Les normes des systèmes d`arrêt d`urgence des centrales nucléaires

1+1
Commission de contrôle
de "énergie atomique
Atomic Energy
Control Board
Texte de réglementation Les normes des systèmes d'arrêt d'urgence des centrales nucléaires CANDU Déclaration de principe en matière de réglementation
Date d' entrée en vigueur: le 21 février 1991
Canada R-8 Le présent document fait partie d'un ensemble de textes de réglementation
liés aux exigences de sûreté des centrales nucléaires CANDU :
R-7. Les Nonnes des systèmes de confinement des centrales nucléaires CANDU R-8. Les Normes des systèmes d'arrêt d'urgence des centrales nucléaires CANDU R-9, Les Nonnes des systèmes de refroidissement d'urgence des centrales nucléaires CANDU. Ces documents s'appliquent aux réacteurs dont Je permis de construire a été délivré après le 1- janvier 1981. Le présent texte de réglementation est le deuxième que la CCEA publie au sujet des systèmes d'arrêt d'urgence. U ne contredit pas l'autre texte de réglementation R-lO de la CCEA. intitulé L'Utilisation de deux systèmes tI arrêt d'urgence des réacteurs. qui a été publié en 1977. TABLE DES MATIÈRES 1.
DÉFINlTIONS ................................................................................................................................................. . 2. EXIGENCES FONDAMENTALES ................................................................................................................ . 3.
EXIGENCES NOMINALES ............................................................................................................................ . 3.1 Nonnes de rendement minimal admissible .............................................................................................
3.2 Nonnes de rendement ....................... ..... .............. ........................ ................. ..... ....... .................... ..... .....
3.3 Nonnes des conditions ambiantes ........................... .............. ............ .......... ................ ..... ............... ........
3.4
Nonnes de disponibilité ........................... ... ........ ...... ....... ........................ ..... ..... ................... ....... ..... ......
3.5 Nonnes de séparation el d'indépendance ...............................................................................................
3.6 Nonnes des mécanismes d'intervention .................................................................................................
3.7 Nonnes de vérification du matériel .........................................................................................................
3.8 Codes et normes ........ ..... .............. ..... .............. ............. ......... ......... ............ ......................... ....................
3.9
Nonnes en cas de séismes .......................................................................................................................
1
1
2
2
3
3
3
3
4
4.
NORMES D'EXPLOITATION ....................................................................................................................... 4 4.1
Nonnes d'exploitation nonnale .............................................................................................................. 4 4.2 Nonnes en cas d'accident ....................................................................................................................... 5 5.
NORMES DES ÉPREUVES ......... ............ .................................... ............................... ..... ..................... ..... ......
5.1
Essais de mise en service .......... ....... ................. ........ ............................. ...... ............. ............ ..................
5.2 Épreuves et inspections en cours d'exploitation .....................................................................................
5
5
5
RÉFÉRENCE ....... .......... ........... ....... ..... .............. ............ ...... ...... ............ ..... ....... ....... ............. .... ...... ...... ............ ... ...
5
TABLEAUX ............................................................................................................................................................. 6 LES NORMES DES SYSTÈMES D'ARRÊT D'URGENCE DES CENTRALES NUCLÉAIRES CANDU 1. DÉFINITIONS*
«circuit caloponeur primaire» Ensemble de composants qui pennelle transfert de la chaleur du combustible dans Je
réacteur jusqu'aux générateurs de vapeur ou jusqu'à d'autres échangeurs de chaleur utilisant un système de
refroidissement secondaire. Dans le présent document, il ne comprend pas nécessairement les sous-systèmes
auxiliaires de purification et de régulation de la pression; (primary heat transport system)
«défaillance du combustible» Toute rupture de la gaine de combustible qui pourrait laisser échapper des produits de
fission; (fuel failure)
«normes de rendement minimal admissible» Ensemble des limites d'exploitation ou des différentes conditions
établies pour les composants ou sous-systèmes, qui prévoient les états minimaux acceptables des composants ou
sous-systèmes dans les analyses de sûreté; (minimum allowable performance standards)
«système spécial de sûreté» L'un des systèmes suivants: système d'arrêt, système de confinement ou système de
refroidissement d'urgence du coeur (special safety system).
