de la durée de validation des codes et de la capacité de représenter convenablement le système physique.

5.4.5.1 Applicabilité des codes informatiques

Pour l’analyse de sûreté d’un événement, l’applicabilité des codes informatiques utilisés pour prévoir les conséquences est établie avant d’effectuer l’analyse. La démonstration de l’applicabilité du code comporte les étapes suivantes :

• l’identification de tous les phénomènes qui influent de façon importante sur les paramètres de sortie essentiels (voir la sous-section 5.4.2.3)
• la confirmation que le code met en œuvre des modèles adéquats pour tous les phénomènes essentiels et démonstration que ces modèles ont été vérifiés et validés par rapport aux essais à effet distinct
• l’évaluation des équations de fermeture et des relations constitutives
• l’évaluation des effets d’échelle. La variabilité dimensionnelle des tests des effets intégraux doit être évaluée pour confirmer qu’il n’y a pas de distorsion importante dans la base de données. Les distorsions d’échelle et leur impact sur l’évaluation du code doivent être déterminés évalués et abordés dans l’analyse de sûreté
• l’évaluation de la stabilité numérique des calculs et de la convergence temporelle et spatiale des approximations itératives. La convergence spatiale et temporelle est réalisée lorsqu’une augmentation ou une réduction dans la nodalisation et les échelons de temps (qui comprennent le changement d’échelon de temps minimal s’il y a lieu) ne changent pas les résultats de simulation de façon importante
• l’étude des écarts ou des lacunes dans l’applicabilité du code pour l’événement analysé

L’évaluation d’applicabilité du code et les bases de connaissances pertinentes sont documentées de façon suffisamment détaillée pour permettre un examen indépendant.

Pour modéliser le comportement en fonction de nombreux phénomènes couplés, on doit démontrer que les données sont transférées au travers des interfaces (c.-à-d. du calcul d’un phénomène à un autre) de façon à saisir adéquatement les phénomènes physiques et les mécanismes de rétroaction.

5.4.5.2 Validation du code et quantification de l’exactitude

La sous-section 5.4.1 du document RD-310, Analyses de la sûreté pour les centrales nucléaires, exige que tous les codes informatiques soient validés pour leur application dans l’analyse de sûreté. L’objet de la validation est d’établir la confiance dans la capacité d’un code pour une application donnée et également de déterminer l’exactitude de celui-ci.

La validation doit :

• démontrer la capacité et la crédibilité d’un code informatique à utiliser dans une analyse particulière
• quantifier l’exactitude des calculs du code (quantifiés par la comparaison de la prévision du code avec les données expérimentales)

Les codes utilisés dans l’analyse de sûreté sont validés en comparant les prévisions des codes avec :

• les données expérimentales
• les données de mise en service et l’expérience d’exploitation
• les solutions aux problèmes standards ou de référence
• les solutions mathématiques fermées
• les résultats d’un autre programme informatique validé

La comparaison de la prévision des codes aux solutions aux problèmes ou aux solutions mathématiques fermées aux fins de validation est acceptable, mais elle devrait normalement être complétée par d’autres types de comparaisons.

La base de données expérimentale utilisée pour la validation peut englober les effets distincts, les composants et les essais intégrés. La validation des essais choisis doit satisfaire aux critères suivants :

• les données d’essai sont obtenues dans des conditions physiques et géométriques et des phénomènes applicables soit aux conditions d’exploitation normales ou à un scénario d’accident hypothétique dans le réacteur
• les essais utilisés pour la validation sont exempts de distorsions attribuables à la géométrie ou à d’autres propriétés, dans la mesure du possible
• les incertitudes liées aux mesures sont quantifiées
• les erreurs systématiques (biais) sont réduites au minimum et leurs sources sont comprises
• les essais intégrés utilisés pour la validation doivent être propres au réacteur et contenir des composants représentatifs de ceux des centrales nucléaires
• les données utilisées pour l’élaboration du modèle sont indépendantes des données utilisées pour la validation du code informatique

L’exactitude des prévisions du code doit être fournie pour les paramètres de modélisation essentiels et pour les paramètres de la centrale utilisés pour contrôler la production de puissance ou pour enclencher un système d’atténuation. Voir la sous-section 5.4.2.7.

Le biais et la variabilité du biais du code informatique peuvent être obtenus à partir de la comparaison des prévisions relatives au code aux données expérimentales.

Les modèles du code utilisés au cours de la validation doivent être déterminés et recommandés pour être utilisés dans l’analyse de sûreté, afin que celle-ci soit conforme à la validation. Autrement, il faut évaluer l’incidence de l’utilisation de modèles différents sur les résultats de simulation (exactitude du programme).

Il faut clarifier les recommandations visant l’utilisation d’un code au-delà des conditions pour lesquelles la validation a été effectuée, et les effets d’une telle extrapolation doivent être évalués et pris en compte.

Il faut évaluer l’effet des hypothèses de modélisation sur les résultats de la validation, y compris la confirmation que la convergence spatiale et temporelle de la solution est obtenue.

La documentation portant sur les outils informatiques doit être claire et facile à suivre, de sorte que les incertitudes attribuables aux effets de l’utilisateur soient négligeables. L’utilisation de matériel informatique ou de systèmes d’exploitation différents doit également avoir des effets négligeables. Les moyens comme la formation et la conformité aux procédures d’assurance de la qualité doivent être clairement énoncés.

La validation des codes informatiques doit être effectuée par des personnes qualifiées. Les rapports de validation doivent être examinés par des personnes qualifiées qui n’ont pas participé à la validation.

Les directives mentionnées ci-dessus sont conformes aux exigences de la norme CSA N286.7-99, Assurance de la qualité des programmes informatiques scientifiques, d’analyse et de conception des centrales nucléaires et la complètent.

