Ohje YVL B.1, Ydinvoimalaitoksen turvallisuussuunnittelu (15.11.2013)

Säteilyturvakeskus Perustelumuistio 1 (29) Ohje YVL B.1, Ydinvoimalaitoksen turvallisuussuunnittelu (15.11.2013) 1 Johdanto Valtioneuvoston asetuksen (717/2013) on esitetty ylätason vaatimukset ydinvoimalaitoksen turvallisuussuunnittelulle. Näitä vaatimuksia täsmennetään tässä ohjeessa. Kunkin kappaleen alussa on esitetty ne VNA:n vaatimukset, joihin kyseiset ohjeen täsmennykset liittyvät. Lisäksi ohjeessa on otettu huomioon IAEA:n ohjeessa Safety of Nuclear Power Plants: Design, Series No. SSR-2/1, February 20, 2012, WENRA reference requirements, Appendix E, 6.1 sekä WENRA:n uusille ydinvoimalaitoksille laatimat vaatimukset. Ydinvoimalaitoksen turvallisuussuunnitteluun liittyviä vaatimuksia on esitetty lisäksi seuraavissa ohjeissa: YVL A.1 Ydinenergian käytön turvallisuusvalvonta YVL A.3 Ydinlaitoksen johtamisjärjestelmät YVL A.5 Ydinvoimalaitoksen rakennustoiminta YVL A.6 Ydinvoimalaitoksen käyttötoiminta YVL A.7 Ydinvoimalaitoksen riskien hallinta YVL A.11 Ydinlaitoksen turvajärjestelyt YVL B.2 Ydinlaitoksen järjestelmien, rakenteiden ja laitteiden luokittelu. Ydinvoimalaitoksen turvallisuussuunnittelua täydentäviä, yksityiskohtaisia vaatimuksia on esitetty ohjeissa: YVL A.12 Ydinlaitoksen tietoturvallisuuden hallinta YVL B.3 Ydinvoimalaitoksen turvallisuuden arviointi YVL B.4 Ydinpolttoaine ja reaktori YVL B.5 Ydinvoimalaitoksen primääripiiri YVL B.6 Ydinvoimalaitoksen suojarakennus YVL B.7 Ydinlaitoksen varautuminen sisäisiin ja ulkoisiin uhkiin YVL B.8 Ydinlaitoksen palontorjunta YVL E.6 Ydinlaitoksen rakennukset ja rakenteet YVL E.7 Ydinlaitoksen sähkö- ja automaatiolaitteet. YVL E.10 Ydinlaitoksen varavoimakoneet YVL E.11 Ydinlaitoksen nosto- ja siirtolaitteet Ydinlaitoksen rakenteellista säteilyturvallisuutta, työntekijöiden ja ympäristön säteilysuojelua sekä säteilymittauslaitteisiin liittyviä vaatimuksia käsitellään ohjeissa YVL C.1 Ydinlaitoksen rakenteellinen säteilyturvallisuus YVL C.2 Ydinlaitoksen työntekijöiden säteilysuojelu ja säteilyaltistuksen seuranta YVL C.3 Ydinlaitoksen radioaktiivisten aineiden päästöjen rajoittaminen ja valvonta YVL C.4 Ydinlaitoksen ympäristön säteilyturvallisuus YVL C.6 Ydinlaitoksen säteilymittaukset Ydinvoimalaitoksen turvallisuussuunnitteluun liittyvät vaatimukset perustuvat syvyyssuuntaiseen puolustusperiaatteeseen. Tässä periaatteessa ydinvoimalaitoksen suunnittelu on reaktorivaurioiden ja säteilyn haitallisten vaikutusten estämiseksi toteutettava useilla peräkkäisillä, toisiaan varmentavilla rakenteilla ja järjestelmillä. Syvyyssuuntaisen puolustusperiaatteen

Säteilyturvakeskus Perustelumuistio 2 (29) mukaisen rakenteisiin ja turvallisuustoimintoihin liittyvän puolustuksen perustuu viiteen peräkkäiseen tasoon, joista kaksi ylintä tasoa on tarkoitettu ehkäisemään onnettomuuksia ja muut tasot on tarkoitettu suojaamaan laitosta ja sen käyttäjiä sekä ympäristöä onnettomuuden haitallisilta vaikutuksilta eli rajoittamaan onnettomuuksien seurauksia. IAEA:n ja WENRA:n ohjeissa esitetyt vaatimukset perustuvat tähän samaan periaatteeseen. Syvyyssuuntaisen puolustusperiaatteen perusta on esitetty ydinenergialain (muutos 342/2008) 7d :ssä, jonka mukaan ydinlaitoksen suunnittelussa on varauduttava käyttöhäiriöiden ja onnettomuuksien mahdollisuuteen. Onnettomuuden todennäköisyyden on oltava sitä pienempi, mitä vakavampi onnettomuuden seuraus saattaisi olla ihmisille, ympäristölle tai omaisuudelle. Syvyyssuuntaisen puolustusperiaatteen mukaisesti ydinvoimalaitoksen suunnittelussa huomioon otettavat tilanteet jaetaan normaaliin käyttöön ja viiteen normaalista poikkeavaan tilanteeseen. Näitä tilanteita kullakin syvyyssuuntaisen puolustusperiaatteen tasolla kutsutaan suunnitteluperusteluokiksi. joita on neljä (DBC 1 4) ja oletettujen onnettomuuksien laajennusluokiksi, joita on kolme (DEC A, B ja C) sekä vakavia onnettomuuksia käsitteleväksi suunnitteluperusteluokaksi (SA). Tilanteet luokitellaan niiden taajuuden perusteella eri suunnitteluperusteluokkiin. Hyväksymiskriteerin määrittäminen tilanteiden seurauksille (polttoaineen lämpötilalle, primaaripiirin paineelle ja radiologisille vaikutuksille) eri suunnitteluperusteluokissa johtaa pelkistettynä kuvan 1 mukaiseen vakioriskikäyrään, jossa tapahtumien seuraukset on sitä lievemmät mitä todennäköisempi tapahtuma on. Vakioriskikäyrä jakaa kuvassa esitetyn kentän hyväksyttävään ja ei hyväksyttävään alueeseen. Tavoitteena on päästä järjestelmien, rakenteiden ja laitteiden laadulla, turvallisuustoiminnoilla ja niiden luotettavuudella sekä turvallisuusperiaatteita soveltamalla aina tämän vakioriskikäyrän hyväksyttävälle alueelle. Riskiä voidaan alentaa alkutapahtumien taajuutta pienentämällä tapahtumien taajuutta eli parantamalla alkutapahtuman syntyyn liittyvien järjestelmien, rakenteiden ja laitteiden laatua (tämä liittyy syvyyssuuntaisen puolustusperiaatteen tasoihin 1 ja 2 ja on luoneeltaan onnettomuuksia estävä) tai lieventämällä tapahtumien seurauksia eli suunnittelemalla tapahtumien seurauksia lieventävät luotettavat turvallisuustoiminnot (tämä liittyy syvyyssuuntaisen puolustusperiaatteen tasoihin 3 ja 4 ja ovat luonteeltaan onnettomuuksien seurauksia lieventäviä). Tapahtumien taajuus DBC1 DBC2 DBC3 DBC4 Luotettavuus Ei hyväksyttävä alue Laatu DEC Hyväksyttävä alue vakioriski SA DBC1 DBC2 DBC3 DBC4 DEC SA seuraukset SÄTEILYTURVAKESKUS STRÅLSÄKERHETSCENTRALEN RADIATION AND NUCLEAR SAFETY AUTHORITY PVM/NN 5 Kuva 1 Vakioriskikäyrä