2. EXIGENCES FONDAMENTALES
2.1 Tous les réacteurs nucléaires CANDU doivent être dotés de deux systèmes d'arrêt d'urgence différents...... et
indépendants. Chaque système doit satisfaire les normes du présent document.
2.2 Chaque système d'arrêt d'urgence doit être considéré comme un système spécial de sûreté.
2.3 Des procédures pour assurer la conformité aux exigences du présent document doivent être établies et soumises
par le titulaire de permis à l'approbation de la Commission de contrOle de J'énergie atomique (CCEA) avant que
celle-ci puisse délivrer le permis de construire (cf. article 3) ou le permis d'exploitation (cf. articles 4 et 5).
3. EXIGENCES NOMINALES
3.1 Normes de rendement minimal admissible**'"
Des normes de rendement minimal admissible doivent être établies pour chaque système d'arrêt d'urgence et être
citées ou faire l'objet d'un renvoi dans le rapport de sûreté et la ligne de conduite d'exploitation de la centrale. Les
normes de rendement minimal admissible de tout matériel important nécessaire au bon fonctionnement de chaque
système d'arrêt d'urgence doivent aussi être précisées.
3.2 Normes de rendemen~**
3.2.1 Pour tout événement indiqué aux tableaux 1 et 2, qui nécessite un arrêt rapide du réacteur, chaque système
d'arrêt d'urgence doit être conçu pour assurer à lui seul:
a) que le réacteur est ramené à un niveau non divergent et y est maintenu, b) que les limites de référence ne sont pas dépassées..··, • La présente liste ne contient pas tous les termes utilisés dans le présent document et vise plutôt à aider le
lecteur à comprendre le sens de certains mots ou expressions. L'Association canadienne de normalisation (ACNOR)
vient de publier une liste détainée des défmitions des termes relatifs aux centrales nucléaires CANDU, intitulée
Manual of Definitions for CSA Nuclear Standards Use by CSA Technical Committees (CSA-N9409A-1989)
[version anglaise seulement) .
•• Dans le cas d'accidents hypolhétiques qui nécessitent le déclenchement d'un système d'arrêt d'urgence. il
faut qu'un des systèmes d'arrêt d'urgence au moins fonctionne conformément aux nonnes de rendement minimal
admissible prévues au paragraphe 3.1 .
••• Les nonnes de rendement de tout système d'arrêt d'urgence n'ont trait qu'à son rOle d'arrêter le réacteur.
Pour se conformer aux normes qui dépendent du refroidissement du combustible ou du confinement, on peUL en
tenir compte pour démontrer que les nonnes de rendement sont respectées .
•••• Le présent document de réglementation ne prévoit pas de normes détaillées pour les analyses de sûrelé et
les doses ümites de référence. Les doses limites de référence indiquées à l'alinéa 3.2.1b) correspondent à celles qui
-2­
c) qu'aocune atteinte à l'intégrité du circuit caloporteur primaire ne découle d'une défaillance mécanique du
combustible· .
3.2.2 Dans le cas de tout événement indiqué au tableau 1, chaque système d'arrêt d'urgence doit assurer que tout
assemblage de combustible intact dans le réacteur avant l'événement ne subisse de défaillance à cause de
l'événement
3.3 Normes des conditions ambiantes
3.3.1 Toutes les parties de chaque système d'arrêt d'urgence qui pourraient être actionnées après lOut événement
indiqué aux tableaux 1 el 2, doivent !Ire conçues pour satisfaire IOUtes les normes de rendement pertinentes face aux
conditions les plus rigoureuses qui pourraient exister lorsque le déclenchement de ces parties s'impose ou avant
qu'il s'impose. Ces conditions peuvent comprendre notamment les effets de la vapeur, de l'eau, des températures
élevées et des rayonnements.