5.4.5.3 Représentations physiques

Les données sont également préparées pour fournir une représentation mathématique des composants physiques et leur disposition doit être représentée par une simulation par ordinateur. Ces données d’entrée doivent être préparées conformément aux principes suivants :

• une méthode systématique pour représenter les composants et les connexions doit être élaborée
• la base pour la méthodologie doit être documentée. Les méthodes utilisées sont généralement fondées sur l’expérience dans la représentation des installations expérimentales et autres centrales ayant des configurations semblables
• la représentation doit être vérifiée et validée
• dans certains cas, les essais en installation (parfois les essais de mise en service) sont nécessaires pour établir l’exactitude de telles représentations

En général, les représentations utilisées pour les simulations des centrales doivent être créées en utilisant les mêmes principes que les représentations utilisées pour la validation du code afin de réduire au minimum les effets connexes attribuables à l’utilisateur.

5.4.6 Marge de prudence dans l’analyse

L’analyse de sûreté doit incorporer un certain degré de prudence qui répond aux objectifs de l’analyse de sûreté et qui dépend de la classe de l’événement. Le degré de prudence est souvent nécessaire dans l’analyse de sûreté pour couvrir l’impact potentiel des incertitudes et peut être obtenu par l’application judicieuse des hypothèses et données prudentes.

Le concept de prudence a été incorporé à l’analyse de sûreté pour la défense en profondeur de niveau 3 pour s’assurer de limiter les hypothèses dans les cas où la connaissance des phénomènes physiques serait insuffisante.

Pour la défense en profondeur des niveaux 2 et 4, l’analyse de sûreté doit être effectuée en utilisant les hypothèses, données et méthodes de la meilleure estimation. Lorsque cela n’est pas possible, un degré raisonnable de prudence, approprié aux objectifs correspondant à ces niveaux, doit être appliqué pour compenser le manque de connaissance adéquate des processus physiques régissant ces événements.

S’il est permis et parfois souhaitable d’utiliser des codes prudents, il est généralement préférable d’appliquer des codes informatiques réalistes (meilleure estimation). Lorsque des résultats d’analyse prudents sont exigés pour l’analyse de défense en profondeur de niveau 3 (IFP et AD), les codes informatiques de la meilleure estimation doivent être utilisés conjointement avec l’évaluation de modélisation et les incertitudes liées aux paramètres d’entrée de la centrale.

L’analyse déterministe de sûreté pour les IFP et les AD (analyse prudente pour la défense en profondeur de niveau 3) doit :

• appliquer le critère de défaillance unique pour tous les groupes de sûreté et s’assurer que les groupes de sûreté sont qualifiés au point de vue environnemental et sismique
• utiliser le rendement minimal admissible (établi dans les LCE) pour les groupes de sûreté
• tenir compte des défaillances subséquentes qui peuvent survenir suite à l’événement initiateur
• créditer les interventions des systèmes de procédé et de contrôle seulement lorsque les systèmes sont passifs et qualifiés du point de vue environnemental et sismique pour les conditions d’accident
• inclure les interventions des systèmes de procédé et de contrôle quand elles peuvent avoir un effet préjudiciable sur les conséquences de l’accident analysé
• créditer les systèmes de procédé qui fonctionnent normalement et qui ne sont pas touchés par l’accident analysé

Le choix indépendant de tous les paramètres à leurs valeurs prudentes peut entraîner des états de la centrale autres que physiques. Si cela était le cas, on recommande de choisir avec prudence les paramètres essentiels qui influeraient le plus fortement sur les résultats par rapport au critère d’acceptation à l’étude. Les paramètres subsistants peuvent être précisés plus uniformément dans les calculs subséquents. Chaque calcul doit rendre compte de l’impact d’un paramètre particulier, afin que les effets de tous les paramètres puissent être évalués.

5.5 Documentation de l’analyse de sûreté

Les documents sur l’analyse de sûreté doivent être suffisamment détaillés pour permettre un examen indépendant par des experts dûment qualifiés. En particulier, ces documents doivent comprendre les éléments suivants :

1. l’objectif ou les objectifs de l’analyse
2. une description de l’événement analysé, qui doit comprendre la description du mode d’exploitation de la centrale nucléaire, l’intervention des SSC, les interventions de l’opérateur et les phases importantes de l’événement analysé (il faut également identifier les autres événements délimités par l’événement analysé)
3. une description des préoccupations liées à la sûreté, des risques pour la sûreté, et des critères, exigences et limites numériques applicables en ce qui concerne l’analyse de sûreté
4. la détermination des principaux phénomènes touchés de façon importante par les paramètres essentiels relatifs à l’événement analysé, ainsi qu’une description du processus systématique utilisé lors de la détermination des paramètres essentiels
5. la démonstration de l’applicabilité des codes, y compris des preuves de leur validation au moyen d’expériences avec des prototypes et de l’évaluation de leur exactitude, et des renvois aux résultats d’expérience pertinents
6. la démonstration que les hypothèses utilisées dans l’analyse répondent aux limites d’exploitation de la centrale, les éléments de preuve tirés de l’exploitation de la centrale nucléaire et des expériences démontrant ainsi respectivement les écarts présumés observés dans les paramètres d’exploitation et les incertitudes relevées dans la modélisation des paramètres
7. les résultats de l’analyse, y compris les résultats des études de sensibilité et d’incertitude suffisamment détaillées pour montrer le phénomène dominant
8. la preuve de la vérification indépendante des entrées et des résultats
9. la preuve de l’examen de l’analyse, y compris l’évaluation de l’impact, le cas échéant, sur les limites, conditions, manuels, etc. d’exploitation de la centrale

La documentation sur l’analyse de sûreté doit être rédigée de façon à être facilement compréhensible par le personnel de la centrale qui contrôle les LCE de la centrale.

5.6 Revue et mise à jour de l’analyse de la sûreté

5.6.1 Revue des résultats de l’analyse de la sûreté

Le titulaire de permis doit élaborer des procédures pour déterminer l’envergure de l’examen indépendant à appliquer à chaque étape de l’analyse de sûreté.