Säteilyturvakeskus Perustelumuistio 3 (29) Ydinvoimalaitoksen turvallisuus voidaan edellä esitetyllä tavalla varmistaa pienentämällä suunnitteluperusteena käytettävien tilanteiden taajuutta parantamalla tilanteen syntyyn liittyvien järjestelmien, rakenteiden ja laitteiden laatua lieventämällä suunnitteluperustetapahtumien seurauksia soveltamalla turvallisuusperiaatteita ja suunnittelemalla tapahtumien seurauksia lieventävät luotettavat turvallisuustoiminnot. Turvallisuustoimintojen luotettavuuteen liittyy toisaalta niitä toteuttavien järjestelmien laatu ja toisaalta niiden luotettavuuteen liittyvä vikasietoisuus. Järjestelmien. rakenteiden ja laitteiden laatuun vaikuttaa suunnitteluorganisaatioiden mukaan lukien luvanhakijan/haltijan toiminta, suunnitteluprosessi sekä laitteiden valmistus, niiden testaus ja asennus. Näihin asioihin liittyviä vaatimukset on esitetty tämän ohjeen luvussa 3. Turvallisuustoimintoja toteuttavien järjestelmien luotettavuuden varmistamiseksi on suunnittelussa huomioitava näihin järjestelmiin kohdistuvat uhat. Näitä hallitaan soveltamalla suunnittelussa moninkertaisuus-, erilaisuus- ja erotteluperiaatteita. Näihin periaatteisiin liittyvät vaatimukset on esitetty YVL ohjeen B1 luvussa 4. Luvussa 5 esitetään vaatimukset ydinvoimalaitoksen erityisjärjestelmien suunnittelussa. Luvussa 6 esitetään vaatimukset STUKille toimitettavien asiakirjojen osalta ja luvussa 7 vaatimukset turvallisuussuunnittelun viranomaisvalvonnalle. 2 Soveltamisala Tässä ohjeessa annetaan vaatimuksia ydinvoimalaitoksen turvallisuussuunnittelua ja erityisesti turvallisuusluokkiin 1 3 kuuluvien järjestelmien ja niihin tehtävien muutosten suunnittelua varten. Tätä ohjetta voidaan soveltaa myös muihin ydinlaitoksiin. 3 Suunnittelun hallinta Ydinvoimalaitosten suunnitteluun liittyvät ylätason vaatimukset on annettu Ydinenergialain 7f ssä, jossa esitetään Turvallisuuden on oltava etusijalla ydinlaitoksen rakentamisessa ja käytössä. Rakentamis- /käyttöluvan haltija vastaa siitä, että ydinlaitos rakennetaan ja että sitä käytetään turvallisuusvaatimusten mukaisesti ja Valtioneuvoston asetuksen 717/20134 :ssä, jossa esitetään Turvallisuuden kannalta tärkeät järjestelmät, rakenteet ja laitteet on suunniteltava, valmistettava ja asennettava sekä niitä on käytettävä siten, että niiden laatutaso ja laatutason todentamiseksi tarvittavat arvioinnit, tarkastukset ja testaukset, mukaan lukien ympäristökelpoisuus, ovat riittävät kohteen turvallisuusmerkitys huomioon ottaen. Luvussa 3 täsmennetään näitä vaatimuksia. Turvallisuustoimintojen luotettavuuteen liittyy toisaalta niitä toteuttavien järjestelmien laatu ja toisaalta niiden luotettavuuteen liittyvä vikasietoisuus. Järjestelmien ja niihin kuuluvien laitteiden ja rakenteiden laatu määräytyy niiden turvallisuusluokan mukaan. Laadun pitää olla sitä korkeampi mitä suurempi on järjestelmän turvallisuusmerkitys. Tuotteiden laatu varmistetaan korkeatasoisella laadunhallinnalla, joka on esitetty

Säteilyturvakeskus Perustelumuistio 4 (29) ydinvoimalaitoksen ja sen turvallisuuden kannalta tärkeiden järjestelmien suunnitteluun ja toteutukseen osallistuvien organisaatioiden johtamisjärjestelmässä. Ydinvoimalaitoksen johtamisjärjestelmällä tarkoitetaan prosesseja ja menettelytapoja, joita käyttäen organisaatio määrittelee turvallisuus- ja laatupolitiikkansa, tavoitteet toiminnalleen ja ne menettelytavat, joiden avulla tavoitteet saavutetaan. Johtamisjärjestelmän yhtenä tavoitteena on kehittää ja ylläpitää korkeatasoista turvallisuuskulttuuria, joka sisältää myös edellytykset kehittyneelle laadunhallinnalle. Ydinvoimalaitoksen suunnitteluun, rakentamiseen, käyttöönottoon ja käyttöön osallistuvilla organisaatioilla on oltava johtamisjärjestelmä ja sitä on arvioitava säännöllisesti ja parannettava jatkuvasti. Johtamisjärjestelmässä on koottava yhteen kaikki organisaation johtamisvaatimukset ja siinä on kuvattava suunnitellut ja järjestelmälliset toimenpiteet, joilla varmistetaan, että vaatimukset täytetään. Sen on oltava yhteensopiva organisaation tavoitteiden kanssa ja autettava niiden saavuttamista. Johtamisjärjestelmän tärkein tavoite on turvallisuuden varmistaminen. Johtamisjärjestelmän on katettava koko laitoksen elinkaari paikanvalinnasta käytöstäpoistoon. Sen on velvoitettava koko henkilöstöä sekä ydinvoimalaitoksella työskenteleviä alihankkijoita, toimittajia ja yhteistyökumppaneita. Johtamisjärjestelmän yhtenä tärkeänä tehtävänä on luoda edellytykset korkeatasoiselle laadunhallinnalle. Tältä osin koko laitoksen eliniän ajan alkaen laitoksen suunnittelusta ja jatkuen sen rakentamisen, käytön ja käytöstäpoiston ajan ydinlaitoksen luvanhaltija on velvollinen kehittämään ja ylläpitämään dokumentoitua johtamisjärjestelmää, jossa määritellään turvallisuuden kannalta tärkeille ydinlaitokseen liittyville tehtäville ja töille vaadittavat laatuvaatimukset ja turvallisuustavoitteet. Johtamisjärjestelmän asettamien laatuvaatimusten pitää kattaa kaikki ne organisaatiot, jotka osallistuvat ydinlaitoksen suunnitteluun rakentamiseen, käyttöön sekä käytöstäpoistoon. Ydinvoimalaitoksen ja sen turvallisuuden kannalta tärkeiden järjestelmien suunnitteluun ja toteutukseen osallistuvilla organisaatioilla on oltava johtamisjärjestelmä, jonka on soveltuvin osin täytettävä ohjeessa YVL A.3 asetetut vaatimukset. Suunnitteluorganisaatioiden on lisäksi täytettävä luvussa 3 asetetut vaatimukset. Luvanhaltijan/hakijan on osoitettava, että vaatimukset täyttyvät. Turvallisuussuunnittelun laadun varmistamiseksi kappaleessa 3.1 on esitetty vaatimukset suunnittelusta vastaavalle organisaatiolle ja kappaleessa 3.2 suunnitteluprosessille. Luvussa 3.4 on esitetty, että turvallisuusluokiteltujen järjestelmien tai niiden muutosten suunnittelua ja toteutusta varten on laadittava järjestelmäkohtainen laatusuunnitelma. Laatusuunnitelmassa kootaan yhteen suunnittelusta vastaavalle organisaatiolle ja suunnitteluprosessille esitetyistä vaatimuksista johdetut asiat, joita ovat järjestelmän suunnitteleva organisaatio vastuineen ja rajapintoineen muihin suunnitteluun liittyviin organisaatioihin suunnittelussa ja toteutuksessa käytettävät standardit ja ohjeet, myös YVL-ohjeet suunnittelu- ja toteutusprosessin vaiheet kunkin suunnitteluvaiheen lähtötietoina käytettävät asiakirjat ja tallenteet ja muut syötteet kunkin suunnitteluvaiheen tuloksina syntyvät asiakirjat ja tallenteet ja muut vaihetuotteet

Säteilyturvakeskus Perustelumuistio 5 (29) vaiheiden päätteeksi tehtävät katselmoinnit, mukaan lukien katselmoinnin ajoitus, sisältö ja suorittaja, hyväksymiskriteerit sekä sovellettavat päätöksentekomenettelyt ja -vastuut alihankkijoiden valvonnassa käytettävät menettelyt suunnittelukonfiguraation ja -muutosten hallinta hallinta- ja laatumenettelyt, joita on sovellettava rinnakkain elinkaarivaiheiden kanssa prosessien vastuujako päätöksentekomenettelyt mukaan lukien menettelyt laatusuunnitelman muuttamista varten. Luvussa 3 on myös esitetty erityisvaatimukset konfiguraation hallinnalle, vaatimusmäärittelylle ja suunnitteluorganisaation sisäiselle turvallisuusarviolle. Suunnitteluorganisaation omalla turvallisuusarviolla on osoitettava turvallisuusvaatimusten täyttyminen sekä suunnittelun ja toteutusprosessin asianmukaisuus. Vaatimuksessa 346 edellytetään suunnittelulle riippumattoman kolmannen osapuolen organisaation toimesta tehtävää turvallisuusarviota, jos järjestelmillä, rakenteilla ja laitteilla on huomattava turvallisuusmerkitys. Riippumattoman kolmannen osapuolen organisaation turvallisuusarvio tarvitaan, jos ydinvoimalaitoksessa käytetään uutta teknologiaa tai jos laitoksen turvallisuustoiminnoissa käytetään turvallisuuden kannalta erityisen tärkeitä järjestelmiä, laitteita tai rakenteita. Tällaisiksi katsotaan muun muassa sellaiset järjestelmät tai laitteet joiden oikean toiminnan varmistaminen edellyttää laajojen kokeiden tekemistä, esimerkiksi hätäjäähdytysjärjestelmien imusiivilät, vakavien onnettomuuksien hallinta järjestelmät tai passiivisiin ominaisuuksiin liittyvät turvallisuusjärjestelmät. Laitos-, järjestelmä- ja laitetason vaatimusmäärittelyt on esitettävä toimitettavien asiakirjojen yhteydessä. Kutakin kohdetta (laitos, järjestelmä, laite) varten on oltava vaatimusmäärittely eli se mitkä vaatimukset ko. kohteen on täytettävä. Laitos- ja järjestelmätason vaatimusmäärittely on oltava osana alustavaa turvallisuusselostetta niissä kappaleissa, joissa on kuvaus laitostason ja järjestelmätason suunnitteluratkaisusta. Laitetason vaatimusmäärittely on esitettävä laitteiden rakennesuunnitelmissa (mekaaniset laitteet) ja alustavissa soveltuvuusarvioissa (sähkö- ja automaatiolaitteet). Suunnitteluratkaisut on perusteltava deterministisillä (vaatimukset esitetty ohjeessa YVL B.3) ja todennäköisyysperusteisilla turvallisuusanalyyseilla (vaatimukset esitetty ohjeessa YVL A.7) sekä vikasietoisuusanalyysilla. Vikasietoisuusanalyyseilla on osoitettava, että kaikki turvallisuustoimintoja ja turvallisuuteen vaikuttavia toimintoja toteuttavat järjestelmät ja niiden tukijärjestelmät täyttävät tämän ohjeen luvussa 4.3 esitetyt vikakriteerit syvyyssuuntaisen turvallisuusperiaatteen mukaan eri puolustustasoille sijoitetut järjestelmät on toiminnallisesti erotettu toisistaan siten, että yhdellä tasolla tapahtuva vika ei vaikuta muihin tasoihin. minkään yksittäisen laitetyypin (esim. samanlainen takaiskuventtiili, sama tyyppi ja valmistaja) yhteisvika ei estä ydinvoimalaitoksen saattamista hallittuun tilaan ja siitä edelleen turvalliseen tilaan. Vikasietoisuusanalyysissä on tarkasteltava toiminnallista kokonaisuutta kerrallaan ottaen huomioon sekä turvallisuustoimintoa toteuttava järjestelmä, että sen tukijärjestelmät. Analyy-

