Publié pour consultation externe

Préface

Le document d’application de la réglementation RD/GD-98, Programmes de fiabilité pour les centrales nucléaires, établit les exigences et l’orientation de la Commission canadienne de sûreté nucléaire (CNSC) en vue du développement et de la mise en œuvre de programmes de fiabilité pour les centrales nucléaires du Canada.

Le document RD/GD-98 reprend les exigences précédemment établies dans le document S-98 (Révision 1), Programmes de fiabilité pour les centrales nucléaires, et il remplace ce dernier document.

Les principes et éléments mis en jeu pour l’élaboration du présent document et du document d’application de la réglementation connexe sont conformes aux documents nationaux et internationaux.

Aucun élément présent dans le présent document ne peut être perçu comme exemptant tout titulaire d’obligations pertinentes. La responsabilité de se conformer à la Loi sur la sûreté et la réglementation nucléaires, aux règlements pertinents et aux conditions de son permis incombe au titulaire de permis.

Table des matières

1.0 Introduction

1.1 Objet

Le document RD/GD-98, Programmes de fiabilité pour les centrales nucléaires, énonce les exigences et les directives de la Commission canadienne de sûreté nucléaire (CCSN) relatives à l’élaboration et à la mise en œuvre d’un programme de fiabilité pour une centrale nucléaire au Canada. Le programme de fiabilité assure que les systèmes importants pour la sûreté (SIS) respectent les spécifications de conception et de performance à des niveaux acceptables de fiabilité pendant toute la durée de vie de l’installation.

1.2 Portée

Le présent document d’application de la réglementation décrit les éléments essentiels d’un programme de fiabilité, y compris l’évaluation, la modélisation et la surveillance de la fiabilité.

Le document met l’accent sur les programmes de fiabilité pendant la phase d’exploitation normale. Toutefois, l’approche générale s’applique à toutes les phases du cycle de vie d’une centrale (la conception, la construction, la mise en service, le démarrage, l’exploitation et le déclassement).

Pour limiter à un niveau raisonnable les risques associés à une centrale, celle-ci doit fonctionner en deçà de certaines limites requises de sûreté globale. Cette sûreté globale peut être assurée uniquement lorsque les SIS de la centrale fonctionnent adéquatement, sur demande. Ainsi, les SIS de la centrale doivent fonctionner à un certain niveau de fiabilité.

1.3 Législation pertinente

Les sections pertinentes de la Loi sur la sûreté et la réglementation nucléaires (LSRN) et les articles de ses règlements d’application comprennent ce qui suit :

• Le paragraphe 24(4) de la LSRN stipule que « la Commission ne délivre, ne renouvelle, ne modifie ou ne remplace une licence ou un permis que si elle est d’avis que l’auteur de la demande, à la fois

a) est compétent pour exercer les activités visées par la licence ou le permis;

b) prendra, dans le cadre de ces activités, les mesures voulues pour préserver la santé et la sûreté des personnes, pour protéger l’environnement, pour maintenir la sûreté nationale et pour respecter les obligations internationales que le Canada a assumées ».

• Le paragraphe 24(5) de la LSRN stipule que « les licences et les permis peuvent être assortis des conditions que la Commission estime nécessaires à l’application de la présente loi ».
• Les alinéas 12(1) a) à e) du Règlement général sur la sûreté et la réglementation nucléaires stipulent que le titulaire de permis :

« a) veille à ce qu’il y ait suffisamment de travailleurs qualifiés pour exercer l’activité autorisée en toute sûreté et conformément à la Loi, à ses règlements et au permis;

b) forme les travailleurs pour qu’ils exercent l’activité autorisée conformément à la Loi, à ses règlements et au permis;

c) prend toutes les précautions raisonnables pour protéger l’environnement, préserver la santé et la sûreté des personnes et maintenir la sûreté des installations nucléaires et des substances nucléaires;

d) fournit les appareils exigés par la Loi, ses règlements et le permis et les entretient conformément aux spécifications du fabricant;

e) exige de toute personne se trouvant sur les lieux de l’activité autorisée qu’elle utilise l’équipement, les appareils et les vêtements et qu’elle suive les procédures conformément à la Loi, à ses règlements et au permis; ».

• L’article 5 du Règlement sur les installations nucléaires de catégorie I stipule que « la demande de permis pour construire une installation nucléaire de catégorie I comprend les renseignements suivants, outre ceux exigés à l’article 3 :

d) une description des ouvrages à construire pour l’installation nucléaire, y compris leur conception et leurs caractéristiques de conception;

e) une description des systèmes et de l’équipement qui seront aménagés à l’installation nucléaire, y compris leur conception et leurs conditions nominales de fonctionnement;

f) un rapport préliminaire d’analyse de la sûreté démontrant que la conception de l’installation nucléaire est adéquate; ».

• Le paragraphe 6d) du Règlement sur les installations nucléaires de catégorie I stipule que « la demande de permis pour exploiter une installation nucléaire de catégorie I comprend les renseignements suivants, outre ceux exigés à l’article 3 : les mesures, politiques, méthodes et procédures proposées pour l’exploitation et l’entretien de l’installation nucléaire ».
• Le paragraphe 14(2) du Règlement sur les installations nucléaires de catégorie I stipule que le titulaire de permis qui exploite une installation nucléaire de catégorie I tient un document sur « a) les procédures d’exploitation et d’entretien » et « c) les résultats des programmes d’inspection et d’entretien prévus dans le permis ».
• Le paragraphe 14(4) du Règlement sur les installations nucléaires de catégorie I exige que toute personne qui est tenue par le paragraphe 14(2) dudit règlement de tenir des registres des « procédures d’exploitation et d’entretien » et des « résultats des programmes d’inspection et d’entretien prévus dans le permis » doit les conserver « pendant les dix ans suivant l’expiration du permis d’abandon délivré pour l’installation nucléaire de catégorie I ».