Tout matériel du système d'arrêt d'urgence qui pourrait devoir continuer à fonctionner après un accident, doit
répondre à certaines exigences de rendement. À cet effet, des épreuves doivent démontter que le genre de matériel
utilisé peut fonctionner dans des conditions semblables à celles qui existeraient durant au après tout événement
indiqué aux tableaux 1 et 2. Si de teUes épreuves sont impraticables, il faut effecbler des analyses pour démontrer
que l'exigence est satisfaite.
3.3.2 Chaque système d'arrêt d'urgence doit assurer que, pour tout événement indiqué aux tableaux 1 et 2, les
effets dynamiques et les forces de jet causés par l'événement n'entraînent pas une détérioration telle du système
d'arrêt d'urgence qu'il serail impossible de satisfaire les exigences du paragraphe 3.2.
3.4 Normes de disponibiUté
3.4.1 Chaque système d'arrêt d'urgence doit assurer que sa période d'indisponibilité ne dépasse pas 10' années par
année. Tout système est considéré comme disponible seulement si l'on peut démontrer qu'il satisfait toutes les
nonnes de rendement minimal admissible prévues au paragraphe 3.1. L'indisponibilité de tout système doit être
déterminée en combinant l'indisponibilité maximale de tout paramètre requis en vertu du paragraphe 3.6 et
l'indisponibilité du reste du système d'arrêt d'urgence.
La disponibilité du matériel de sûreté auxiliaire qui est nécessaire au déclenchement d'un système d'arrêt
d'urgence doit êtte proportionnée avec les exigences de disponibilité de ce dernier.
Il faut inclure les calculs de disponibilité établissant que cette condition peut êtte respectée dans le rapport de
sûreté ou les citer en référence. Les calculs doivent s'appuyer sur l'expérience directe ou sur des extrapOlations
raisonnables.
3.4.2 La conception de chaque système d'arrêt d'urgence doit prévoir des dispositifs redondants tels que la
défaillance isolée de tout composant ne compromette pas le fonctionnement du système au point que celui-ci ne
réponde plus aux nonnes de rendement minimal admissible en cas d'accident.
Le présente exigence ne s'applique pas aux composants qui ne doivent pas changer d'étal et qui ne dépendent
pas du matériel de sûreté auxiliaire pour remplir leurs fonctions, pourvu qu'ils soient conçus, fabriqués, inspectés et
enttetenus selon des nonnes acceptées par la CCEA.
3.4.3 Le déclenchement de tout système d'arrêt d'urgence ne doit pas dépendre d'une source d'alimentation
électrique à moins que cette source ne soit conçue pour êtte constamment disponible au cours de l'exploitation
normaIe et au cours de régimes transitoires prévus pendant l'exploitation.
3.4.4 Dans la mesure du possible, tout matériel de système d'arrêt d'urgence doit être conçu que les types de
défaillances les plus probables ne compromettent pas la sûreté.
3.4.5 Dans la mesure du possible, la conception de lOute maintenance ou épreuve de fiabilité qui pourrait être
effectuée au cours de l'exploitation du réacteur doit permettre de ne pas compromettre l'efficacité de chaque
système d'arrêt d'urgence en deçà des nonnes de rendement minimal admissible.
figurent en référence ou dans toul document ultérieur de la CCEA, ou à celles sur lesqueUes le titulaire de pennis et
la CCEA se sont entendus par écrit
• Si la défaillance initiale se produit dans un seul canal de combustible ou ses prolongements. les exigences
3.2.1c) et 3.2.2 ne s'appliquent pas au canal ni au combustible qu'il contient.
- - - - - - --_ _---------­
...
-3­
3.4.6 Dans la mesure du possible. la conception de tout composant défectueux doit pennettre de pouvoir le
neutraliser ou il faut qu'il soit possible de le neutraliser par un autre moyen.
3.4.7 La conception de chaque système d'arrêt d'urgence doit pennettre de pouvoir le déclencher manuellement
autant de la salle de commande principale que d'un autre endroit éloigné de la salle de commande principale.
3.4.8 La conception doit assurer qu'un opérateur ne puisse}:mS empêcher facilement le déclenchement nécessaire de
tout système d'arrêt d'urgence.