Säteilyturvakeskus Perustelumuistio 6 (29) sissä tulee tarkastella jokaista laitetta, jonka viat saattavat vaikuttaa järjestelmän suorittaman turvallisuustoiminnon onnistumiseen jonkin alkutapahtuman jälkeen. Kaikkien turvallisuustoimintoa toteuttavaan järjestelmään vaikuttavien laitteiden kaikki vikaantumistavat on käsiteltävä analyysissä. Analyysissä oletetaan vaaditusta vikakriteeristä riippuen yksi tai useampi vika kerrallaan ja selvitetään niiden vaikutus järjestelmän toimintaan. Vikasietoisuusanalyysit on tehtävä seuraavan jaottelun mukaisesti. 1) Toiminnallisten vikaantumisriippuvuuksien analyysi. Analyysin tarkoitus on selvittää, kuinka järjestelmän toiminta muuttuu, kun siihen oletetaan yksi vika kerrallaan. Tässä tarkastellaan vain suunniteltuja riippuvuuksia, eli järjestelmää ja sen tukijärjestelmiä. Tukijärjestelmä katsotaan yhdeksi komponentiksi. Jos tunnistetaan tukijärjestelmän vikojen vaikuttavan järjestelmän toimintaan, myös tukijärjestelmälle on tehtävä vikasietoisuusanalyysi, jonka luokittelukriteerinä on ne vikaantumistavat, jotka tunnistettiin pääjärjestelmän vikasietoisuusanalyysissä (esim. ei sähköä, ei virtausta, ylijännite, jne.). Tällä tavalla saadaan joukko yhteen kytkettävissä olevia analyysejä, joissa tukijärjestelmien vikamoodit voidaan linkittää pääjärjestelmiin. Tämä yhteen liitettävien analyysien joukko muodostaa vikasietoisuusanalyysin perustyökalun, jota sovelletaan jatkossa. Tämän analyysin yhteydessä on esitettävä myös, mihin tilaan järjestelmä joutuu, kun sen laitteita huolletaan (esim. epäkäytettävä tai saatettu turvalliseen tilaan). 2) Alkutapahtumariippuvuuksien analyysi. Tällä analyysilla on kaksi tavoitetta: tunnistaa laitteet, joiden toiminta menetetään alkutapahtuman yhteydessä esimerkiksi toiminnallisten riippuvuuksien tai välittömien ympäristövaikutusten vuoksi tunnistaa laitteet, joiden suojaus alkutapahtumaa ja sen ympäristövaikutuksia vastaan on olennaista järjestelmän toiminnan kannalta. 3) Vikariteerin täyttymisen osoittaminen alkutapahtuman yhteydessä. Vikasietoisuusanalyysillä on osoitettava, että järjestelmä täyttää vaaditut tehtävänsä silloinkin, kun siihen oletetaan alkutapahtumariippuvuudet ja vikakriteerin mukaiset viat. 4) Yhteisvika-analyysi. Yhteisvika-analyysi on laadittava alkutapahtumille, jotka kuuluvat suunnitteluperusteluokkiin DBC 2 ja DBC 3. Yhteisvika-analyysiä varten on esitettävä alkutapahtumittain turvallisuustoimintojen toteutus siten, että esityksestä käy ilmi erilaisuus- ja rinnakkaisuusperiaatteen toteuttavien järjestelmien käyttö. Yhteisvikaanalyysissä on tarkasteltava kerrallaan yhtä turvallisuustoimintoa ja siinä on otettava huomioon toimintoa toteuttavat järjestelmät ja niiden tukijärjestelmät. Analyysissä on tarkasteltava kaikkien sellaisten laitteiden yhteisvikoja, joiden yhteisviat tai aiheettomat toiminnot voivat vaikuttaa turvallisuustoiminnon toteutumiseen. Yhteisvika-analyysissä on otettava huomioon alkutapahtuma, alkutapahtu-

Säteilyturvakeskus Perustelumuistio 7 (29) mariippuvuudet ja lisäksi yhteisvika sellaisten laitteiden välille, joilla on yhteinen ominaisuus, eli laitteet ovat samankaltaisia tai sisältävät merkittävästi samankaltaisia osia. Luvussa 3 on myös annettu vaatimukset suunnitteluaineiston dokumentaatiolle ja järjestelmien kelpoistukselle. Kelpoistusprosessin ohjaamiseksi järjestelmille on laadittava ja toteuttava kelpoistussuunnitelma. Kelpoistussuunnitelmassa on esitettävä 1. järjestelmien, rakenteiden ja laitteiden suunnittelun ja toteutuksen laadunvarmistusvaiheiden (todentaminen ja kelpuutus) yhteydessä tuotettu aineisto, jota käytetään kelpoistuksessa hyväksi 2. kelpoistusta varten suunnitellut ulkopuoliset arviot, testit, analyysit ja koestukset sekä näihin käytetyt menetelmät, niiden soveltuvuus ja suorittaja 3. kelpoistuksen etenemissuunnitelma aikatauluarvioineen ja riippuvuuksineen suhteessa projektin etenemiseen 4. kelpoistusprosessin myötä tuotettava dokumentaatio ja tämän esittäminen viranomaiskäsittelyyn. 4 Turvallisuustoimintojen luotettavuuden varmistamista koskevat suunnitteluvaatimukset 4.1Yleisiä suunnitteluperiaatteita ja vaatimuksia Kappaleessa 4.1 on esitetty yleisiä suunnitteluperiaatteita ja vaatimuksia turvallisuusluokitelluille järjestelmille. 4.2 Turvallisuustoimintoja toteuttavien järjestelmien suunnitteluperusteet Kappaleessa 4.2 on esitetty turvallisuustoimintoja toteuttavienjärjestelmien suunnitteluperusteet, jossa on vaatimukset suunnittelussa huomioon otettaville tapahtumille sisältäen järjestelmien, rakenteiden ja laitteiden vioista tai vaurioista johtuvat häiriöt ja onnettomuudet sekä sisäiset ja ulkoiset uhat. Ydinenergialain (muutos 342/2008) 7d :n mukaan ydinlaitoksen suunnittelussa on varauduttava käyttöhäiriöiden ja onnettomuuksien mahdollisuuteen. Onnettomuuden todennäköisyyden on oltava sitä pienempi, mitä vakavampi onnettomuuden seuraus saattaisi olla ihmisille, ympäristölle tai omaisuudelle. Ydinvoimalaitoksen suunnittelussa on otettava huomioon tapahtumat, jotka voivat saada aikaan laitoksen parametrien poikkeamisen normaaliarvoistaan, sekä tapahtumat, jotka voivat vaarantaa turvallisuustoimintoja toteuttavien laitteiden tai järjestelmien käyttövalmiuden. Tällaiset tapahtumat voivat saada alkunsa painelaitteen tai putkiston murtumasta, laiteviasta, virheestä laitoksen toiminnassa tai automaattisessa ohjauksessa tai sisäisestä tai ulkoisesta uhasta. Sisäisinä uhkina on tarkasteltava ainakin laitoksen sisällä syttyviä tulipaloja, laite- tai putkivaurioista johtuvia tulvia, törmäys- ja suihkuvoimia, räjähdyksiä, ylijännitteitä ja mahdollisuuksia tahalliseen vahingon tekoon.

Säteilyturvakeskus Perustelumuistio 8 (29) Ulkoisina uhkina on tarkasteltava ainakin harvinaisia sääilmiöitä, tulipaloa laitoksen läheisyydessä, korkeaa ja alhaista merenpinnan tasoa, seismisiä ilmiöitä, lämpönielun tukkeutumista jostakin muusta syystä kuin jäätymisen tai seismisen ilmiön seurauksena, lentokonetörmäystä, sähkömagneettisia ilmiöitä, räjähdystä tai myrkyllisiä kaasuja laitosalueella, öljyvuotoa laitoksen läheisellä merialueella sekä luvatonta tunkeutumista laitosalueelle tai laitoksen tietojärjestelmiin. Ydinvoimalaitoksen suunnittelussa on otettava huomioon tapahtumat, jotka voivat saada aikaan laitoksen parametrien poikkeamisen normaaliarvoistaan. Syvyyssuuntaisen puolustusperiaatteen mukaisesti ydinvoimalaitoksen suunnittelussa huomioon otettavat tilanteet on jaettava normaaliin käyttöön ja viiteen normaalista poikkeavaan tilanteeseen kuten taulukossa1 on esitetty. Jakoperusteena on poikkeavan tilanteen arvioitu esiintymistaajuus. Taulukossa on lisäksi esitetty radiologisten vaikutusten raja-arvot. Polttoaineelle ja primääripiirin paineelle asetetut eri tapahtumaluokkiin liittyvät hyväksymiskriteerit on esitetty ohjeissa YVL B.3 ja B.4. Tasolla 3b tapahtumien taajuudelle annetut arvot ovat suuntaa-antavia. Niitä ei ole tarkoitettu täsmällisiksi rajoiksi vaan ne on tarkoitettu ilmaisemaan tähän kategoriaan liittyvien tapahtumien luonnetta suhteessa muiden tasojen tapahtumiin.