1.4 Documents nationaux et internationaux

Les éléments et principes clés utilisés dans la préparation du présent document sont conformes à divers documents nationaux et internationaux, notamment :

• Institute of Electrical and Electronics Engineers, IEEE 933-1999, Guide for the Definition of Reliability Program Plans for Nuclear Power Generating Stations, septembre 1999.
• Institute of Electrical and Electronics Engineers, IEEE Guide for General Principles of Reliability Analysis of Nuclear Power Generating Station Safety Systems, 1987.
• Agence internationale de l’énergie atomique, IAEA TECDOC-524, Status, Experience and Future Prospects for the Development of Probabilistic Safety Criteria, AIEA, Vienne, 1989.

Une liste complète des documents de référence canadiens et internationaux est incluse en fin de document.

2.0 Objectif et exigences du programme de fiabilité

2.1 Objectif

Le programme de fiabilité doit assurer que tous les SIS d’une centrale fonctionnent de manière fiable, conformément aux critères pertinents de conception et de performance, y compris tous les objectifs de sûreté de la centrale et les exigences du permis délivré par la CCSN.

2.2 Exigences

Un programme de fiabilité pour une centrale doit :

1. Identifier, selon une méthode systématique, tous les SIS, notamment :
   1. déterminer les structures, systèmes et composants (SSC) de la centrale associés au déclenchement, à la prévention, à la détection ou à l’atténuation de toute séquence de défaillance pouvant mener à l’endommagement du combustible ou au rejet associé de radionucléides, ou les deux;
   2. classer les SSC répertoriés sur la base de leur importance relative pour la sûreté;
   3. exclure les SSC qui ne contribuent pas considérablement à la sûreté de la centrale. ⁽Les SSC restants sont les « systèmes importants pour la sûreté » de la centrale.)
2. Préciser les objectifs de fiabilité pour les SIS de la centrale.
3. Déterminer et décrire les modes de défaillance possibles des SIS de la centrale.
4. Préciser les capacités minimales et les niveaux de performance minimaux que les SIS doivent atteindre afin que leur fiabilité soit conforme aux objectifs de sûreté de la centrale et aux exigences réglementaires.
5. Inclure des renseignements sur le programme d’entretien pour maintenir l’efficacité des SIS de la centrale.
6. Prévoir des dispositions visant les inspections, les essais, la modélisation, la surveillance et la mise en œuvre d’autres mesures pour évaluer efficacement la fiabilité des SIS de la centrale.
7. Fournir des dispositions pour assurer, vérifier et démontrer que la mise en œuvre du programme est efficace.
8. Inclure des dispositions pour consigner les données et établir des rapports sur les résultats des activités du programme, y compris les résultats des évaluations, des inspections, des essais, ou de la surveillance de la fiabilité des SIS de la centrale.
9. Documenter, de façon claire et complète, les activités, les attributs, les éléments, les résultats et l’administration du programme de fiabilité, y compris :
   1. les activités du programme;
   2. les procédures et les calendriers s’appliquant aux activités du programme;
   3. la structure organisationnelle mise en place par le titulaire de permis pour la gestion et la réalisation du programme, y compris les fonctions, les rôles et responsabilités des participants;
   4. la méthodologie utilisée afin de déterminer, de classer et d’attribuer des objectifs de fiabilité pour les SIS de la centrale;
   5. la liste des SIS de la centrale;
   6. les objectifs de fiabilité pour chacun des SIS de la centrale;
   7. les modes de défaillance possibles des SIS de la centrale;
   8. les méthodes utilisées pour déterminer les modes de défaillance possibles des SIS de la centrale;
   9. les activités (évaluations de fiabilité, inspections, surveillance, essais, vérifications, consignation des données et établissement de rapports) qui seront réalisées par le titulaire de permis dans le but d’assurer, de vérifier, de démontrer ou de prouver à l’aide de documents que le programme de fiabilité est mis en œuvre de façon appropriée et efficace, conformément aux exigences réglementaires;
   10. les résultats des activités (évaluations de fiabilité, inspections, surveillance, essais, vérifications et établissement de rapports) réalisées dans le cadre du programme de fiabilité.

3.0 Orientation relative à l’établissement d’un programme de fiabilité

Le programme de fiabilité d’une centrale doit comporter les éléments suivants pour atteindre son objectif, à savoir améliorer la disponibilité et la sûreté de la centrale :

• la surveillance de la performance;
• l’évaluation de la performance;
• la hiérarchisation des problèmes;
• l’analyse des problèmes et la recommandation des mesures correctives;
• la mise en œuvre des mesures correctives et la rétroaction.

Ces éléments sont également présentés dans le diagramme de haut niveau illustrant le processus de fiabilité des l’ équipements, dans le document de l’Institute of Nuclear Power Operations, INPO AP-913, Equipment Reliability Process Description (Revision 1). La fiabilité des SIS doit être considérée pour les différents niveaux de puissance ainsi que durant les phases de démarrage et d’arrêt du réacteur. L’impact de la durée de la mission post-accident doit être pris en compte pour tous les aspects du programme de fiabilité.

Les ressources et les efforts alloués au programme de fiabilité de chacun des SIS doivent être appropriés à l’importance du système pour assurer l’exploitation sûre de la centrale.

3.1 Utilisation de méthodes d’identification et de classement systématiques des SIS

3.1.1 Identification des SIS

Le titulaire de permis d’une centrale doit identifier et documenter tous les SIS associés au déclenchement, à la prévention, à la détection ou à l’atténuation de toute séquence de défaillance pouvant mener à l’endommagement du combustible ou au rejet associé de radionucléides, ou les deux.