Pour examiner l’analyse de sûreté et cerner les lacunes potentielles, les examinateurs doivent bien connaître :

• les normes de sûreté, les méthodes d’analyse et la recherche technique et scientifique
• les modifications des données, de la conception, de l’enveloppe et des procédures d’exploitation de la centrale
• l’information sur l’expérience d’exploitation d’autres centrales nucléaires

Lors de l’examen de l’analyse de sûreté, les éléments d’examen suivants doivent être pris en compte :

• l’information sur la conception de la centrale, appuyée par des dessins concernant l’aménagement de la centrale, les systèmes et l’équipement, ainsi que des manuels de conception
• les limites d’exploitation et les états opérationnels permis
• l’information sur la capacité fonctionnelle de la centrale, des systèmes et des principales pièces d’équipement
• les résultats des essais qui valident la capacité fonctionnelle
• les résultats de l’inspection des composants
• les caractéristiques du site, par exemple une base de données sur les inondations, les séismes, la météorologie et l’hydrologie
• les caractéristiques hors site, y compris la densité de la population
• les résultats d’analyses semblables
• les développements touchant les méthodes analytiques et les codes informatiques
• les règlements relatifs à l’analyse de la sûreté
• les normes et procédures d’analyse de la sûreté

La portée et la méthode de l’examen doivent tenir compte des éléments suivants :

• la complexité et la nouveauté de l’analyse
• la similarité avec les analyses examinées antérieurement
• les marges prévues des critères d’acceptation

Pour une analyse nouvelle et complexe, l’utilisation d’autres méthodes devrait être envisagée pour confirmer les résultats d’analyse. D’autres méthodes utilisées aux fins de confirmation peuvent être simplifiées, mais doivent être capables de démontrer que les résultats d’analyse initiaux sont valides sur le plan physique.

5.6.2 Mise à jour de l’analyse de la sûreté

Le rapport de l’analyse de sûreté est périodiquement revu et mis à jour pour tenir compte des changements de configuration et de conditions (incluant ceux liés au vieillissement), des paramètres et procédures d’exploitation, des résultats de recherche et de l’avancée des connaissances sur les phénomènes physiques, conformément à la norme d’application de la réglementation S-99, Rapports à soumettre par les exploitants de centrales nucléaires.

La mise à jour périodique du rapport de l’analyse de sûreté doit :

• intégrer la nouvelle information
• examiner les nouveaux problèmes soulevés
• utiliser les outils et les méthodes actuels
• évaluer l’impact que les modifications susceptibles de se produire au cours de la durée de vie d’une centrale nucléaire peuvent avoir sur la conception et les procédures d’exploitation

La mise à jour de l’analyse de sûreté permet de s’assurer qu’elle demeure valide en tenant compte de :

• l’état réel de la centrale nucléaire
• la configuration permise de la centrale et les conditions d’exploitation admissibles
• l’état de fin de vie prévu de la centrale
• les modifications des méthodes d’analyse, des normes de sûreté et des connaissances qui invalident l’analyse de sûreté existante

Afin d’atteindre les objectifs susmentionnés, les lignes directrices qui suivent peuvent être utilisées pour la mise à jour des analyses de sûreté :

• examiner les méthodes d’analyse de sûreté par rapport aux normes applicables et les résultats de recherche disponibles au Canada et dans le monde pour répertorier les éléments à prendre en compte
• examiner les modifications apportées aux données, à la conception, à l’enveloppe et aux procédures d’exploitation de la centrale nucléaire pour cerner les éléments à mettre à jour
• examiner l’information sur la mise en service et l’expérience d’exploitation de la centrale nucléaire au Canada et dans le monde pour relever l’information pertinente à prendre en compte
• examiner les progrès réalisés au chapitre de la résolution des questions soulevées antérieurement au sujet de l’analyse de sûreté, pour évaluer l’impact de l’analyse de sûreté sur les méthodes et les résultats

5.7 Qualité de l’analyse de sûreté

Toutes les activités de l’analyse de sûreté doivent être exécutées conformément au programme d’assurance de la qualité (AQ) établi. En particulier, toutes les sources de données doivent être référencées et documentées, et les diverses étapes du processus doivent être enregistrées et archivées pour permettre d’effectuer une vérification indépendante.

Le programme d’AQ de l’analyse de sûreté doit se conformer aux exigences, codes et normes réglementaires et aux meilleures pratiques internationales. Le programme d’AQ devrait intégrer certains des éléments qui suivent :

• facteurs et responsabilités organisationnels
• classification et caractérisation des événements
• détermination des critères d’acceptation applicables
• détermination des principaux phénomènes et des paramètres essentiels
• préparation des méthodes d’analyse
• préparation des données d’entrée
• analyse des séquences de défaillance
• évaluation des incertitudes
• vérification et examen des résultats de l’analyse
• documentation de l’analyse

Annexe A : Exemples de classifications d’événements

Le tableau A.1 présent un classement des événements en IFP, AD et AHD et illustre les extrants du processus d’identification et de classification des événements décrits dans la sous-section 5.2. Cette liste n’est fournie qu’à titre de démonstration et n’a pas pour but d’être exhaustive.