Säteilyturvakeskus Perustelumuistio 9 (29) Taulukko 1. Syvyyssuuntaisen puolustusperiaatteen puolustustasojen määritelmät ja vaatimukset Puolus tustaso Laitostilanteen luokka Esiintymis taajuus (*) Suun nittelu peruste luokka Taso 1 Normaalit käyttötilanteet DBC 1 0,1 msv / vuosi Päästöjen ja sen vaikutusten raja-arvot Taso 2 Odotettavissa oleva tapahtuma 10-2 /a<f DBC 2 0,1 msv / tapahtuma Taso 3a Yksittäisen tapahtuman aiheuttama oletettu onnettomuus - luokka 1 10-3 /a<f<10-2 /a f < 10-3 /a DBC 3 DBC 4 1 msv / tapahtuma 5 msv / tapahtuma - luokka 2 Taso 3b Tyyppi A: odotettavissa <f<10-4 /a DEC 20 msv / tapahtuma oleva tapahtuma tai luokan 1 oletettu onnettomuus turvallisuusjärjestelmän yhteisvikaan yhdistettynä Tyyppi B: moninkertaisia f<10-5 /a vikoja sisältävä tapahtuma Tyyppi C: harvinainen tapahtuma Taso 4 Vakava reaktorionnettomuus f < 10-5 /a SAM Cs-137-päästö < 100 TBq (*) Tasojen 2 ja 3a osalta alkutapahtuman esiintymistaajuus, tason 3b osalta alkutapahtuman ja oletettujen lisävikojen kokonaisesiintymistaajuus ja tason 4 osalta kaikkien vakavaan reaktorionnettomuuteen johtavien tapahtumayhdistelmien kokonaisesiintymistaajuus. Suunnitteluperusteluokat on määritelty seuraavasti: Normaaliin käyttöön (DBC1) kuuluvat suunnitelmien mukainen tuotantokäyttö, laitoksen käynnistykset ja pysäytykset sekä seisokkitilanteet. Odotettavissa olevalla käyttöhäiriöllä (DBC 2) tarkoitetaan sellaista poikkeamaa normaalista käyttötilanteesta, jonka voidaan odottaa esiintyvän yhden tai useamman kerran laitoksen käyttöiän aikana (sataa käyttövuotta kohti). Oletetulla onnettomuudella tarkoitetaan sellaista poikkeamaa normaalista käyttötilanteesta, jonka voidaan olettaa esiintyvän harvemmin kuin kerran sadassa käyttövuodessa ja josta ydinvoimalaitoksen edellytetään selviytyvän ilman vakavia polttoainevaurioita. Oletetut onnettomuudet jaetaan arvioidun alkutapahtumataajuuden perusteella kahteen luokkaan:

Säteilyturvakeskus Perustelumuistio 10 (29) a) luokan 1 oletetut onnettomuudet (DBC 3), joiden voidaan olettaa esiintyvän harvemmin kuin kerran sadassa käyttövuodessa, mutta vähintään kerran tuhannessa käyttövuodessa; b) luokan 2 oletetut onnettomuudet (DBC 4), joiden voidaan olettaa esiintyvän harvemmin kuin kerran tuhannessa käyttövuodessa. Oletetun onnettomuuden laajennuksella (DEC) tarkoitetaan tilannetta, jonka aiheuttaa harvinainen ulkoinen tapahtuma tai jossa käyttöhäiriön tai luokan 1 oletetun onnettomuuden alkutapahtumaan liittyy turvallisuusjärjestelmissä esiintyvä yhteisvika tai monimutkainen vikayhdistelmä ja josta laitoksen edellytetään selviytyvän ilman vakavia polttoainevaurioita. Oletetun onnettomuuden laajennukset jaetaan kolmeen ryhmään DEC-A, DEC-B ja DEC-C Ryhmään DEC -A kuuluvina oletetun onnettomuuden laajennuksina käsitellään tapahtumia, joissa käyttöhäiriön tai luokan 1 oletetun onnettomuuden alkutapahtumaan liittyy turvallisuusjärjestelmissä esiintyvä yhteisvika. Tämä edellyttää, että vastaava turvallisuustoiminto pitää pystyä toteuttamaan erilaisuusperiaatetta noudattaen myös muulla tavalla. Esimerkkejä ryhmän DEC-A oletetun onnettomuuden laajennuksena käsiteltävistä tapahtumista ovat odotettavissa oleva käyttöhäiriö, jonka yhteydessä reaktorin pikasulku ei toimi (ATWS) primääripiirin pieni vuoto, jonka yhteydessä yksi reaktorin hätäjäähdytysjärjestelmistä ei toimi (esim. korkea- tai matalapainehätäjäähdytysjärjestelmä) ulkoisen verkkoyhteyden menetys, jonka yhteydessä ensisijaiseksi varavoiman lähteeksi tarkoitettu laitoksen sisäinen sähkönsyöttöjärjestelmä ei toimi (esim. varavoimadieselgeneraattorit) käyttöhäiriö tai luokan 1 onnettomuus, jonka yhteydessä suojausjärjestelmä ei käynnistä tarvittavia turvallisuustoimintoja; myös erilaisuusperiaatteen mukaisesti toteutetun varalla olevan suojausjärjestelmän on oletettava vikaantuvan, jos molemmat suojausjärjestelmät on toteutettu ohjelmistopohjaisella tekniikalla eikä molempien järjestelmien samasta syystä johtuvaa yhteisvikaa tai järjestelmien välistä virheiden leviämistä voida yksiselitteisesti sulkea pois normaalin syöttövesijärjestelmän menetys, jonka yhteydessä normaalin syöttövesijärjestelmän ensisijaisesti korvaava järjestelmä ei kykene syöttämään vettä höyrystimiin (PWR) reaktorin jäähdytyspiirin paineen kasvuun johtava käyttöhäiriö, jonka yhteydessä esiintyy samantyyppisten primääripiirin varoventtiilien yhteisvika reaktorin pysähtymiseen johtava käyttöhäiriö, jonka yhteydessä reaktorin normaali jälkilämmönpoistojärjestelmä ei toimi reaktorin välijäähdytyspiirissä esiintyy sen toiminnon keskeyttävä yhteisvika polttoainealtaiden normaalissa jäähdytysjärjestelmässä esiintyy sen toiminnan keskeyttävä yhteisvika reaktorista ja käytetystä polttoaineesta poistettavan jälkilämmön lopullinen lämpönielu menetetään 3 vuorokauden ajaksi. Ryhmään DEC-B kuuluvina oletetun onnettomuuden laajennuksina käsitellään monimutkaisia vikayhdistelmiä. Esimerkkejä ryhmään DEC-B kuuluvista monimutkaisista vikayhdistelmistä ovat tulipalo suuren palokuorman sisältävässä palo-osastossa ja vika tai vikayhdistelmä palontorjuntajärjestelyissä

Säteilyturvakeskus Perustelumuistio 11 (29) höyrystimen lämmönsiirtoputken katko ja sen jälkeen tapahtuva höyrystimen varoventtiilin auki juuttuminen tapahtumaketju, jonka seurauksena on höyrystimen usean lämmönsiirtoputken katko primääripiirin pieni vuoto, jonka yhteydessä menetetään ulkoinen verkkoyhteys ja ensisijaiseksi varavoiman lähteeksi tarkoitettu laitoksen sisäinen sähkönsyöttöjärjestelmä. Ryhmään DEC-C harvinaisia ulkoisia tapahtumia. Esimerkkejä ryhmään DEC-C kuuluvista harvinaisista ulkoisista tapahtumista ovat äärimmäiset sääilmiöt suuren liikennelentokoneen törmäys. Vakavalla reaktorionnettomuudella tarkoitetaan tilannetta, jossa huomattava osa reaktorissa olevasta polttoaineesta vaurioituu. Vakavan onnettomuuden esiintymistaajuuden on oltava pienempi kuin kerran sadassa tuhannessa käyttövuodessa. Vakaville onnettomuuksille VNA 717/20013:ssa asetetun päästörajan ylittävän päästön esiintymistaajuuden on oltava pienempi kuin 5 10 7 /a. Suunnittelussa huomioon otettavat järjestelmien ja laitteiden vikamoodit Ydinvoimalaitoksen suunnittelussa on otettava huomioon tapahtumat, jotka voivat vaarantaa turvallisuustoimintoja toteuttavien laitteiden tai järjestelmien käyttövalmiuden tai toiminnan. Tällaiset tapahtumat voivat saada alkunsa painelaitteen tai putkiston murtumasta, laiteviasta, virheestä laitoksen toiminnassa tai automaattisessa ohjauksessa tai sisäisestä tai ulkoisesta uhasta. Ydinvoimalaitoksen suunnittelussa on otettava huomioon satunnaiset vikaantumiset (esimerkiksi laiteviat), systemaattiset virheet ja -vikaantumiset (esimerkiksi ohjelmistoviat) sekä niiden seurauksena syntyvät passiiviset ja aktiiviset viat. Ydinvoimalaitosta turvallisuusjärjestelmien suunniteltaessa on otettava huomioon seuraavat luonteeltaan passiiviset tai aktiiviset viat: satunnaisesti ilmaantuva tai inhimillisestä virheestä johtuva vika, jonka seurauksena yksittäinen laite tai rakenne ei pysty toteuttamaan sille määriteltyä toimintoa (yksittäisvika) vika, joka aiheutuu jonkin toisen laitteen, järjestelmän tai rakenteen viasta tai laitoksen sisäisestä tapahtumasta kuten esimerkiksi tulvasta, tulipalosta, suihkuvoimasta, räjähdyksestä, lentävästä esineestä tai jännitehäiriöstä (seurausvika) yhteisvika, joka tarkoittaa kahden tai useamman rakenteen, järjestelmän tai laitteen vikaantumista saman yksittäisen tapahtuman tai syyn vaikutuksesta (yhteisviat voivat olla luonteeltaan myös seurausvikoja) ulkoiset uhat, joihin sisältyvät ainakin lopullisen lämpönielun käytön estävät tai käyttöä merkittävästi haittaavat ilmiöt, ukonilma, maanjäristys, myrskytuuli, tulva, poikkeuksellisen kylmä tai lämmin sää, poikkeuksellinen sade tai kuivuus, korkea tai alhainen merenpinta, sähkömagneettinen häiriö, öljyvuoto, lentokonetörmäys, räjähdys, myrkyllisten kaasujen vapautuminen ja luvaton tunkeutuminen laitosalueelle tai laitoksen tietojärjestelmiin.