La méthode la plus exhaustive et la plus systématique pour identifier les SIS est l’étude probabiliste de la sûreté (EPS). Cela comprend les résultats de l’EPS de niveau 2, de l’EPS pour la phase d’arrêt ainsi que les résultats des évaluations des risques et des événements externes. Toutefois, d’autres principes et renseignements, comme la défense en profondeur, l’analyse déterministe de la sûreté, l’expérience opérationnelle et le jugement des experts, doivent également être pris en compte pour identifier les SIS.

Les critères pour déterminer les SIS sont basés sur les éléments suivants :

• la ou les fonctions de sûreté à exécuter;
• les conséquences de la défaillance;
• la probabilité qu’il faudra recourir aux SSC pour mettre en œuvre la fonction de sûreté;
• le laps de temps écoulé entre un événement déclencheur hypothétique (EIH) et le recours aux SSC, et la durée de fonctionnement de ces derniers.

La liste des SIS peut être révisée à la lumière des nouvelles données opérationnelles, des modifications du système, des nouvelles données sur les défaillances ou de toute autre nouvelle information disponible. Les motifs de révision doivent être entièrement documentés.

3.1.2 Classement des SSC identifiés, selon leur importance relative pour la sûreté

Les systèmes jugés importants pour la sûreté doivent être classés selon leur importance relative pour la sûreté et leur contribution au risque global de la centrale (risque de dommages graves au cœur et risques de rejets radioactifs associés).

Ce classement doit être basé sur les résultats d’une EPS propre à la centrale. Toutefois, en l’absence d’une EPS, le titulaire de permis peut se baser sur le jugement technique des experts. Les critères utilisés pour classer les systèmes doivent être correctement documentés.

3.1.2.1 Classement des SIS d’après les résultats de l’EPS

Les critères pour évaluer la contribution relative des systèmes aux risques pour la centrale sont les mesures d’importance suivantes :

• le rapport d’augmentation du risque (RAR), (Risk Achievement Worth – RAW);
• la mesure d’importance de Fussell-Vesely (FV).

Les critères d’identification des SIS sont les suivants :

• tout système présentant une valeur FV ≥ 0,05 / (FV ≥ 0,005 pour un composant) et une valeur RAW ≥ 2 doit être considéré comme un SIS;
• pour tout système avec une valeur FV ≥ 0,05 / (FV ≥ 0,005 pour un composant) ou RAW ≥ 2, le titulaire de permis doit fournir une justification circonstanciée des motifs si un tel système devrait être exclu de la liste des SIS;
• le titulaire de permis doit considérer les composants qui se sont avérés importants pour la sûreté selon les critères de sélection des composants, mais pour lesquels le système associé est exclu selon les critères de sélection au niveau des systèmes;
• le titulaire de permis peut faire appel à des comités d’experts pour compléter le groupe d’examen de l’EPS, afin de tenir compte de l’analyse déterministe de la sûreté et des principes de défense en profondeur. La décision prise par le comité d’experts d’ajouter ou d’exclure tout système de la liste des SIS doit être dûment motivée et documentée;
• les résultats des EPS existantes doivent être utilisés dans la mesure du possible pour déterminer les SIS, en tenant compte de la qualité, de la portée et des limites des EPS. L’écart entre la portée et la qualité des EPS existantes et les exigences réglementaires énoncées dans le document d’application de la réglementation S-294 de la CCSN, Études probabilistes de sûreté (EPS) pour les centrales nucléaires, doit être atténué par d’autres mesures ou moyens qui seront pris en compte dans l’établissement de la liste des SIS;
• la liste des SIS doit être mise à jour compte tenu des révisions, des mises à jour et des améliorations des EPS afin de respecter les exigences énoncées dans le document S-294;
• les résultats des EPS de niveau 2 (fréquence des petits rejets et grands rejets), de l’EPS pour la phase d’arrêt et de l’évaluation des risques et événements extérieurs doivent être pris en compte pour l’identification des SIS.

3.1.2.2 Identification des SIS à l’aide d’autres méthodes

Si une EPS n’a pas été réalisée pour une centrale, le titulaire de permis doit entreprendre l’identification des SIS en identifiant tous les systèmes associés au déclenchement, à la prévention, à la détection ou à l’atténuation de toute séquence de défaillance pouvant mener à l’endommagement du combustible ou au rejet associé de radionucléides, ou les deux. Le processus sera complété par l’examen de la liste principale des systèmes, afin de retenir seulement ceux qui contribuent de manière significative à la sûreté de la centrale, d’après l’importance des fonctions de sûreté.

3.1.3 Exclusion des structures, systèmes et composants (SSC)

Les SSC qui ne contribuent pas à la sûreté de la centrale peuvent être exclus du programme de fiabilité. Un titulaire de permis qui déclare ces systèmes non importants pour la sûreté doit justifier entièrement sa décision.

3.2 Établissement des objectifs de fiabilité

L’établissement d’objectifs de fiabilité pour les SIS vise à définir des critères de référence en fonction desquels la performance du système peut être jugée. Les objectifs de fiabilité assignés aux SIS par le titulaire de permis doivent être compatibles avec les objectifs de sûreté de la centrale et tenir compte de l’expérience opérationnelle de l’ensemble de l’industrie, dans la mesure du possible. Si aucun objectif de sûreté n’est en place, les objectifs de fiabilité doivent être fondés sur une bonne appréciation technique tenant compte de l’interdépendance des systèmes. Différents objectifs de fiabilité peuvent être assignés à un seul système dépendamment des critères de défaillance.