Tableau A.1 : Extrants des processus d’identification et de classification des événements

Événement initiateur	Défaillances additionnelles	IFP	AD	AHD
APRP à l’intérieur de l’enceinte de confinement
Très petit APRP (fuite) Fuite du circuit caloporteur (CP) à l’intérieur de l’enceinte de confinement (selon la capacité de la pompe d’alimentation en D2O et jusqu’à 50 kg/s)	Pas de défaillances additionnelles	√
Petit APRP Petite rupture d’une conduite de CP (~ 50 à 1 000 kg/s) Rupture d’une conduite à la partie supérieure du pressuriseur Défaillance de raccord d’extrémité Rupture du tube de force avec tube de calandre intact Rupture d’un tube de force/tube de calandre (APRP dans le cœur)	Pas de défaillances additionnelles		√
	Défaillance de récupération de D2O/d’alimentation en D2O		√
	Défaillance de l’alimentation de catégorie IV		√
	Défaillance de l’étanchéité du confinement			√
	Défaillance de tous les refroidisseurs de l’enceinte de confinement			√
	Défaillance des vannes de l’enceinte de confinement			√
	Défaillance de la suppression dans l’enceinte de confinement			√
	Défaillance de la décharge filtrée de l’enceinte de confinement			√
	Défaillance du refroidissement du générateur de vapeur (GV)			√
	Défaillance du système de refroidissement d’urgence du cœur (SRUC)			√
Rupture de transition APRP Défaillance de conduite du CP (~ 1 000 à 3 000 kg/s)	Pas de défaillances additionnelles		√
	Défaillance de l’alimentation de catégorie IV		√
	Défaillance de l’étanchéité du confinement			√
	Défaillance de tous les refroidisseurs de l’enceinte de confinement			√
	Défaillance des vannes de l’enceinte de confinement			√
	Défaillance de la suppression de pression dans l’enceinte de confinement			√
	Défaillance de la décharge filtrée de l’enceinte de confinement			√
	Défaillance du refroidissement des GV			√
	Défaillance du SRUC			√
Rupture APRP majeur (> 3 000 kg/s)	Pas de défaillances additionnelles		√
	Défaillance de l’alimentation de catégorie IV		√
	Défaillance de l’étanchéité du confinement			√
	Défaillance de tous les refroidisseurs de l’enceinte de confinement			√
	Défaillance des vannes de l’enceinte de confinement			√
	Défaillance de la suppression de pression dans l’enceinte de confinement			√
	Défaillance de la décharge filtrée de l’enceinte de confinement			√
	Défaillance du refroidissement des GV			√
	Défaillance du SRUC			√
APRP à l’extérieur de l’enceinte de confinement
Très petit APRP (fuite) hors de l’enceinte de confinement Rupture de tube d’instrument du CP hors de l’enceinte de confinement	Pas de défaillances additionnelles	√
	Défaillance du circuit de refroidissement à l’arrêt (CRA)		√
Fuite chronique d’un tube de GV (< 50 kg/h) à forte concentration en I-131	Pas de défaillances additionnelles	√
Rupture d’un tube de GV	Pas de défaillances additionnelles		√
	Défaillance du CRA		√
	Défaillance des vannes de rejet du condenseur (VRC)		√
	Défaillance des vannes principales d’isolation de vapeur (VPIV) des GV touchés		√
	Défaillance du CRA et des VRC			√
Rupture multiple des tubes de GV (≤ 10)	Pas de défaillances additionnelles		√
Rupture multiple des tubes de GV (> 10)	Pas de défaillances additionnelles			√
Défaillance du joint d’étanchéité du CP	Pas de défaillances additionnelles	√
	Défaillance du CRA		√
Rupture de la conduite de drainage du CP	Pas de défaillances additionnelles		√
	Vanne de drainage défectueuse en position ouverte		√
Rupture de la conduite d’alimentation du CP	Pas de défaillances additionnelles		√
	Vanne de purge défectueuse en position ouverte		√
Non-fermeture du clapet	Pas de défaillances additionnelles		√
Perte d’écoulement
Blocage d’écoulement mineur dans un canal	Pas de défaillances additionnelles	√
	Indisponibilité du SRUC ou de l’enceinte de confinement		√
Blocage d’écoulement grave dans un canal	Pas de défaillances additionnelles		√
	Indisponibilité du SRUC ou de l’enceinte de confinement			√
Stagnation due à une rupture d’un tuyau d’alimentation	Pas de défaillances additionnelles		√
	Défaillance de l’alimentation de catégorie IV			√
	Défaillance de l’étanchéité de l’enceinte de confinement			√
	Défaillance des refroidisseurs de l’enceinte de confinement			√
	Défaillance des vannes de l’enceinte de confinement			√
	Défaillance de la suppression de pression dans l’enceinte de confinement			√
	Défaillance de la décharge filtrée de l’enceinte de confinement			√
	Défaillance du refroidissement des GV			√
	Défaillance du SRUC			√
Défaillances du rechargement
Éjection du combustible de la machine de rechargement du combustible (MRC) dans l’enceinte de confinement	Pas de défaillances additionnelles		√
	Défaillance de l’alimentation de catégorie IV			√
	Défaillance de l’étanchéité de l’enceinte de confinement			√
	Défaillance des refroidisseurs de l’enceinte de confinement			√
	Défaillance des vannes de l’enceinte de confinement			√
	Défaillance de la suppression de pression dans l’enceinte de confinement			√
	Défaillance de la décharge filtrée de l’enceinte de confinement			√
	Défaillance du refroidissement des GV			√
	Défaillance du SRUC			√
Rupture du circuit d’eau d’alimentation
Perte totale de l’eau d’alimentation	Pas de défaillances additionnelles		√
	Défaillance du CRA		√
	Défaillance du système de refroidissement d’urgence des générateurs de vapeur (SRUGV) ou système secondaire d’urgence d’alimentation en eau (SSUAE)			√
Rupture d’une conduite d’eau d’alimentation en amont du dernier clapet	Pas de défaillances additionnelles		√
	Défaillance du CRA		√
	Défaillance du SRUGV ou SSUAE			√
Rupture d’une conduite d’eau d’alimentation en aval du dernier clapet	Pas de défaillances additionnelles		√
	Défaillance du CRA			√
	Défaillance du SRUGV ou SSUAE			√
Défaillance du système d’alimentation de vapeur d’eau
Fermeture intempestive des VPIV	Pas de défaillances additionnelles	√
Rejet de la charge turbine/GV et déclenchement de la turbine	Pas de défaillances additionnelles	√
Ouverture intempestive d’une ou plusieurs soupapes de sûreté de vapeur principales (SSVP)	Pas de défaillances additionnelles	√
Déclenchement de la turbine avec VRC indisponible	Pas de défaillances additionnelles	√
Rupture d’une large conduite de vapeur Rupture de la conduite principale de vapeur Défaillance de l’équilibrage du collecteur des conduites principales de vapeur Rupture de la buse de vapeur du GV	Pas de défaillances additionnelles		√