Säteilyturvakeskus Perustelumuistio 12 (29) Deterministisen suunnittelun tavoitteena on löytää suunnitteluratkaisut, joilla varaudutaan näihin vikoihin ja uhkiin. Nämä suunnitteluratkaisut perustuvat monikertaisuus-, erottelu- ja erilaisuusperiaatteen soveltamiseen järjestelmäsuunnittelussa. Automaatiojärjestelmien suunnittelussa huomioon otettavat vikamoodit ja niihin liittyvät analyysit on esitetty kappaleessa 5.2.6 Automaation erottelu ja vikojen leviämisen estäminen. 4.3 Syvyyssuuntaisen puolustusperiaatteen soveltaminen suunnittelussa Valtioneuvoston asetuksen 717/2013 14 :n kolmannen momentin mukaan onnettomuuksien estämiseksi ja niiden seurausten lieventämiseksi ydinvoimalaitoksessa on oltava järjestelmät reaktorin pysäyttämiseen ja alikriittisenä pitämiseen, reaktorissa syntyvän jälkilämmön poistamiseen sekä radioaktiivisten aineiden pidättämiseen laitoksen sisällä. Kyseisten järjestelmien suunnittelussa on sovellettava periaatteita, joilla varmistetaan turvallisuustoiminnon toteutuminen myös vikaantumistilanteissa. Näitä periaatteita ovat moninkertaisuus, erottelu- ja erilaisuusperiaate. Valtioneuvoston asetuksen 717/2013 14 :n viidennen momentin mukaan yhteisvikojen vaikutusten laitoksen turvallisuuteen on oltava vähäisiä. Moninkertaisuus on peruslähtökohta, jota on käytettävä kaikilta vioilta ja uhkilta suojautumiseksi. Se tarkoittaa, että turvallisuustoimintoja toteuttavat järjestelmät koostuvat kahdesta tai useammasta osajärjestelmästä. Osajärjestelmät pystyvät huolehtimaan turvallisuustoiminnosta jäljempänä esitettävien vikakriteereiden mukaisesti. Moninkertaisuusperiaatetta on kuitenkin täydennettävä yhteisvioilta suojaavalla erilaisuusperiaatteella ja seurausvioilta sekä ulkoisilta uhkilta suojaavalla erottelulla. Erilaisuusperiaatetta tulee soveltaa järjestelmätasolla siten, että sama turvallisuustoiminta voidaan toteuttaa kahdella erilaisella tavalla. Esimerkiksi jälkilämmön poistoa varten tulee olla kaksi toisistaan riippumatonta tapaa poistaa jälkilämpö lopulliseen lämpönieluun, tarvittaessa erilaisiin lämpönieluihin ja reaktorin pysäyttämiseksi tulee olla kaksi erilaista keinoa. Sen lisäksi erilaisuusperiaatetta tulee soveltaa joissakin tapauksissa myös rakenne- ja laitetasolla käyttämällä turvallisuusjärjestelmän toisiaan korvaavissa osissa vähintään kahta riittävän erityyppistä rakennetta ja laitetta. Ydinenergialain (muutos 342/2008) 7b :n mukaan ydinlaitoksen turvallisuus on varmistettava peräkkäisillä ja toisistaan riippumattomilla suojauksilla (syvyyssuuntainen turvallisuusperiaate). Tämä periaate on ulotettava laitoksen toiminnalliseen ja rakenteelliseen turvallisuuteen. Edellä viitattuja ydinenergialain 7b :n ja 7d :n vaatimuksia täsmennetään valtioneuvoston asetuksen 717/2013 12 :ssä seuraavasti: Odotettavissa olevien käyttöhäiriöiden ja onnettomuuksien ehkäisemiseksi ja niiden seurausten lieventämiseksi ydinvoimalaitoksen suunnittelussa, rakentamisessa ja käyttötoiminnassa on noudatettava toiminnallista syvyyssuuntaista turvallisuusperiaatetta. Ydinvoimalaitoksen turvallisuussuunnitteluun liittyvät vaatimukset perustuvat syvyyssuuntaiseen puolustusperiaatteeseen. Tässä periaatteessa ydinvoimalaitoksen suunnittelu on reaktorivaurioiden ja säteilyn haitallisten vaikutusten estämiseksi toteutettava useilla peräkkäisillä, toisiaan varmentavilla rakenteilla ja järjestelmillä. Syvyyssuuntaisen puolustusperiaatteen mukaisen rakenteisiin ja turvallisuustoimintoihin liittyvän puolustuksen on perustuttava viiteen peräkkäiseen tasoon, joista kaksi ylintä tasoa on tarkoitettu ehkäisemään onnettomuuksia ja muut tasot on tarkoitettu suojaamaan laitosta ja sen käyttäjiä sekä ympäristöä onnettomuuden haitallisilta vaikutuksilta eli rajoittamaan onnettomuuksien seurauksia. IAEA:n ja WENRA:n ohjeissa esitetyt vaatimukset perustuvat tähän samaan periaatteeseen.

Säteilyturvakeskus Perustelumuistio 13 (29) Ensimmäisen tason tavoitteena on estää poikkeamat laitoksen normaalista käyttötilasta. Tämän saavuttamiseksi laitteiden suunnittelussa, valmistuksessa, asennuksessa ja huollossa sekä laitoksen käyttötoiminnassa sovelletaan korkeita laatuvaatimuksia, luotettavuusvaatimuksia ja riittäviä varmuusmarginaaleja. Tärkeimpiä tällä tasolla tarvittavia rakenteita ovat turvallisuusluokkaan 1 kuuluvat ydinpolttoaine sekä reaktorin jäähdytyspiirin päälaitteet ja suuret putkistot. Tason 1 tavoitetta eli laitoksen säilymistä normaalissa käyttötilassa palvelevat myös monet muut järjestelmät, rakenteet ja laitteet, jotka sijoittuvat luokkiin 2, 3 ja EYT sen mukaan, miten yllättäviä, dynaamisia ja vaikeasti hallittavia tilanteita niiden viat tai puutteellinen toiminta poikkeuksellisen tilanteen estämiseksi voivat aiheuttaa. Toisella tasolla tarkoitetaan sitä, että laitoksen huolellisesta suunnittelusta ja käytöstä huolimatta tapahtuviin käyttöhäiriöihin varaudutaan järjestelmin, joiden tehtävänä on havaita häiriöt ja estää niiden eteneminen onnettomuudeksi ohjaamalla laitos hallittuun tilaan. Tasolla 2 tarvittavien järjestelmien tehtävänä on havaita häiriöt ja estää niiden kehittyminen onnettomuudeksi. Nämä järjestelmät kuuluvat turvallisuusluokkaan 3, johon tyypillisesti kuuluvat erilaiset rajoitustoiminnot, esimerkiksi osittainen pikasulku tai lukitustoiminnot, joilla pääsääntöisesti estetään häiriön eteneminen niin, ettei varsinaisen reaktorin suojausjärjestelmän tarvitse puuttua tapahtuman kulkuun.. Tasolla 1 olevat järjestelmät, rakenteet ja laitteet voivat pahasti vikaantuessaan aiheuttaa alkutapahtuman, jonka hallintaan tason 2 rajoitustoiminnot eivätkä turvallisuustoiminnot riitä. Tällaisten tapahtumien seurauksilta ydinvoimalaitoksilla suojaudutaan oletettuja onnettomuuksia varten suunnitelluilla järjestelmillä. Nämä turvallisuusjärjestelmät (kuten reaktorisydämen hätäjäähdytysjärjestelmä, primääri- ja/tai sekundääripiirin varoventtiilit sekä suojarakennuksen eristysjärjestelmä) tarvitaan rajoittamaan onnettomuuksien seurauksia ja estämään niiden kehittyminen vakavaksi onnettomuudeksi. Kolmannella tasolla on varauduttava onnettomuuksiin järjestelmin, jotka käynnistyvät automaattisesti onnettomuustilanteen syntyessä, suojaavat radioaktiivisten aineiden leviämistä pidättäviä esteitä ja estävät onnettomuuden kehittymisen vakavaksi onnettomuudeksi. Kolmas taso on jaettava kahteen osaan, tasoihin 3a ja 3b. Tason 3a tavoitteena on hallita yksittäisistä alkutapahtumista ja niiden seurausvaikutuksista johtuvia oletettuja onnettomuuksia (luokka 1 ja 2) radioaktiivisten aineiden päästöjen rajoittamiseksi hyväksyttävälle tasolle. Tasolla 3a on turvallisuusluokan 2 järjestelmiä, joilla rajoitetaan onnettomuuksien seurauksia ja saadaan laitos hallittuun tilaan ja pystytään pitämään se siinä niin kauan kuin on tarpeen, kuitenkin vähintään 72 tuntia. Tasolla 3a on myös turvallisuusluokan 3 järjestelmiä, joilla laitos saadaan hallitusta tilasta turvalliseen tilaan ja voidaan pitää siinä. Hallitulla tilalla tarkoitetaan tilaa, jossa reaktori on sammutettu ja sen jälkilämmön poisto on turvattu ja turvallisella tilalla ns. kylmää, sammutettua tilaa, jossa reaktori on sammutettu ja paineeton, ja sen jälkilämmön poisto on turvattu. Tasolla 3a on lisäksi turvallisuusluokkaan 3 kuuluvat laitteet, joita tarvitaan häiriö- ja hätätilanneohjeiden mukaiseen onnettomuustilanteiden hallintaan (esim. operaattorin tarvitsemat onnettomuuden pitkän aikavälin hallintaan liittyvät mittaukset ja tilatiedot).