Le titulaire de permis doit surveiller la performance ou l’état des SIS à la lumière des objectifs de fiabilité établis, afin de s’assurer de manière raisonnable que les SIS permettent d’exécuter les fonctions prévues. Lorsque la performance ou l’état de tout SSC ne satisfait pas aux objectifs fixés, des mesures correctives appropriées doivent être prises.

Les objectifs de fiabilité peuvent être élaborés durant la phase initiale des programmes de fiabilité. Ces objectifs sont destinés à être comparés à la performance réelle de la centrale, afin de déterminer les écarts par rapport à la performance attendue.

Le document IEEE Guide for General Principles of Reliability Analysis of Nuclear Power Generating Station Safety Systems publié par l’Institute of Electrical and Electronics Engineers fournit les principes de base de l’établissement des valeurs numériques. Ces principes sont basés sur :

• La fréquence des demandes;
• Les conséquences de la défaillance;
• Le risque.

Le document de l’Agence internationale à l’énergie atomique (AIEA) IAEA TECDOC-524, Status, Experience and Future Prospects for the Development of Probabilistic Safety Criteria, fournit également les principes qui servent de fondement aux valeurs numériques.

Au moment de choisir les objectifs de fiabilité, le titulaire de permis doit maintenir un juste équilibre entre la prévention et l’atténuation des événements. Les principes ci-dessous s’appliquent :

• Les objectifs de fiabilité pour les systèmes de sûreté spéciaux ne doivent pas être inférieurs à 0,999, ce qui est conforme à la limite établie par la CNSC.
• Pour tout autre SIS, l’objectif de fiabilité devra être inférieur à 120 % de la fiabilité de base du système.

Les objectifs de fiabilité doivent être révisés à la lumière des nouvelles données opérationnelles, des modifications du système, des nouvelles données sur les défaillances ou de toute autre nouvelle information disponible. Les motifs de révision doivent être bien documentés.

Les mesures correctives appropriées doivent être prises chaque fois qu’un SIS n’atteint pas les objectifs fixés.

3.3 Identification et description des modes de défaillance possible

Les modes de défaillance possible des SIS doivent être identifiés afin de déterminer les activités d’entretien nécessaires et d’assurer le fonctionnement fiable des SIS. Les modes de défaillance incluent l’échec du démarrage sur demande, l’échec du fonctionnement pendant une durée de mission donnée, et ainsi de suite.

Les modes de défaillance peuvent être identifiés à partir de l’historique des défaillances ou en faisant appel à des méthodes analytiques qualitatives si l’historique des défaillances n’est pas disponible.

Tout nouveau mode de défaillance identifié doit être inclus dans les modèles de fiabilité.

3.4 Précision des capacités minimales et des niveaux de performance minimaux

Les capacités minimales et les niveaux de performance minimaux doivent être définis pour chaque critère de succès d’un SIS. Ces capacités et niveaux de performance doivent être exprimés en termes physiques (pression, débit, tension électrique, intensité et ainsi de suite).

Un SIS donné peut présenter différents modes de défaillance (ou critères de succès), selon la séquence d’événements dans laquelle il est requis. Pour chacune de ces séquences, les critères de succès du système doivent être définis.

Les critères de défaillance des SIS doivent être décrits de façon à montrer que le système ne permet pas d’exécuter les fonctions voulues en temps opportun. Les critères de défaillance doivent être décrits explicitement ou référencés dans le document du programme de fiabilité et doivent être conformes à la définition des critères de défaillance du système qui sont utilisés dans d’autres analyses et/ou d’autres documents qui accompagnent le permis d'exploitation. Les systèmes importants pour la sécurité peuvent compter différents critères de défaillance selon l'état de la centrale, la condition de l’accident ou les conséquences de la défaillance.

Il est recommandé d’utiliser les normes de performance minimales permises pour l’élaboration des modèles exigés dans le RD/GD-98, étant donné que les hypothèses déterministes conservatrices correspondent à la portée et à l’intention du présent document en ce qui concerne la défense en profondeur et la conception. L’utilisation des hypothèses réalistes liées aux modèles d'EPS est aussi acceptable.

3.5 Programme d’entretien

Le principal objectif du programme d’entretien est de maintenir les équipements et systèmes de la centrale dans un état conforme aux règlements, codes et normes pertinents (notamment le document d’application de la réglementation de la CCSN S-210, Programmes d'entretien des centrales nucléaires), aux recommandations des fournisseurs et à l’expérience préalable, afin que leur performance satisfasse aux objectifs de fiabilité.

L’entretien préventif et des pratiques d’entretien correctif peuvent donner lieu à des améliorations des tendances relatives aux défaillances. L’entretien axé sur la fiabilité est une technique qui s’appuie sur les principes de fiabilité pour améliorer l’entretien.

La modélisation des probabilités de défaillance des SIS intègre les renseignements provenant du programme d’entretien. Ce dernier doit aussi comprendre toutes les activités (comme la surveillance) qui sont créditées dans les modèles de fiabilité. Comme il a été mentionné dans la section 3.3 ci-dessus, l’identification du mode de défaillance déterminera quelles sont les activités de maintenance appropriées.

La modification du programme d’entretien pourrait être recommandée si les résultats de l’évaluation de la fiabilité montrent que le système n’atteint pas ses objectifs.

Les modèles de fiabilité des SIS renseignent sur l’impact du programme d’entretien sur la fiabilité de ces systèmes. Les renseignements fournis sont intégrés au programme d’entretien afin d’améliorer son efficacité.

3.6 Inspections, essais, modélisation et surveillance

3.6.1 Dispositions visant les inspections et les essais

Tel que le précise le document S-210, des programmes d’essai appropriés doivent être en place pour les SIS.