	Défaillance du CRA			√
	Défaillance du SRUGV ou SSUAE			√
Rupture de la conduite de drainage du réchauffeur	Pas de défaillances additionnelles	√
	Défaillance du CRA		√
	Défaillance du SRUGV ou SSUAE			√
Perte de pression du dégazeur due à une rupture de la conduite d’extraction de vapeur	Pas de défaillances additionnelles		√
Événements de la pompe du caloporteur
Déclenchement de la pompe du CP	Pas de défaillances additionnelles	√
Blocage de la pompe du CP	Pas de défaillances additionnelles		√
Défaillance de l’arbre de la pompe du CP	Pas de défaillances additionnelles		√
Défaillances du système de manutention du combustible
Perte de refroidissement de la machine de rechargement du combustible (MRC) au cours du transport	Pas de défaillances additionnelles		√
	Défaillance de l’étanchéité du confinement			√
	Défaillance des vannes de l’enceinte de confinement			√
Perte de réfrigérant de la MRC ancrée au réacteur	Pas de défaillances additionnelles	√
	Défaillance de l’étanchéité du confinement		√
	Défaillance des vannes de l’enceinte de confinement		√
	Défaillance de la décharge filtrée de l’enceinte de confinement		√
Grappe écrasée avec la MRC ancrée au réacteur	Pas de défaillances additionnelles	√
	Fuite d’un tube de GV	√
Incidents de manutention du combustible à la piscine de stockage (PS)	Pas de défaillances additionnelles	√
	Effluents gazeux non disponibles		√
Incidents touchant la piscine de stockage (PS)	Pas de défaillances additionnelles	√
	Perte du système de ventilation de la piscine		√
Perte de refroidissement de la PS	Pas de défaillances additionnelles	√
	Perte de refroidissement d’appoint		√
	Perte du système de ventilation de la piscine		√
Perte d’inventaire de la PS	Pas de défaillances additionnelles		√
	Perte du système de ventilation de la piscine			√
Défaillances électriques
Perte de l’alimentation de catégorie IV	Pas de défaillances additionnelles	√
	Défaillance de l’alimentation de catégorie III		√
Perte de l’alimentation de catégorie I de l’unité	Pas de défaillances additionnelles	√
Perte de l’alimentation de catégorie II de l’unité	Pas de défaillances additionnelles	√
Perte de l’alimentation électrique d’urgence (AEU) de l’unité	Pas de défaillances additionnelles	√
Perte de l’alimentation électrique commune	Pas de défaillances additionnelles	√
Défaillances du mécanisme de contrôle
Défaillances des ordinateurs de contrôle	Pas de défaillances additionnelles	√
Perte du contrôle de la réactivité	Pas de défaillances additionnelles	√
Perte de régulation du réacteur	Pas de défaillances additionnelles	√
Pression du GV basse – Ouverture intempestive des vannes de rejet atmosphérique et VRC	Pas de défaillances additionnelles	√
Perte du contrôle de niveau des GV	Pas de défaillances additionnelles	√
Perte de contrôle de niveau du dégazeur	Pas de défaillances additionnelles	√
Perte de contrôle de la pression du caloporteur : surpressurisation	Pas de défaillances additionnelles	√
Perte de contrôle de la pression du caloporteur : dépressurisation	Pas de défaillances additionnelles	√
Défaillances du CRA et du refroidissement du blindage
Perte de contrôle du refroidissement /de la température	Pas de défaillances additionnelles	√
Perte d’écoulement	Pas de défaillances additionnelles		√
Rupture de conduite	Pas de défaillances additionnelles		√
Rupture des tubes de l’échangeur de chaleur du CRA	Pas de défaillances additionnelles		√
Perte de circulation du refroidissement du blindage	Pas de défaillances additionnelles		√
	Défaillance du CRA		√
Perte totale du système d’eau de service à basse pression (SESBP)	Pas de défaillances additionnelles	√
Perte d’inventaire du bouclier d’extrémité	Pas de défaillances additionnelles	√
	Défaillance du CRA		√
Perte de contrôle de la température du bouclier	Pas de défaillances additionnelles	√
	Défaillance du CRA		√
Défaillances du modérateur
Perte du SESBP	Pas de défaillances additionnelles	√
	Défaillance du déclenchement sur consigne de haut niveau du modérateur		√
	Défaillance de l’étanchéité du confinement		√
	Défaillance des soupapes		√
	Défaillance de la décharge filtrée de l’enceinte de confinement		√
Perte de circulation du modérateur	Pas de défaillances additionnelles	√
	Défaillance du commutateur à haut niveau du modérateur		√
	Défaillance du CRA		√
Perte de contrôle de la température du modérateur – bas	Pas de défaillances additionnelles	√
Perte de l’inventaire du modérateur	Pas de défaillances additionnelles		√
	Défaillance du CRA		√
Rupture du tube de l’échangeur de chaleur du système modérateur	Pas de défaillances additionnelles		√
Perte de pression du gaz de couverture	Pas de défaillances additionnelles	√
Perte de circulation du gaz de couverture	Pas de défaillances additionnelles	√
Perte du SESBP aux échangeurs de chaleur du modérateur	Pas de défaillances additionnelles	√
	Défaillance du déclenchement sur consigne de haut niveau du modérateur		√
	Défaillance du CRA		√
Défaillances des systèmes de soutien
Perte du SESBP/défaillance du système d’eau de refroidissement recirculée	Pas de défaillances additionnelles	√
	Défaillance du déclenchement sur consigne de haut niveau du modérateur		√
	Défaillance de l’isolation du confinement		√
	Défaillance des soupapes		√
	Défaillance de la décharge filtrée de l’enceinte de confinement		√
	Défaillance du SSUAE		√
Défaillance du SSUAE	Pas de défaillances additionnelles	√
Défaillance du circuit d’air de l’instrumentation	Pas de défaillances additionnelles		√
Perte de l’écoulement du condensat aux dégazeurs	Pas de défaillances additionnelles		√
Événements déclenchés de mode commun (la classification de ces événements dépend des paramètres présumés)
Incendies internes	Pas de défaillances additionnelles		√	√
Rejet de tritium	Pas de défaillances additionnelles		√	√
Feu d’hydrogène	Pas de défaillances additionnelles		√	√
Explosion d’hydrogène	Pas de défaillances additionnelles		√	√
Séisme de dimensionnement	Pas de défaillances additionnelles		√	√
Rupture de la turbine	Pas de défaillances additionnelles		√	√
Tornade de dimensionnement	Pas de défaillances additionnelles		√	√
Incident ferroviaire de dimensionnement	Pas de défaillances additionnelles		√	√
Incident ferroviaire – produits toxiques/corrosifs	Pas de défaillances additionnelles		√	√