Säteilyturvakeskus Perustelumuistio 14 (29) Tasolla 3b tavoitteena on hallita oletettujen onnettomuuksien laajennuksia (DEC), joilla tarkoitetaan A. odotettavissa olevia käyttöhäiriöitä ja luokan 1 oletettuja onnettomuuksia, joiden yhteydessä ilmenee yhteisvika ao. tapahtuman hallintaan suunnitellussa järjestelmässä B. todennäköisyysperusteisen riskianalyysin perusteella valittuja vikayhdistelmiä C. epätodennäköisiä, mutta kuitenkin mahdolliseksi oletettuja harvinaisia tapahtumia, esimerkiksi harvinaisia sääilmiöitä tai suuren lentokoneen törmäystä. Tasolla 3b ovat erilaisuusperiaatteen toteuttavat turvallisuusluokan 3 järjestelmät, jotka varmentavat odotettavissa olevissa käyttöhäiriöissä ja luokan 1 onnettomuuksissa turvallisuusluokan 2 järjestelmien toimintaa niissä esiintyvien mahdollisten yhteisvikojen tapauksessa. Näissä tilanteissa laitos on saatava hallittuun tilaan erilaisuusperiaatteen toteuttavilla turvallisuusluokan 3 järjestelmillä. Tämän jälkeen laitoksen saattamiseen turvalliseen tilaan voidaan käyttää samoja turvallisuusluokan 3 järjestelmiä kuin tasolla 3a. DEC B- ja C tapahtumissa turvalliseen tilaan siirtymiseen sovelletaan kuitenkin samaa vaatimustasoa kuin hallittuun tilaan pääsyyn. Tason 4 tavoitteena on lieventää vakavien onnettomuuksien seurauksia ympäristön turvallisuudelle erityisesti varmistamalla suojarakennuksen eheys ja tiiveys. Tasolla 4 ovat turvallisuusluokkaan 3 kuuluvat vakavien onnettomuuksien hallintaan liittyvät järjestelmät. Tason 5 tavoitteena on lieventää huomattavan radioaktiivisten aineiden päästön seurauksia valmiusjärjestelyin. Syvyyssuuntaista puolustusperiaatetta on täydennetty WENRA:n uusille ydinvoimalaitoksille edellyttämällä vaatimuksella, jossa tapahtumat, jotka voivat johtaa aikaiseen tai suureen päästöön, on käytännössä eliminoitava. Tämän vaatimuksen tarkoituksena on varmistaa, että vakavien onnettomuuksien järjestelmillä voidaan hallita vakavan onnettomuuden kulkua. Tarkoituksena on käytännössä eliminoida sellaiset tapahtumat (esimerkiksi energeettiset ilmiöt), jotka voivat johtaa suojarakennuksen eheyden menettämiseen onnettomuuden varhaisessa vaiheessa ja aikaiseen suureen päästöön. Tämä puolestaan tekisi mahdottomaksi valmiustoiminnan avulla tapahtuvan väestön suojaamisen (taso 5). Käytännössä eliminoitavat tapahtumat on tunnistettava ja analysoitava käyttäen menetelmiä, jotka perustuvat deterministisiin analyyseihin täydennettynä todennäköisyysperusteisilla riskianalyyseilla ja asiantuntija-arvioilla. Käytännössä eliminoinnissa ei voida tukeutua yksinomaan todennäköisyyspohjaiseen raja-arvoon. Vaikka tapahtuman todennäköisyys analyysin perusteella osoittautuisi hyvin pieneksi, riskin pienentämiseksi on tehtävä kaikki ne toimenpiteet, jotka käytännöllisin toimin on mahdollista. Käytännössä eliminoitavia tapahtumia ovat esimerkiksi a. kriittisyysonnettomuuteen tai vakavaan reaktorionnettomuuteen johtava nopea hallitsematon reaktiivisuuden kasvu b. reaktorisydämen paljastumiseen johtava jäähdytteen menetys seisokin aikana kun suojarakennus ei ole tiivis, c. suojarakennuksen eheyttä uhkaava kuormitus vakavan reaktorionnettomuuden aikana (esimerkiksi reaktoripainesäiliön rikkoutuminen korkeassa paineessa, vetyräjäh-

Säteilyturvakeskus Perustelumuistio 15 (29) dys, höyryräjähdys, sulaneen reaktorisydämen suora vaikutus suojarakennuksen pohjaan tai seinämään, suojarakennuksen hallitsematon paineen nousu) d. käytetyn polttoaineen vakavaan vaurioitumiseen johtava jäähdytyksen menetys polttoainevarastossa. 4.3.1 Syvyyssuuntaisen puolustuksen tasojen riippumattomuus Valtioneuvoston asetuksen 717/2013 12 :n mukaan syvyyssuuntaisen puolustusperiaatteen puolustustasojen on oltava toisistaan niin riippumattomia kuin käytännöllisin toimenpitein on mahdollista saavuttaa. Yhden puolustustason menetys ei saa heikentää muiden puolustustasojen toimintaa. Riippumattomuuden on perustuttava toiminnallisen erottelun sekä erilaisuusperiaatteen riittävään soveltamiseen ja fyysiseen erotteluun puolustustasojen välillä. Toiminnallisella erottelulla tarkoitetaan tässä toisiinsa liittyvien järjestelmien erottamista toisistaan siten, että yhden järjestelmän toimintatapa tai vikaantuminen ei pääse vaikuttamaan toiseen järjestelmään. Toiminnalliseen erotteluun kuuluu myös sähköinen erottelu ja informaationvälittämiseen liittyvä erottelu. Toiminnallisella erottelulla varaudutaan vikoihin, jotka johtuvat ulkoisista tai sisäisistä syistä alkunsa saavista häiriöistä ja voisivat edetä järjestelmästä toiseen tai osajärjestelmien rajapintojen yli. Vikojen leviämisen estämien on oleellinen osa järjestelmien ja laitteiden erottelua ja se liittyy eri turvallisuusluokkaa olevien järjestelmien tai järjestelmän osien rajapintoihin. Eri turvallisuusluokkaa olevien järjestelmien rajapinnat on suunniteltava siten, että niiden välinen yhteys ei vaaranna turvallisuustoimintoa suorittavien järjestelmien toimintaa siten, että se estää järjestelmän toteuttamasta turvallisuustoimintoansa. Erityisesti alemman turvallisuusluokan järjestelmän, rakenteen tai laitteen vikaantuminen ei saa aiheuttaa ylemmässä turvallisuusluokassa olevan järjestelmän, rakenteen tai laitteen vikaantumista siten, että se estää järjestelmään toteuttamasta turvallisuustoimintoansa. Kun eri turvallisuusluokkiin kuuluvat järjestelmät liitetään yhteen, ne on erotettava toisistaan toiminnallisesti asianmukaisilla erotuslaitteilla, jonka luokka määräytyy korkeimman yhdistettävän järjestelmän mukaan. Nestettä tai kaasua sisältävän järjestelmän ollessa yhteydessä alemman turvallisuusluokan järjestelmään, voidaan turvallisuusluokan rajaksi määritellä esimerkiksi virtauksen passiivinen rajoittaja, kuten pieni putkiyhde, kuristin tai akselitiiviste, joka rajoittaa virtauksen niin pieneksi, ettei järjestelmä menetä toimintakykyään, vaikka alemman turvallisuusluokan järjestelmässä tapahtuisi vaurio venttiili, jota pidetään normaalisti suljettuna ulompi kahdesta normaalisti avoimesta sulkuventtiilistä, joista kumpi tahansa pystytään sulkemaan niin nopeasti, ettei järjestelmä menetä toimintakykyään, vaikka alemman turvallisuusluokan järjestelmässä tapahtuisi vaurio takaiskuventtiili, jossa virtaus suuntautuu korkeamman luokan järjestelmään varo- tai ulospuhallusventtiili. Sähkönjakelujärjestelmissä erotuselimenä voidaan esimerkiksi käyttää