Lorsque c’est possible, on ne doit pas soumettre simultanément des équipements redondants à des activités de surveillance, ou faire appel au même personnel d’entretien, afin d’éviter les défaillances d’origine commune.

La réalisation d’un nombre suffisant d’essais avant, pendant et après l'arrêt d’une centrale doit permettre de démontrer que les hypothèses relatives aux intervalles de temps de détection des défaillances utilisés dans les modèles de fiabilité demeurent valides en tout temps.

Les fréquences, la chronologie et la portée des activités de surveillance doivent être révisées à la lumière des nouvelles données sur le fonctionnement, des modifications apportées à la centrale, des données sur les défaillances ou de toute nouvelle information, à la condition que l’évaluation de la fiabilité soit révisée en conséquence et que le respect des objectifs de fiabilité soit maintenu.

Si un essai n’a pas été effectué, les dispositions suivantes s’appliquent :

1. Une période de grâce est allouée. Elle est habituellement fixée à 25 % de l’intervalle de temps entre deux essais consécutifs, avec une limite ne pouvant excéder 3 mois (ou tout autre délai, avec l’accord de la CCSN.
2. La procédure utilisée par le titulaire de permis pour approuver le report d'essais doit être soumise à la CCSN pour approbation.
3. Tous les essais reportés ainsi que les références de leur approbation respective, doivent être consignés dans le rapport annuel de fiabilité.
4. Tous les dossiers d'approbation de report d'essais doivent être disponibles sur demande pour inspection.

3.6.2 Modélisation

Le modèle utilisé pour décrire le système doit correspondre fidèlement à la configuration actuelle de ce dernier. Le niveau de détail du modèle doit être suffisant pour que les dépendances soient clairement identifiées, mais il doit aussi être limité aux modes de défaillance de l’équipement. (Le mécanisme de défaillance pourrait présenter de l’intérêt à des fins spécifiques, mais il ne doit pas être inclus dans les modèles exigés par le présent document, RD/GD-98).

Le modèle peut comprendre les mesures de rétablissement prises par les opérateurs, lorsque l’impact de la défaillance de l’équipement sur l’ensemble du système évolue lentement et qu’il est possible de corriger la défaillance entretemps.

Le modèle doit comprendre, dans la mesure du possible :

• Tous les composants et structures ainsi que leurs modes de défaillances qui pourraient entraîner une dépendance entre les systèmes importants pour la sûreté. Tout nouveau mode de défaillance relevé doit être intégré aux modèles de fiabilité.
• Les erreurs humaines précédant un événement déclencheur (comme des erreurs se produisant pendant l’entretien et la non-détection de conditions qui doivent déclencher des alertes) qui pourraient contribuer à la défaillance d’une fonction du système.
• Les activités d’entretien ou d’essai qui peuvent affecter le fonctionnement de circuits de composants ou de canaux pendant leur exécution.
• Les données de défaillances doivent représenter, aussi précisément que possible, la performance réelle des composants modélisés. Les données de défaillances propres à la centrale doivent être comparées avec les données utilisées dans le modèle de fiabilité. Dans les cas où les renseignements sont insuffisants, les données génériques de défaillances pertinentes peuvent être utilisées pour obtenir des données valides propres à la centrale. De préférence, les données génériques de défaillances doivent être extraites de l’expérience d’exploitation et elles doivent correspondre étroitement au fonctionnement réel du composant.
• L’évaluation de la fiabilité du rendement humain, qui tient compte de toutes les conditions, des facteurs de forme et d’autres considérations spécifiques à la centrale, conformément aux techniques d’analyse de fiabilité humaine reconnues internationalement.
• L’impact des incertitudes doit être pris en compte.
• L’évaluation de l’importance, la contribution et la sensibilité de chaque défaillance de composant sur la fiabilité du système en entier.
• Les défaillances suite à la demande sur le système ainsi que toute défaillance latente pouvant être détectée au moyen d'essais.
• La comparaison avec les objectifs de fiabilités (uniquement pour les modèles comportant les « défaillances suite à la demande ». Le taux de défaillance durant la mission des composants pertinents doit faire l’objet d’une surveillance dans le cadre des programmes d’essai de mission.
• Le système de soutien (seulement si ce système est exclusivement destiné au fonctionnement du SIS).

3.6.3 Surveillance de la performance et de la fiabilité

La surveillance de la performance est basée sur la collecte d’information pertinente relative à la détection des défaillances et à la fiabilité dans la centrale. Cela inclut la surveillance de la fiabilité (p. ex., l’observation de la fréquence des défaillances, le taux de panne, la durée des activités d’entretien et la durée des pannes) ainsi que le contrôle de l’état (p. ex., l’observation des conditions liées à une panne, comme une dégradation du fonctionnement et/ou des changements touchant les paramètres des équipements mesurés au moyen d'essais non destructifs, telles les inspections par ultrasons, des vérifications de la continuité électrique et la surveillance des vibrations acoustiques).

La surveillance de la fiabilité des SIS fait appel à l’examen, à l’enregistrement et à l’établissement des tendances de la fiabilité de la performance ou de l’état de chacun des SIS. Il permet de s’assurer qu’ils demeurent conformes à leurs spécifications fonctionnelles et qu’ils fonctionneront conformément à leurs objectifs de fiabilité. Le titulaire de permis doit justifier l’exclusion de tout composant spécifique identifié dans les évaluations de la fiabilité découlant de la surveillance. Cette justification doit être basée sur la vraisemblance ainsi que sur l’impact limité des modes de défaillance du composant sur la sûreté.