Annexe B : Exemples de critères d’acceptation dérivés

Conformément à la sous-section 5.3.4 du document RD-310, Analyses de la sûreté pour les centrales nucléaires, le titulaire de permis doit établir des critères d’acceptation dérivés. L’annexe B donne des directives sur l’application des critères d’acceptation dérivés précisés dans le présent document d’orientation. Les exemples ci-après sont tirés de pratiques courantes en vigueur au Canada et dans le monde.

Incidents de fonctionnement prévus

Les critères globaux pour un IFP sont les suivants (voir la sous-section 7.3.2 du document RD-337, Conception des nouvelles centrales nucléaires) :

• le critère d’acceptation de doses pour un IFP est respecté
• les SSC qui n’interviennent pas dans l’enclenchement de l’événement doivent rester en bon état pour assurer l’exploitation continue

La sous-section 7.3.2 du document RD-337 prévoit que la plupart des IFP seront atténués par les systèmes de contrôle et ne nécessiteront pas l’intervention des systèmes de sûreté pour prévenir les dommages.

En outre, tous les IFP seront atténués par les systèmes de sûreté sans l’aide des systèmes de contrôle. Seuls les critères qui indiquent une atténuation réussie par les systèmes de sûreté sont illustrés dans tableau B.1 qui suit.

Tableau B.1 : Exemples de critères d’acceptation pour les incidents de fonctionnement prévus

Barrière pour contrer le rejet de produits de fission ou fonction de sûreté fondamentale	Critères
Matrice de combustible	Apte à l’emploi
Gaine du combustible	Pas d’assèchement/d’ébullition nucléée (DNB)
Assemblage de combustible	Maintenir la capacité de refroidissement du combustible Conserver la géométrie barre-grappe avec suffisamment de canaux de caloporteur pour permettre d’éliminer la chaleur résiduelle Pas d’entrave au mécanisme d’arrêt du réacteur due au changement de géométrie (REL)
Canaux de combustible (réacteurs CANDU)	Apte à l’emploi Service ASME niveau B non dépassé
CCP (à l’exclusion des canaux de combustible des réacteurs CANDU)	Apte à l’emploi Service ASME niveau B non dépassé
Circuit caloporteur secondaire	Apte à l’emploi Service ASME niveau B non dépassé
Enceinte de confinement	Apte à l’emploi Service ASME niveau B non dépassé La fuite demeure à l’intérieur de la limite de conception
Contrôle de la réactivité	Réactivité contrôlée par le système de sûreté Après l’arrêt, il n’y a pas de retour intempestif à la criticité
Évacuation de la chaleur résiduelle	Évacuation de la chaleur par le système de sûreté efficace
Surveillance de l’état de l’équipement	Apte à l’emploi l’instrumentation du système de sûreté est qualifiée aux plans environnemental et sismique
Dose hors site	Respecte les critères d’acceptation de doses, sous-section 4.2.1 du document RD-337, pour un IFP

Accident de dimensionnement

Les critères globaux pour un AD sont les suivants :

• le critère d’acceptation de doses pour un AD est respecté
• l’événement n’évolue pas vers des conditions plus graves

La sous-section 5.3.4 du document RD-310 établit les principes généraux suivants que doivent respecter les critères d’acceptation dérivés :

• éliminer le risque de défaillances résultant d’un événement initiateur
• maintenir les SSC dans une configuration permettant l’évacuation efficace de la chaleur résiduelle
• prévenir le développement de configurations complexes ou de phénomènes physiques qui ne peuvent être modélisés avec un niveau de confiance élevé
• être consistants avec les exigences de conception des SSC de la centrale

Le tableau B.2 présente des exemples de critères d’acceptation d’AD.