3.5 Normes de séparation et d'indépendance
3.5.1 Dans la mesure du possible, les systèmes d'arrêt d'urgence doivent être de conception différente, ainsi que
matériellement et fonctionnellement indépendants l'un de l'autre, des systèmes fonctionnels et des autres systèmes
de sûreté spéciaux.
3.5.2 Les principes appliqués dans la conception, la construction, la mise en service et l'exploitation pour empêcher
les défaillances dans plus d'un système d'arrêt d'urgence en raison de l'utilisation du même matériel, des mêmes
procédures, ou encore des mêmes employés, doivent être établis et soumis à l'approbation de la CCEA, avant que
celle-ci puisse délivrer le permis de construire.
3.5.3 Les critères de la séparation des canaux des dispositifs redondants et des services connexes des systèmes
d'arrêt d'urgence doivent être établis et soumis à l'approbation de la CCEA, avant que celle-ci puisse délivrer le
permis de construire.
3.5.4 L'efficacité de tout système d'arrêt d'urgence, selon la défmition de l'article 3.2, ne doit pas dépendre du bon
fonctionnement de tout système fonctionnel ou de tout autre système de sûreté spécial.
3.5.5 La conception doit assurer que le fonctionnement nonnal des systèmes fonctionnels ne puisse pas compro­
mettre l'efficacité de tout système d'arrêt d'urgence à un niveau qui ne répondrait plus à l'exigence de l'article 3.2.
3.6 Normes des mécanismes d'intervention
3.6.1 Pour tout événement indiqué aux tableaux 1 et 2, qui nécessite le déclenchement de tout système d'arrêt
d'urgence, chaque système doit compter au moins deux paramètres différents. Les paramètres doivent être conçus
de façon à déterminer la nécessité de l'arrêt et à déclencher automatiquement J'un des systèmes d'arrêt d'urgence
afm de satisfaire toutes les exigences d'effICacité. La CŒA peut autoriser des exceptions à cette règle si elle juge
que l'intégration d'un deuxième paramètre de protection en cas d'incident est impraticable ou nuirait à la sûreté.
3.6.2 La CCEA peut considérer le déclenchement manuel comme acceptable à la place de l'un des paramètres
automatiques, si elle juge que toutes les exigences suivantes sont satisfaites :
a) les instruments sont conçus de façon à donner à l'opérateur des indications claires et non équivoques sur la
nécessité de l'intervention,
b) la fiabilité des instruments est confonne aux normes de disponibilité du système d'arrêt d'urgence prévues
à l'article 3.4. Si l'indication d'un seul paramètre est nécessaire, l'instrument doit faire partie du système
d'arrêt d'urgence,
c) il doit y avoir un délai de 15 minutes entre l'indication claire non équivoque et l'intervention de l' opérateur, li) la marche fi suivre des interventions nécessaires est claire, bien expliquée et facilement disponible. 3.7 Normes de vériracatioD du matériel
3.7.1 La conception de tout système d'arrêt d'urgence doit assurer que l'état de tout matériel important nécessaire à
son fonctionnement puisse être vérifié ou supposé à partir de la salle de commande.
3.7.2 Dans la mesure du possible, toutes les défaillances de composants de système d'arrêt d'urgence qui peuvent
nuire fi son fonctionnement doivent être signalisées dans la salle de commande.
3.8 Codes et Dormes
3.8.1 La demande de pennis de construire doit indiquer tous les points sur lesquels la conception du réacteur n'est
pas confonne aux exigences applicables des normes suivantes :
a) la nonne 290.1 de l'ACNOR • Exigences ,elalives au.x systèmes d'arrêt d'urgence des ce1llrales nucléaires
CANDU (Requirements for the Shutdown Systems of CANDU Nuclear Power Plants), à la traduction par
l'ACNOR;
-4­
b) la nonne CAN3-285.0 de l'ACNOR, Prescriptions générales pour les systèmes et composants pressurisés
des centrales 1Iucléaires CANDU (Requirements for Class l, 2 and 3 Pressure Retaining Components in
CANDU Nuclear Power Plants), à la traduction par l'ACNOR.
Toute dérogation à ces normes doit être approuvée par la CCEA avant d'entrer en vigueur.