Si un problème de fiabilité est relevé, le programme de fiabilité doit permettre d’en déterminer la cause et d’établir des mesures correctives. Le programme de fiabilité doit prévoir des moyens permettant d’évaluer l’efficacité des mesures correctives pour vérifier que la solution proposée est adéquate.

3.6.3.1 Surveillance de la performance des systèmes

La surveillance de la performance des SIS sur le plan de la fiabilité doit être effectuée afin de s’assurer que les systèmes continuent de satisfaire les spécifications de conception et de fonctionner conformément à leurs objectifs de fiabilité. Ce processus de surveillance doit comprendre ce qui suit :

• Détermination des incidents à la suite desquels la performance d’un SIS n’a pas été conforme aux spécifications établies (y compris les périodes de mise hors service prévues et les occurrences d’événements déclencheurs). La gravité de l’état et l’identification des séquences d’accident visées doivent être évaluées. Ces incidents sont des événements qui doivent être signalés conformément au document d’application de la réglementation RD-99.1 Rapports à soumettre par les exploitants de centrales nucléaires : Événements.
• Évaluation des conséquences de toute défaillance de composants pour en déterminer l’impact sur la fiabilité du système.
• Prise en considération de la fiabilité des SIS pendant la planification des activités d’exploitation et d’entretien. (La surveillance de la performance des SIS doit inclure une évaluation des répercussions de ces activités sur la fiabilité et la conformité aux objectifs de fiabilité. Si la réduction de la fiabilité d’un SIS donné est inévitable, il faut évaluer l’impact de celle-ci sur les objectifs de sûreté.)

3.6.3.2 Surveillance de la performance des composants

La surveillance de la performance et de l’état de chacun des composants des SIS doit être effectuée. Elle doit comprendre ce qui suit :

• Identification des composants dont la défaillance diminue la fiabilité d’un SIS.
• Évaluation et consignation de chacune des défaillances d’un composant qui pourrait altérer la fiabilité de l’ensemble d’un SIS, le plus tôt possible après la découverte de la panne;
• Analyse des défaillances des composants afin de déterminer l’existence ou non de tendances. Si une tendance est dégagée, il faut en expliquer la raison et évaluer son importance par rapport aux objectifs de fiabilité.
• Analyse des défaillances des composants afin de déterminer si ces défaillances étaient dues à des causes non aléatoires (p. ex., celles qui auraient pu être prévenues au moyen de l’entretien, ou qui sont causées par le vieillissement ou l’usure, ou encore à un problème de conception ou d’installation). Ces défaillances constituent des problèmes de sûreté d’une autre nature que celles qui ont été signalées précédemment et constituent des événements qui doivent être signalés conformément au document d’application de la réglementation RD-99.1, Rapports à soumettre par les exploitants de centrales nucléaires : Événements.
• Évaluation des défaillances des composants afin de déterminer si la cause de la défaillance peut être commune à d'autres composants. Les défaillances d’origine commune (DOC) doivent être identifiées et consignées. La base de données internationale de collecte des défaillances d’origine commune (International Common Cause Data Exchange) peut être utilisée pour consigner les données des DOC propres à une installation. Pour calculer des données de défaillance précises spécifiques à une installation pour les SIS, les détails de l’historique des défaillances et les rapports d’exploitation de tous les composants doivent être consignés.

3.6.3.3 Surveillance de la performance humaine

Il faut cerner et consigner les actions des opérateurs qui pourraient avoir une incidence sur la fiabilité des SIS. La surveillance de la performance humaine doit comprendre ce qui suit :

• consignation de l’occurrence d’erreurs humaines;
• comparaison de la performance des humains pour un site particulier avec les données utilisées dans l’évaluation de la fiabilité.

3.6.4 Évaluation de la fiabilité

Les évaluations de la fiabilité permettent de calculer la fiabilité prévue des SIS pour démontrer leur capacité à atteindre leurs objectifs de fiabilité spécifiés pour toutes les conditions pertinentes de la centrale. Les méthodes utilisées pour évaluer la fiabilité sont à la discrétion du titulaire de permis. Un système important pour la sûreté pourra exiger plusieurs évaluations de la fiabilité différentes afin de tenir compte de divers critères de succès.

Tous les systèmes modélisés doivent être évalués quantitativement pour calculer leur fiabilité prévue et prouver qu’ils atteignent leurs objectifs de fiabilité. Les évaluations doivent refléter, aussi fidèlement que possible, l’exploitation et les activités réelles de surveillance et d'entretien des systèmes.

Les évaluations de la fiabilité doivent inclure ce qui suit :

• fiabilité prévue;
• fiabilité observée;
• indices spécifiques de performance de la fiabilité.

3.6.4.1 Calcul de la fiabilité prévue

La fiabilité prévue est évaluée au moyen de données à jour et devrait être comparée aux valeurs obtenues pour l’année en cours et celles des années précédentes, ainsi qu’aux objectifs de fiabilité. L’évaluation de la fiabilité devrait être réévaluée chaque année en utilisant les données pertinentes les plus récentes sur les défaillances. Les écarts entre la non-fiabilité prévue et les valeurs rapportées pour les années précédentes doivent être expliqués.

3.6.4.2 Calcul de la fiabilité observée

La fiabilité observée est calculée au moyen de données réelles sur la performance opérationnelle du système.

3.6.4.3 Indices de performance de la fiabilité

Les indices de performance de la fiabilité ont pour but de mettre en évidence les tendances de la performance desSIS.

Les indices suivants doivent être signalés en fonction de la spécificité de chaque système :

• la fréquence de défaillance des SIS actifs;
• la probabilité de défaillance des SIS en attente..