Tableau B.2 : Exemples de critères d’acceptation d’accidents de dimensionnement

Barrière pour contrer le rejet de produits de fission ou fonction de sûreté fondamentale	Critères
Matrice de combustible	Pas de fusion sur la ligne médiane du combustible Pas de rupture du combustible Pas de dépôt excessif d’énergie
Gaine de combustible	Les éléments combustibles (barres de combustible) qui dépassent les critères de densité du flux thermique critique ou le critère de crise d’ébullition sont censés se briser et contribuer à la dose hors site Aucune déformation excessive de la gaine de combustible Les éléments combustibles doivent répondre aux limites applicables pour : la température de la gaine l’oxydation locale de la gaine la fragilisation de la gaine de combustible par l’oxygène
Assemblage de combustible	Maintenir la capacité de refroidissement du combustible Conserver la géométrie barre-grappe ou l’assemblage de combustible avec suffisamment de canaux de caloporteur pour permettre d’évacuer la chaleur résiduelle Pas d’entrave au mécanisme d’arrêt du réacteur due au changement de géométrie (REL)
Canaux de combustible (réacteurs CANDU)	Le canal de combustible demeure intact La déformation du tube de force local au-dessous du seuil de rupture Le sous-refroidissement du modérateur empêche la rupture Pas de dilatation forcée Pas de fusion de la gaine de combustible Pas de fusion sur la ligne médiane du combustible Pas de rupture du combustible  Pas de courbure ou de flexion de l’élément combustible en contact avec le tube de force
Circuit caloporteur primaire (à l’exclusion des canaux de combustible des réacteurs CANDU)	L’enveloppe de pression demeure intacte : Service ASME niveau C non dépassé Aucune fuite indirecte des tubes du GV
Circuit caloporteur secondaire	L’enveloppe de pression demeure intacte : Service ASME niveau C non dépassé
Cuve et modérateur (ne s’appliquent pas aux REL)	L’enveloppe de pression demeure intacte : Service ASME niveau C non dépassé
Confinement	Les conditions de confinement ne dépassent pas la base de référence : Pression inférieure à la pression de conception La fuite de l’enceinte de confinement demeure à l’intérieur des limites de fuite de conception Les conditions des qualifications environnementales (température, humidité, dose radioactive) des SSC crédités sont respectées Aucun effet local de rupture (missiles, jets, fouettage des tuyaux, flamme d’hydrogène) qui pourrait nuire à la fonction de confinement Les concentrations locales d’hydrogène en deçà de l’accélération de la flamme et les critères de transition de déflagration-détonation Charges de combustion de la déflagration lente inférieures à celles qui pourraient endommager les SSC de confinement
Contrôle de la réactivité	La réactivité est contrôlée : Aucune criticité immédiate Après l’arrêt, tout retour à la puissance est limité en durée et n’occasionne pas le dépassement de tout autre critère d’acceptation dérivé
Évacuation de la chaleur résiduelle	Le refroidissement continu du cœur du réacteur à long terme est possible : La géométrie du cœur du réacteur peut être refroidie La chaleur résiduelle est évacuée du cœur du réacteur La chaleur est transférée vers une source froide ultime
Surveillance de l’état de l’équipement	Apte à l’emploi L’instrumentation du système de sûreté est qualifiée aux plans environnemental et sismique
Dose hors site	Respecte les critères d’acceptation de doses, sous-section 4.2.1 du document RD-337, pour un AD

Abréviations

AD	accident de dimensionnement
AEU	alimentation électrique d’urgence
AHD	accident hors dimensionnement
AIEA	Agence internationale de l’énergie atomique
ALARA	niveau le plus bas qu’il soit raisonnablement possible d’atteindre
APRP	accident de perte de réfrigérant primaire
ASME	American Society of Mechanical Engineers
CC	circuit caloporteur
CCSN	Commission canadienne de sûreté nucléaire
CN	centrale nucléaire
EAG	état d’arrêt garanti
EIH	événement initiateur hypothétique
EPS	étude probabiliste de sûreté
FAR	fuite avant rupture
IFP	incidents de fonctionnement prévu
LCE	limites et conditions d’exploitation
LSRN	Loi sur la sûreté et la réglementation nucléaires
REL	réacteur à eau légère (ordinaire)
REP	réacteurs à eau sous pression
SCP	salle de commande principale
SRUC	système de refroidissement d’urgence du cœur
SSC	structures, systèmes et composants

Glossaire

accident

événement inattendu, y compris les erreurs opérationnelles, les défaillances de l’équipement ou autres contretemps dont les conséquences ou les conséquences potentielles ne sont pas négligeables de point de vue de la protection ou de la sûreté

accident de dimensionnement

conditions d’accident pour lesquelles une centrale nucléaire est conçue, selon les critères d’acceptation établis, et pour lesquelles les dommages causés au combustible et les rejets de matières radioactives sont maintenus dans les limites autorisées

accident hors dimensionnement

conditions d’accident moins fréquentes, mais plus graves que celles associées à un accident de dimensionnement. Un AHD peut ou non entraîner la détérioration du cœur du réacteur

analyse de sensibilité

examen quantitatif de la variabilité du comportement d’un système, habituellement exprimé en unités des paramètres principaux

analyse de sûreté

évaluation des dangers potentiels associés à la réalisation d’une activité proposée

analyse déterministe de sûreté

analyse des réponses d’une centrale nucléaire à un événement particulier, réalisée en utilisant des règles et des hypothèses prédéterminées (p. ex. l’état opérationnel initial, la disponibilité et la performance des systèmes de la centrale et les actions des opérateurs). L’analyse déterministe peut être réalisée avec la méthode prudente ou la méthode de la meilleure estimation

caractéristiques de soutien des systèmes de sûreté

ensemble des équipements qui fournissent des services tels que le refroidissement, la lubrification et l’approvisionnement en énergie nécessaires pour le système de protection et les systèmes de déclenchement des dispositifs de sûreté

catégorie d’événement

groupe d’événements caractérisés par une cause identique ou semblable, et par la similitude des phénomènes les régissant

cause commune

cause à l’origine de deux ou plusieurs défaillances des structures, systèmes ou composants, comme les phénomènes naturels (séismes, tornades, inondations, etc.), les défauts de conception ou de fabrication, les erreurs d’exploitation ou d’entretien, la destruction causée par l’homme, etc.