3.8.2 Une liste de tous les codes et normes supplémentaires applicables aux systèmes d'arrêt d'urgence doit être
dressée et soumise à l'approbation de la CCEA, avant que celle-ci puisse délivrer le permis de construire.
3.9 Normes eD cas de ~ismes
La conception de chaque système d'arrêt d'urgence doit lui permettre d'assurer ses fonctions essentielJes prévues
au paragraphe 3.2, pendant et après un séisme de référence. Chaque système doit pouvoir être déclenché
manuellement à partir d'une zone à l'épreuve des séismes, après un séisme de référence.
4. NORMES D'EXPLOIT ATlON
4.1 Normes d'exploitation Dormale
4.1.1 Les méthodes de neutralisation du réacteur doivent être établies et soumises à l'approbation de la CCEA.
avant que celle-ci puisse délivrer le permis d'exploitation. Les méthodes doivent comprendre au moins deux
moyens indépendants d'assurer que le réacteur ne diverge pas.
4.1.2 Aucun système d'arrêt d'urgence ne doit être mis délibérément en état d'indisponibilité si du combustible se
trouve dans le réacteur, sauf si la CCEA a autorisé la neutralisation du réacteur. Tout système d'arrêt d'urgence
n'est considéré comme disponible que s'il satisfait toutes les normes de rendement minimal admissible indiquées au
paragraphe 3.1.
4.1.3 Si le réacteur est neutralisé, il faut autant que possible qu'un système d'arrêt d'urgence au moins soit
disponible en lOut temps.
4.1.4 Les paragraphes 4.1.2 et 4.1.3 ne s'appliquent pas à la période qui suit immédiatement le déclenchement de
tout système d'arrêt d'urgence. Après le déclenchement, le système d'arrêt d'urgence doit être réarmé aussitôt que
possible sans provoquer de divergence ou le réacteur doit être neutralisé.
4.1.5 Les mesures correctives prévues en cas de défaillance de tout système d'arrêt d'urgence au cours de lOute
période pendant laquelle le réacteur n'est pas neutralisé, doivent être établies et soumises à l'approbation de la
CCEA, avant que celle-ci puisse délivrer le permis d'exploitation.
4.1.6* Si un composant quelconque de tout système d'arrêt d'urgence ne fonctionne pas ou si son rendement est
inférieur aux normes de rendement minimal admissible, Je composant et le matériel connexe doivent
immédiatement être neutralisés, à moins d'indications contraires approuvées conformément aux dispositions du
paragraphe 4.1.5.
4.1.7* Dans la mesure du possible, la maintenance de lOut composant de syslème d'arrêt d'urgence ne doit être
effectuée que si le composant et le matériel connexe ont été mis dans un état tel que la disponibilité du système
d'arrêt d'urgence n'est pas compromise.
4.1.8* La maintenance de tout composant de système d'arrêt d'urgence ne doit viser qu'un seul canal à la fois et le
canal doit être neutralisé.
4.1.9 Une fois que la maintenance du canal est terminée, celui-ci doit faire l'objet d'épreuves complètes visant à
démontrer autant que possible que son matériel connexe peut fonctionner conformément à ses spécifications. Les
épreuves doivent être effectuées avant de réarmer le canal.
4.1.10 La maintenance des instruments associés au système de mesure de la puissance neutronique doit être
effectuée autant que possible lorsque le réacteur atteint un niveau de puissance permettant aux instruments de
donner des indications valables.
4.1.11 La maintenance doit être d'une qualité telle que la fiabilité et l'efficacité du matériel sont assurées
conformément au rapport de slÎreté et à la documentation soumise à l'appui de Ja demande de permis
d'exploitation.
* Les paragraphes 4.1.6, 4.1.7 et 4.1.8 s'appliquent seulement si Je système d'arrêt d'urgence doit être disponible
conformément aux paragraphes 4.1.2 et4J.3.
-5­
4.2 Normes en cas d'accident
Il ne faut pas que l'opérateur soit obligé d'intervenir dans toute activité associée à J'arrêt du réacteur en cas
d'accident, sauf dans les situations autorisées en venu du paragraphe 3.6.