Le titulaire de permis doit effectuer une comparaison entre la fiabilité prévue, les indices de performances de la fiabilité et les objectifs de fiabilité, et élaborer une explication pour toute différence relevée.

Le titulaire de permis doit établir des critères permettant de déterminer si l’occurrence d’un événement opérationnel, une modification d’un système ou l’acquisition d’une nouvelle connaissance justifie une révision immédiate ou à court terme des modèles de fiabilité du système. Au minimum, les changements apportés aux procédures ou aux systèmes, de nouvelles données sur le fonctionnement, de nouvelles connaissances sur les systèmes et les plus récentes données sur les défaillances devraient être réévalués et documentés annuellement. Le rapport d’évaluation de la fiabilité doit être réévalué chaque année. Le rapport d’évaluation de la fiabilité doit être mis à jour afin de refléter les changements touchant le modèle ou de nouvelles conclusions au sujet des résultats obtenus avec le modèle.

3.7 Mise en œuvre du programme de fiabilité

Le titulaire de permis doit démontrer, à la suite d’une inspection effectuée par le personnel de la CCSN ou après réception d'une demande à cet effet, que le programme de fiabilité est bien mis en œuvre.

3.8 Consignation des résultats des activités du programme de fiabilité et établissement de rapports

La CCSN doit avoir accès aux résultats du programme de fiabilité dans les centrales nucléaires. Ces résultats peuvent être obtenus en tout temps, dans le cadre d’inspections périodiques du programme de fiabilité et à partir des rapports préparés par le titulaire de permis.

La consignation des résultats pourrait prendre la forme de journaux d’exploitation, de demandes de travail, de plans de travail, de permis de travail, de résultats d’essais et de registres d'étalonnage. L’examen de ces résultats est requis afin d’assurer que les rapports qui incluent la performance sur le plan de la fiabilité des SIS sont exacts et que ceux-ci sont produits en temps opportun. Ces résultats sont également revus afin de détecter et d’aider à prévenir la réduction de la fiabilité de ces systèmes.

La structure des rapports décrivant l’évaluation de la fiabilité des SIS est à la discrétion du titulaire de permis. Toutefois, le titulaire de permis doit présenter les résultats de son programme de fiabilité conformément au document d’application de la réglementation de la CCSN RD-99.1, Rapports à soumettre par les exploitants de centrales nucléaires. Les exigences du rapport annuel sur le risque et la fiabilité, ainsi qu’un modèle de présentation sont inclus dans le document GD-99.1, Guide de préparation des rapports à soumettre par les exploitants de centrales nucléaires : Événements.

Le titulaire de permis doit fournir une comparaison de la fiabilité prévue avec les indices de performance de la fiabilité et les objectifs de fiabilité qui comportera aussi une explication de tous les écarts relevés.

3.9 Documentation du programme de fiabilité

Cette section ne compte aucune instruction particulière.

Glossaire

centrale nucléaire

Toute installation de réacteur à fission nucléaire ayant été construite pour produire de l’électricité à l’échelle commerciale. Une centrale nucléaire est une installation nucléaire de catégorie IA, tel que défini dans le Règlement sur les installations nucléaires de catégorie I.

composant critique

Équipement dont la défaillance entraînera une défaillance de l’ensemble du système ou une défaillance fonctionnelle.

critère de défaillance

Point à partir duquel on considère qu’un système, une structure ou un composant ne respecte pas les critères établis.

critère de réussite

Critère qui définit les capacités fonctionnelles minimales et les niveaux de performance requis pour assurer le fonctionnement efficace des structures, systèmes ou composants.

défaillance d’origine commune

Défaillance simultanée de deux ou plusieurs structures, systèmes ou composants attribuables à un événement ou à une cause spécifique unique tel qu’un phénomène naturel (séisme, tornade, inondation, etc.), une défaillance de conception, un défaut de fabrication, une erreur opérationnelle et d’entretien, un événement destructeur d’origine humaine et autres.

défaillance naissante

Imperfection touchant l’état ou la condition de l’équipement qui pourrait entraîner une dégradation ou une défaillance immédiate si aucune mesure corrective n’est mise en œuvre.

défaillance

Impossibilité pour un SIS de respecter les spécifications de conception.

entretien

Activités organisées, de nature administrative et technique, qui ont pour but de conserver les SSC en bon état de fonctionnement et de s’assurer qu’ils respectent les spécifications de conception.

entretien axé sur la fiabilité

Série d’étapes ordonnées visant à identifier les fonctions, les défaillances fonctionnelles et les modes de défaillance dominants de systèmes et de sous-systèmes, à établir un ordre de priorité et à sélectionner des tâches d’entretien préventif pertinentes pour traiter les modes de défaillance catégorisés.

état dégradé

État de défaillance graduelle, partielle, ou les deux, qui empêche l’équipement de respecter les spécifications de conception.

évaluation de la performance

Analyse, en termes d’objectifs et d’estimations initiaux, habituellement effectuée à la centrale, afin de fournir des renseignements sur l’expérience d’exploitation et de cerner les mesures correctives requises.