centrale nucléaire

toute installation de réacteur à fission ayant été construite pour produire de l’électricité à l’échelle commerciale. Une centrale nucléaire est une installation nucléaire de catégorie IA, telle que définie dans le Règlement sur les installations nucléaires de catégorie I

critères d’acceptation

limites spécifiées sur la valeur d’un indicateur fonctionnel ou conditionnel utilisé pour évaluer la capacité d’un système, d’une structure ou d’un composant à répondre aux exigences de conception et de sûreté

critères d’acceptation des doses

limite imposée aux doses de rayonnement afin de protéger le public de tout préjudice causé par le rejet de matières radioactives pendant l’exploitation normale de la centrale ou lors d’incidents de fonctionnement prévus et d’accidents de référence

critère de défaillance unique

critère utilisé pour déterminer si un système peut fonctionner en cas de défaillance unique

défaillance unique

défaillance résultant de la perte de capacité d’un système ou d’un composant l’empêchant d’exécuter sa ou ses fonctions de sûreté prévues et toute défaillance résultant de cette défaillance unique

en aveugle

conditions pour lesquelles on s’approche d’un signal d’activation ou de conditionnement sans vraiment l’obtenir, en raison de la faible amplitude de l’événement initiateur ou des interventions d’autres procédés ou systèmes de sûreté

état d’arrêt

état sous-critique du réacteur présentant une marge définie pour empêcher un retour à la criticité sans intervention externe

évaluation de la sûreté

évaluation de tous les aspects touchant la sûreté et liés au choix de l’emplacement, à la conception, à la mise en service, à l’exploitation ou au déclassement d’une installation autorisée

événement initiateur hypothétique

événement identifié dans la conception et entraînant soit un IFP, soit d’autres conditions d’accident. Il en découle que l’EIH n’est pas nécessairement un accident en soi; il est plutôt l’initiateur d’une séquence susceptible de dégénérer en IFP, en AD ou en AHD, selon les défaillances supplémentaires qui surviennent

événement limitatif

événement dont la marge prévue est la plus petite possible par rapport à un critère d’acceptation donné

exactitude des codes

degré de proximité d’une quantité calculée à sa valeur réelle. Comprend le biais et la variabilité du biais d’un code informatique dérivés de la comparaison de prédictions du code avec les données expérimentales

exploitation normale

exploitation d’une centrale nucléaire à l’intérieur de limites et de conditions d’exploitation définies, y compris le démarrage, l’exploitation à divers niveaux de puissance, la mise à l’arrêt, l’arrêt, l’entretien, les essais et le rechargement de combustible

groupe de sûreté

assemblage de structures, systèmes et composants conçu pour exécuter toutes les actions requises au cours d’un événement initiateur hypothétique particulier pour que les limites spécifiées des états d’IFP et d’AD ne soient non dépassées. L’assemblage peut comprendre des systèmes de sûreté et de soutien, ainsi que toute interaction entre les systèmes fonctionnels

incertitude relative à la mesure

quantité d’une valeur mesurée pouvant ne pas représenter la valeur physique réelle d’un paramètre au moment où la mesure est effectuée

incident de fonctionnement prévu

processus opérationnel qui s’écarte du fonctionnement normal et qui devrait survenir à tout le moins une fois au cours du cycle de vie utile de la centrale nucléaire mais qui ne cause pas, selon les dispositions de conception appropriées, de dommage important aux composants importants pour la sûreté qui ne se transforme pas en accident

limites et conditions d’exploitation

ensemble de règles établissant les limites ou conditions des paramètres qui assurent la capacité fonctionnelle et les niveaux de performance de l’équipement pour l’exploitation sécuritaire d’une centrale nucléaire

méthode de la meilleure estimation

méthode conçue pour donner des résultats réalistes

mode d’exploitation

le mode d’exploitation peut comprendre le démarrage, l’exploitation à différentes puissances, la mise à l’arrêt, l’arrêt, l’entretien, les essais et le rechargement de combustible

objectif de sûreté

objectif destiné à protéger le personnel de l’installation, le public et l’environnement de tout préjudice en établissant et en maintenant des systèmes efficaces de défense contre les risques radiologiques

paramètre d’acceptation

paramètre qui caractérise la réponse de la centrale et qui comporte un critère d’acceptation comme limite pour la gamme de valeurs acceptables

prudence

utilisation d’hypothèses fondées sur l’expérience ou des données indirectes, sur un phénomène ou un comportement d’un système à la limite ou proche de la limite prévue, qui permettent d’augmenter les marges de sûreté ou de prédire des conséquences plus graves que si des hypothèses fondées sur la meilleure estimation avaient été utilisées

structures, systèmes et composants

terme général qui recouvre tous les éléments (aspects) d’une installation ou d’une activité qui contribuent à la protection et à la sûreté, à l’exclusion des facteurs humains

système de refroidissement d’urgence du cœur

système de sûreté ayant pour but de transférer la chaleur du cœur du réacteur à la suite d’une perte de caloporteur excédant les capacités d’appoint

système de sûreté

système qui assure l’arrêt sécuritaire du réacteur ou l’évacuation de la chaleur résiduelle du cœur du réacteur, ou qui atténue les conséquences des IFP et des AD

Renseignements supplémentaires

1. Commission canadienne de sûreté nucléaire, RD-337, Conceptions des nouvelles centrales nucléaires, Ottawa, 2008.
2. Commission canadienne de sûreté nucléaire, S-294, Études probabilistes de sûreté (EPS) pour les centrales nucléaires, Ottawa, 2005.
3. Commission canadienne de sûreté nucléaire, S-99, Rapports à soumettre par les exploitants de centrales nucléaires, Ottawa, 2003.
4. Commission canadienne de sûreté nucléaire, G-149, Les programmes informatiques utilisés lors de la conception et des analyses de la sûreté des centrales nucléaires et des réacteurs de recherche, Ottawa, 2000.
5. Commission canadienne de sûreté nucléaire, RD-327, Sûreté en matière de criticité nucléaire, Ottawa, 2010.
6. Commission canadienne de sûreté nucléaire, GD-327, Directives de sûreté en matière de criticité nucléaire, Ottawa, 2010.
7. Association canadienne de normalisation, N286.7-99, Assurance de la qualité des programmes informatiques scientifiques, d’analyse et de conception des centrales nucléaires, Toronto, 2003.