S. NORMES DES ÉPREUVES
S.l Essais de mise en service
S.I.1 Épreuves de rendement
Des épreuves de rendement doivent être effectuées afin de démontrer autant que possible que toutes les
exigences nominales de chaque système d'arrêt d'urgence sont respectées. Les épreuves réalisables lorsque le
réacteur ne diverge pas doivent être effectuées avant la première divergence, lorsque le réacteur est toujours
neutralisé. Les instructions des essais de mise en service à effectuer lorsque le réacteur diverge doivent être établies
et soumises à l'approbaùon de la CCEA, avant que celle·d puisse délivrer le permis d'exploitation.
S.I.2 Épreuves du ciblage
Avant de procéder à la première divergence du réacteur, des épreuves doivent être effectuées sur tout le câblage
électrique associé à chaque système d'arrêt d'urgence pour démontrer que toutes les connections répondent aux
spécifications.
S.2 Épreuves et inspections en cours d'exploitation
Au moins une fois tous les deux ans, il faut effectuer des épreuves d'exploitation complètes afin de démontrer
l'efficacité de chaque système d'arrêt d'urgence.
5.3 Épreuves de disponibilité
S.3.1 Tout le matériel des systèmes d'arrêt d'urgence doit être vérifié ou soumis à des épreuves à Wle fréquence
suffisante pour démontrer que les normes de disponibilité prévues au paragraphe 3.4.1 sont satisfaites.
5.3.2 Un rappon sur la disponibilité de chaque système d'arrêt d'urgence doit être inclus dans chaque rappon
annuel d'exploitation de la centrale. Le rappon doit comprendre :
a) Wl compte rendu de la fraction de l'année où il n'a pas été démontré que le système d'arrêt d'urgence était
disponible conformément au paragraphe 3.4.1. Seules doivent être exclues de ces calculs les périodes au cours
desquelles tout système d'arrêt d'urgence était mis délibérément en état d'indisponibilité, conformément à
l'article 4.1,
b) Wle comparaison des modes et des fréquences de défaillances qui ont été observés en cours d'exploitation
de la centrale, ainsi que les modes et les fréquences de défaillance qui ont été utilisés dans les calculs de
disponibilité établis conformément au paragraphe 3.4.1,
c) des calculs de disponibilité suffisants pour démontrer que la norme de disponibilité prévue au para­
graphe 3.4.1 peut continuer à être satisfaite d'après les modes et les fréquences de défaillance qui ont été
observés.
RÉFÉRENCE
D.G. Hurst and F.C. Boyd, "Reactor Licensing and Safety Requirements", AECB-1059, June 1972.
-6
TABLEAUX •
TABLEAU 1
1. Défaillance des systèmes de contrôle du réacteur.
2. Défaillance de l'alimentation électrique nonnale.
3. Arrêt de la pompe principale du circuit caloporteur primaire.
4. Défaillance de canalisation d'alimentation du circuit caIoporteur primaire.
5. Défaillance de raccord d'extrémité.
6. Défaillance de tube de force et du tube de guidage correspondant.
7. Blocage du débit de canal de combustible.
8. Incapacité d'une machine de chargement de combustible de replacer une plaque d'obturation.
9. Ouvenure subite des soupapes de décharge ou des vannes de régulation du circuit caloponeur primaire ou des
systèmes connexes.
10.
Défaillance des lubes du générateur de vapeur.
Il.
Défaillance du système d'alimentation en eau et en vapeur.
12. Défaillance du système du modérateur.
13. Défaillance du système de l'eau de traitement.
14. Défai1lance de toul autre matériel des systèmes du réacteur qui, faute d'arrêt, pourrait endommager le
combustible contenu dans le réacteur.
TABLEAU 2
Défaillance de canalisation ou de collecteur dans tout système de refroidissement du combustible .
.. Dans les tableaux, «défaillance); s'entend à la fois des pannes totales et partielles. Dans le cas des systèmes de
refroidissement, «défaillance» comprend:
a) la défaillance des canalisations d'un syslème,
b) tout problème de circulation,
c) l'incapacité d'évacuer la chaleur résiduelle.