événement déclencheur

Événement qui mène à un incident de fonctionnement prévu ou à un accident.

fiabilité

Aptitude d’un système, d’une structure ou d’un composant de respecter ses spécifications de conception dans des conditions données et pendant une période définie ou sur demande.

fiabilité observée

Fiabilité calculée à partir des performances opérationnelles réelles.

fiabilité prévue

Probabilité qu’un système respectera les critères établis lorsque sollicité. Le calcul repose sur des données de fiabilité à jour.

importance de Fussell-Vesely (FV)

Le paramètre FV d’un événement de base est défini comme la diminution fonctionnelle de la fréquence des dommages au cœur (FDC) si l’événement de base en question ne peut jamais se produire; c.-à-d. que le composant est parfaitement fiable en ce qui concerne cet événement de base – il ne présente jamais de défaillance et ne tombe jamais en panne.

mesures d’importance

Analyse quantitative permettant de déterminer l’importance des variations de la fiabilité d’un équipement relativement aux risques touchant un système et/ou à sa fiabilité.

objectifs de fiabilité

Objectifs de fiabilité que les systèmes d’une centrale doivent atteindre. Ils sont destinés à être comparés avec le fonctionnement réel du système, afin de relever les écarts comparativement à la performance prévue.

objectifs de sûreté

Objectifs probabilistes s’appliquant à une centrale nucléaire qui peuvent être exprimés sous forme de fréquence de risque de dommages graves causés au cœur ou de fréquence de rejets de radionucléides. Les objectifs de sûreté sont établis pour atteindre les buts en matière de sûreté afin de protéger le personnel exploitant d’une centrale, le public et l’environnement en établissant et en maintenant des mécanismes de défense efficaces contre le rejet de matières radioactives dangereuses.

rapport d’augmentation du risque (RAR)

Le RAR est le facteur d’augmentation de la fréquence de l’endommagement du cœur si l’événement de base a lieu.

risque

Risque de blessure ou de perte défini comme une mesure de la probabilité et de la gravité d’un effet préjudiciable (conséquences) sur la santé, la propriété, l’environnement ou un autre élément d’importance. Mathématiquement, il s’agit de la probabilité qu’un événement survienne multiplié par son importance (ou gravité).

structures, systèmes et composants (SSC)

Terme général englobant tous les éléments d’une installation ou d’une activité qui contribuent à la protection et à la sûreté, à l’exclusion des facteurs humains. Les structures sont des éléments passifs : bâtiments, cuves, boucliers ou blindages, etc. Un système comprend plusieurs composants assemblés de manière à exécuter une fonction (active) spécifique. Un composant est un élément discret d’un système, par exemple des câbles, des transistors, des circuits intégrés, des moteurs, des relais, des solénoïdes, des conduites, des raccords, des pompes, des réservoirs et des vannes.

surveillance de l’état

Activités continues ou périodiques d’inspection, de mesure ou d’établissement de tendances relativement à la performance ou aux caractéristiques physiques des SSC et permettant d’indiquer la performance actuelle ou future ainsi que la possibilité de défaillance.

surveillance de la fiabilité

Surveillance directe des paramètres de fiabilité d’une centrale, d’un système ou d’unéquipement (p. ex., fréquence des défaillances, période de non-disponibilité due à des activités d'entretien, taux de mise hors fonction.).

surveillance de la performance

Processus déterminant si l’équipement fonctionne ou est en mesure de fonctionner dans des limites spécifiques.

système de sûreté

Système fourni pour assurer la mise à l’arrêt sécuritaire d’un réacteur et l’évacuation de la chaleur résiduelle du cœur, ou encore pour limiter les conséquences d’événements opérationnels prévus et les accidents de dimensionnement.

systèmes importants pour la sûreté (SIS)

Structures, systèmes et composants d’une centrale nucléaire qui sont associés au déclenchement, à la prévention, à la détection ou à l’atténuation de toute séquence de défaillance pouvant mener à l’endommagement du combustible ou au rejet associé de radionucléides, ou les deux.

Références

1. Commission canadienne de sûreté nucléaire, S-98 (Rév. 1), Programmes de fiabilité pour les centrales nucléaires.
2. Institute of Electrical and Electronics Engineers, IEEE 933-1999, Guide for the Definition of Reliability Program Plans for Nuclear Power Generating Stations, septembre1999.
3. Institute of Nuclear Power Operations, INPO AP-913, Equipment Reliability Process Description AP-913, Revision 1, novembre 2001.
4. Institute of Electrical and Electronics Engineers, IEEE Guide for General Principles of Reliability Analysis of Nuclear Power Generating Station Safety Systems, 1987.
5. International Atomic Energy Agency, IAEA TECDOC-524, Status, Experience and Future Prospects for the Development of Probabilistic Safety Criteria, AIEA, Vienne, 1989.
6. Commission canadienne de sûreté nucléaire, R-7, Les normes des systèmes de confinement des centrales nucléaires CANDU , février 1991.
7. Commission canadienne de sûreté nucléaire, R-8, Les normes des systèmes d'arrêt d'urgence des centrales nucléaires CANDU , février 1991.
8. Commission canadienne de sûreté nucléaire, R-9, Les normes des systèmes de refroidissement d'urgence du coeur des centrales nucléaires CANDU , novembre 2008.
9. Commission canadienne de sûreté nucléaire, RD-337, Conceptions des nouvelles centrales nucléaires, novembre 2008.
10. Commission canadienne de sûreté nucléaire, S-210, Programmes d'entretien des centrales nucléaires, juillet 2007.
11. Commission canadienne de sûreté nucléaire, RD-99.1, Rapports à soumettre par les exploitants de centrales nucléaires : Événements, publication prévue à l'automne 2011.
12. Commission canadienne de sûreté nucléaire, GD-99.1, Rapports à soumettre par les exploitants de centrales nucléaires : Événements, publication prévue à l'automne 2011.
13. Commission canadienne de sûreté nucléaire, RD-99.2, Rapports à soumettre par les exploitants de centrales nucléaires : Surveillance de la conformité, publication prévue à l'automne 2011.
14. Commission canadienne de sûreté nucléaire, GD-99.2, Rapports à soumettre par les exploitants de centrales nucléaires : Surveillance de la conformité, GD-99.2, publication prévue à l'automne 2011.