Säteilyturvakeskus Perustelumuistio 16 (29) sulaketta, virranrajoitinta ylivirrasta automaattisesti aukeavaa katkaisijaa. Ylemmän turvallisuusluokan piirin tulee vikatilanteessa kyetä syöttämään riittävästi virtaa, jotta erotuselin toimii eikä vika leviä ylemmän luokan piirin puolelle. Automaatiojärjestelmiin liittyvät erotteluvaatimukset on esitetty luvussa 5.2 Automaatiojärjestelmät. Fyysisellä erottelulla tarkoitetaan kohteiden erottamista toisistaan riittävillä esteillä, etäisyydellä tai sijoittelulla tai niiden yhdistelmillä ja sillä pyritään estämään eroteltavien kohteiden samasta ulkoisesta tai sisäisestä tapahtumasta aiheutuva vaurioituminen. Fyysinen erottelu toteutetaan rakenteella ja/tai sijoittamalla kohteet riittävän etäälle toisistaan, mikä estää seurausten leviämisen. Rakenne voi olla erillinen rakennus tai huonetila tai tietyssä tilassa oleva seinä tai muu vastaava rakenne. Sähköisellä erottelulla tarkoitetaan mm. galvaanista erottelua. Fyysisen, sähköisen ja toiminnallisen erottelun tarve riippuu kulloinkin kyseeseen tulevasta sisäisestä tai ulkoisesta uhasta ja se on arvioitava kattavin analyysein. Erottelussa on otettava huomioon myös vikojen seurausvaikutukset. Tavoitteena on saavuttaa riittävä riippumattomuus sekä turvallisuusjärjestelmien eri osajärjestelmien välille että syvyyssuuntaisen puolustusperiaatteen eri tasoilla oleville järjestelmille. Mikäli samaa turvallisuustoimintoa toteuttamaan on suunniteltu useampia turvallisuusjärjestelmiä, joko syvyyssuuntaisen puolustusperiaatteen samalle tai eri tasoille, myös niiden toiminnallisesta riippumattomuudesta on varmistuttava. Riippuvaisuus turvallisuustoimintoja syvyyssuuntaisen puolustuksen eri tasoilla tukevista järjestelmistä on otettava huomioon. Riippuvaisuus ei saa merkittävästi heikentää syvyyssuuntaisen puolustuksen luotettavuutta. Jokaisen oletetun alkutapahtuman osalta on osoitettava deterministisin analyysein, että syvyyssuuntaisen puolustuksen yhdelle tasolle kuuluviksi katsotut järjestelmät ovat riittävässä määrin riippumattomia muille tasoille kuuluviksi katsotuista järjestelmistä. Saavutetun riippumattomuuden riittävyyttä tulee arvioida myös todennäköisyyspohjaisin analyysein. Syvyyssuuntaisen turvallisuusperiaatteen mukaan eri puolustustasoille sijoitetut järjestelmät on erotettava toisistaan toiminnallisesti siten, että yhdellä tasolla sattuva toimintahäiriö tai vikaantuminen ei etene muille tasoille. Syvyyssuuntaisen puolustuksen eri tasoilla käytettävät järjestelmät ja laitteet on erotettava saman turvallisuuslohkon sisällä toisistaan etäisyydellä tai suojaavilla rakenteilla, jos on olemassa ilmeinen mahdollisuus seurausvikoihin, jotka aiheutuvat toisella tasolla olevan järjestelmän tai laitteen vikaantumisesta. Vakavien onnettomuuksien hallintaan tarkoitetut järjestelmät (syvyyssuuntaisen puolustusperiaatteen taso 4) on erotettava toiminnallisesti ja fyysisesti normaaliin käyttöön, häiriötilanteisiin ja oletettujen onnettomuuksien sekä oletettujen onnettomuuksien laajennustilanteiden hallintaan tarkoitetuista järjestelmistä (tasot 1,2 ja 3a sekä 3b). Vakavien reaktorionnetto-

Säteilyturvakeskus Perustelumuistio 17 (29) muuksien hallintaan syvyyspuolustuksen tasolla 4 tarkoitettuja järjestelmiä voi perustellussa tapauksessa käyttää myös vakavien sydänvaurioiden estämiseen oletettujen onnettomuuksien laajennustilanteissa, mikäli tämä ei vaaranna järjestelmien kykyä hoitaa varsinainen tehtävänsä tilanteen mahdollisesti kehittyessä vakavaksi reaktorionnettomuudeksi. 4.3.2 Syvyyssuuntaisen puolustuksen yksittäisten tasojen vahvuus Tässä kappaleessa annetaan vaatimukset syvyyssuuntaisen puolustuksen yksittäisten tasojen vahvuudelle. Tällä tarkoitetaan sitä miten turvallisuustoimintoja toteuttavien järjestelmien vikaantumisiin varaudutaan moninkertaisuusperiaatteella jakamalla ne kahteen tai useampaan rinnakkaiseen järjestelmään tai järjestelmän osaan niin, että kyseinen turvallisuustoiminto voidaan toteuttaa, vaikka mikä tahansa näistä olisi käyttökunnoton. Alkutapahtumien taajuuden pienentämiseksi odotettavissa oleva yksittäisen toiminnassa olevan laitteen vikaantuminen tai virhetoiminto laitoksen normaalin käytön aikana ei saa johtaa tilanteeseen, joka edellyttää oletettujen onnettomuuksien hallintaan suunniteltujen järjestelmien käyttämistä. Syvyyssuuntaisen puolustuksen eri tasot on saatava riittävän vahvoiksi. Tämä saavutetaan järjestelmien vikaantumisiin varautumalla siten, että turvallisuustoiminnon toteuttavat järjestelmät koostuvat kahdesta tai useammasta moninkertaisuusperiaatetta toteuttavasta rinnakkaisesta järjestelmästä tai järjestelmän osasta niin, että kyseinen turvallisuustoiminto voidaan toteuttaa, vaikka mikä tahansa näistä olisi käyttökunnoton. Turvallisuustoimintoja toteuttavan järjestelmän moninkertaisuusperiaatetta toteuttavat osat on sijoitettava eri turvallisuuslohkoihin. Turvallisuuslohkoilla tarkoitetaan sellaisia fyysisesti toisistaan erotettuja tiloja ja niiden sisältämiä laitteita ja rakenteita, joihin sijoitetaan kunkin turvallisuusjärjestelmän yksi moninkertaisuusperiaatetta toteuttava osa. Turvallisuustoimintoja toteuttavan järjestelmän yhden osajärjestelmän vikaantuminen ei saa aiheuttaa toisen saman järjestelmän moninkertaisuusperiaatetta toteuttavan osajärjestelmän eikä estää minkään samaan turvallisuustoimintoon osallistuvaa muuta järjestelmää toteuttamasta turvallisuustoimintoaan. Yhdessä divisioonassa tapahtuva vika ei saa levitä muihin divisiooniin. Minkään turvallisuuslohkon ja sen sisältämien laitteiden menettäminen ei saa johtaa minkään turvallisuustoiminnon täydelliseen menetykseen. Turvallisuusjärjestelmien moninkertaisuusperiaatetta toteuttavia osia sisältävien turvallisuuslohkojen on oltava eri rakennuksissa, tai ne on erotettava muista samassa rakennuksessa olevista turvallisuuslohkoista omiksi osastoikseen siten, että viat eivät voi levitä järjestelmän yhdestä moninkertaisuusperiaatetta toteuttavasta osasta toiseen laitoksen sisäisten (esim. tulipalo, tulva tai dynaamiset vaikutukset) tai ulkoisten tapahtumien seurauksena. Suojarakennuksessa, kaksoissuojarakennuksen välitilassa, pää- ja varavalvomon lattiatason alla olevassa tilassa sekä tapauksissa, joissa yhden turvallisuuslohkon instrumentaatiokaapelit on vedetty moninkertaisuusperiaatetta toteuttavan turvallisuuslohkon läpi, voidaan turvallisuuslohkojen välinen erottelu edellä mainitusta poiketen perustaa riittävään etäisyyteen ja suojaustasoihin, jos tähän on erityinen tarve.

Säteilyturvakeskus Perustelumuistio 18 (29) Järjestelmän moninkertaisuusperiaatetta toteuttavien osien erotteluvaatimus koskee myös kaikkia turvallisuustoiminnon toteuttamiseen tarvittavien järjestelmien tukijärjestelmiä sekä kaikkia turvallisuustoimintoa ohjaavia automaatiojärjestelmiä toiminnon käynnistystarpeen osoittavasta mittauksesta aina turvallisuustoiminnon toteuttaville laitteille asti. Jos turvallisuusjärjestelmän moninkertaisuusperiaatetta toteuttavat osat on kytketty toisiinsa sähkönjakelua tai ohjauskäskyjen välittämistä varten, ratkaisun turvallisuusedut verrattuna ratkaisuun, jossa tällaista kytkentää ei ole, on perusteltava. Sähkömagneettinen yhteensopivuus on otettava huomioon sähkölaitteiden ja kaapelien sijoittelussa. Vikakriteeriä on sovellettava turvallisuusjärjestelmästä ja kaikista turvallisuustoiminnon toteuttamiseen tarvittavista tukijärjestelmistä koostuvaan järjestelmäkokonaisuuteen. Tällaisia tukijärjestelmiä ovat esim. laitteiden jäähdytys ja sähkön syöttö sekä näitä toimintoja ohjaavat järjestelmät. Vikakriteerinä tulee käyttää joko (N+2)- tai (N+1)-vikakriteeriä siten kuin tässä ohjeessa esitetään. Ohjeissa YVL B.7 ja YVL B.8 annetaan tarkempia määräyksiä siitä, miten järjestelmät ja laitteet on eroteltava fyysisesti toisistaan yhden turvallisuuslohkon sisällä. Kuvassa 2 on kuvattu järjestelmien, rakenteiden ja laitteiden turvallisuusluokittelun periaatteet; syvyyssuuntaisen puolustusperiaatteen eri tasot, eri tasoille liittyvät järjestelmät, rakenteet ja laitteet sekä niiden turvallisuusluokat ja sovellettavat vikakriteerit.

Säteilyturvakeskus Perustelumuistio 19 (29) DBC 2 DBC 1 EYT 3 Vika normaalikäyttö rajoitustoiminnot (N+1) Vika 3 Järjestelmät, jotka vikaantuessaan aiheuttavat turvallisuustoiminnon käynnistymisen (N+1) Vika 1 2 3 Vika Rakenteelliset esteet; reaktoripainesäiliö, polttoaine, suojarakennus, putkistot, niiden tuennat, säiliöt * sisäisten ja ulkoisten tapahtumien seurauksia rajoittavat järjestelmät, rakenteet ja laitteet * turvallisuus-, maanjäristysluokka määritellään tapauskohtaisesti turvallisuusmerkityksen mukaan DBC3 & DBC4 2 3 Turvallisuusjärjestelmät, joilla laitos saadaan hallittuun tilaan hyväksymiskriteerien mukaisesti (N+2) (N+1 & N+1) Turvallisuusjärjestelmät, joilla laitos saadaan hallitusta tilasta turvalliseen tilaan (N+1) Vika 3 Laitteet, jotka ovat oleellisia onnettomuus ja häiriötilanneohjeiden mukaisen onnettomuuden hallinnan kanalta DEC 3 Erilaisuusperiaatteen toteuttavat järjestelmät, joilla laitos saadaan hallittuun tilaan hyväksymiskriteerien mukaisesti (N + 1) SA Vakavat onnettomuudet 3 Vakavien onnettomuuksien hallinta (N+1) SÄTEILYTURVAKESKUS STRÅLSÄKERHETSCENTRALEN RADIATION AND NUCLEAR SAFETY AUTHORITY 12.11.2010/KV 7 Kuva 2. Turvallisuusluokittelun ja vikakriteerin soveltamisen yhteys syvyyssuuntaisen puolustusperiaatteen eri tasoilla 4.3.3 Hallitun tilan saavuttamiseksi ja ylläpitämiseksi tarvittavia järjestelmiä koskevat erityisvaatimukset Tässä kappaleessa on esitetty vikasietoisuus- ja omavaraisuusvaatimukset, niille turvallisuustoimintoja toteuttaville järjestelmille, joilla laitos saadaan hallittuun tilaan, siten, että polttoaineen eheydelle, radioaktiivisten päästöjen seurausvaikutuksille ja ylipainesuojaukselle ao. suunnitteluperusteluokassa DBC2, DBC3 tai DBC4 asetetut raja-arvot eivät ylity. Lisäksi kappaleessa on esitetty vaatimukset jälkilämmön poistolle erittäin harvinaisissa tapauksissa (DEC C) ja tilanteessa, jossa on menetetty laitoksen sisäinen sähkönjakeluverkko. Vikakriteerin soveltaminen turvallisuustoimintoja toteuttaville järjestelmille riippuu pääsääntöisesti niiden turvallisuusluokasta. Perussäännöt vikakriteerin soveltamisessa niille turvallisuustoimintoja (reaktiivisuuden hallinta ja jälkilämmön poisto) toteuttaville järjestelmille, joilla laitos saadaan hallittuun tilaan, ovat seuraavat: Turvallisuusluokan 2 järjestelmille, joilla rajoitetaan onnettomuuksien seurauksia ja saadaan laitos hallittuun tilaan ja pystytään pitämään se siinä niin kauan kuin on tar-

Säteilyturvakeskus Perustelumuistio 20 (29) peen, sovelletaan N+2 vikakriteeriä eräitä poikkeuksia lukuun ottamatta, jotka on esitetty vaatimuksissa 445 ja 448. Turvallisuusluokan 3 järjestelmille sovelletaan N+1 vikakriteeriä. Järjestelmille, joilla rajoitetaan onnettomuuksien seurauksia moninkertaisia vikoja sisältävissä tapahtumissa (DEC B) ja hyvin harvinaisissa tapauksissa (DEC C) ja joilla laitos saadaan hallittuun tilaan ja pystytään pitämään siinä niin kauan kuin on tarpeen, sovelletaan N+0 vikakriteeriä. Nämä järjestelmät voivat olla samoja kuin DBC 2-4 ja DEC A tilanteessa kunhan ohjeessa esitetyt vaatimukset täyttyvät. Suojarakennuksen eristystoiminnon on täytettävä (N+1)-vikakriteeri riippumatta eristystoiminnon toteuttamisessa tarvittavien automaatiojärjestelmien tai muiden tukijärjestelmien mahdollisista kunnossapito-/korjaustoimenpiteistä. Suojarakennuksen eristystoimintoa koskevat yksityiskohtaiset vaatimukset on esitetty ohjeessa YVL B.6. Jälkilämmön poistoon liittyviin järjestelmiin sovelletaan lisäksi 72 tunnin omavaraisuusehtoa. Tällä tarkoitetaan sitä, että järjestelmän pitää pystyä suorittamaan tehtävänsä vähintään 72 tunnin ajan siten, että ensimmäisen 24 tunnin aikana ei tarvita minkäänlaisia materiaalitäydennyksiä (esim. järjestelmän vesi- tai polttoainesäiliön täyttöä) ja että seuraavan 48 tunnin aikana laitosalueella on valmiudet ja materiaalivarannot järjestelmää varten tarvittavien materiaalitäydennysten järjestämiseksi, vaikka kaikki laitoksen kiinteät aktiiviset järjestelmät olisivat käyttökunnottomina. 450 Jälkilämmön poisto reaktorista suojarakennuksen ulkopuolelle ja reaktiivisuuden hallinta on voitava toteuttaa vikayhdistelmän sisältävissä tapahtumissa (DEC B) ja harvinaisissa ulkoisissa tapahtumissa (DEC C) siten, että polttoaineen eheydelle, radioaktiivisten päästöjen seurausvaikutuksille ja ylipainesuojaukselle suunnitteluperusteluokassa DEC asetetut raja-arvot eivät ylity. Jälkilämmön poisto ja reaktiivisuuden hallinta harvinaisissa ulkoisissa tapahtumissa (DEC C) on pystyttävä toteuttamaan siten, että se ei tukeudu sähkötehon syöttöön siirrettävistä lähteistä, ja se on pystyttävä varmistamaan vähintään kahdeksan tunnin ajan ilman materiaalitäydennyksiä tai tasavirta-akkujen uudelleenlataamista. Laitosalueella on lisäksi oltava riittävät vesi- ja polttoainevarastot sekä mahdollisuus tasavirta-akkujen uudelleenlataamiseen siten, että jälkilämpö pystytään poistamaan 72 tunnin ajan. Tällä vaatimuksella varaudutaan tilanteeseen, jossa laitokseen kohdistuu suunnitteluperusteet (DBC 2 4) ylittävä harvinainen tapahtuma. Näiden tapahtumien aiheuttamilta kuormilta voidaan suojautua esimerkiksi sitä, että jokin osa (N+0) laitoksen jälkilämmön poistoon ja reaktiivisuuden hallintaan liittyvistä järjestelmistä on vahvistettu kestämään edellä esitetyn tapahtuman aiheuttamat kuormat. Järjestelyt, joilla tähän varaudutaan, eivät saa tukeutua sähkötehon syöttöön siirrettävistä lähteistä ja niiden on pystyttävä toimimaan vähintään kahdeksan tunnin ajan. Vaatimus kiinteistä sähkötehon syöttölähteistä perustuu siihen, että laitosalueella liikkuminen tai tarvittaviin kohteisiin pääsy voi tilanteessa olla vaikeutunut siinä määrin, ettei ole edellytyksiä saada siirrettäviä laitteita paikalle nopeasti. Kahdeksan tunnin ajan on selvittävä tätä tilannetta varten suunnitellun järjestelmän omien vesi- ja polttoainevarastojen, sähkölähteiden ja akkujen avulla. Kahdeksan tunnin aikana voidaan varmistaa, että myös muita laitospaikalta löytyviä vesi- ja polttoainevarastoja sekä akkuja voidaan ladata tai ladattavia akkuja voidaan ottaa tarvittavassa määrin käyttöön. Järjestelmän toimintakykyvaatimus laitospaikalla löytyvien resurssien osalta on 72 tuntia.