účinný od 1. 1. 2018 [G23] Development and Application of Level 1 Probabilistic Safety Assessment for Nuclear Power Plants: IAEA Safety Standards Series No. SSG-3, IAEA, Vienna, 2010. [G24] Development and Application of Level 2 Probabilistic Safety Assessment for Nuclear Power Plants: IAEA Safety Standards Series No. SSG-4, IAEA, Vienna, 2010. Garant: Ing. Petr Adamec 134

. Porovnání rizika jednorázového vstupu pro základní konfiguraci Provádí se zde porovnání rizika vybraných nejrizikovějších jednorázových vstupů do změněné LPP s pevným kritériem, a to bez souběhů s neprovozuschopnostmi kompo- nent, které nejsou předmětem hodnocené LPP. V případě OLM může být analyzován vstup do více LPP jako jedna událost. Výběr základní konfigurace je uveden v kap. D.2.1 Přílohy D. 64 Č. j..SÚJB/OKHJB/11055/2017 revize č. 0.0 Jaderná bezpečnost BN‐JB‐2.7 (REV. 0.0)

. Porovnání rizika jednorázového vstupu do změněné LPP pro rizikové konfigurace Jedná se o ekvivalent úrovně 2 analýzy (Tier 2) z RG 1.177 [G2]. Součástí tohoto kro- ku je identifikace a výběr rizikových dovolených souběhů neprovozuschopností ostat- ních zařízení se vstupy do změněné LPP, případně dalších rizikových konfigurací (vstup dohodnocené LPP při netypických konfiguracích systémů apod.). Vybrané rizikové kombinace je nutno ocenit vzhledem ke kritériím přijatelnosti pro ICFDP (ICFDP) a ICLERP dle vzorců (C1) až (C3). V případě nesplnění těchto kritérií (nebo při neprovedení vyčerpávající identifikace či neprovedení vyhodnocení) je nutno přijmout opatření buď k zamezení vzniku rizikových konfigurací nebo ke snížení rizi- ka z těchto konfigurací, případně je nutno rozumně zaručit, že se takové konfigurace nevyskytnou. Pozn.: Jednou z možností, jak rozumně zaručit, že rizikové konfigurace budou vy- loučeny, je i závazek na zkrácení Doby provedení příslušného LPP při vzniku ri- zikové konfigurace (např. při výskytu další poruchy), pro kterou bylo v úrovni 2 hodnocení LaP zjištěno překročení kritéria pro ICCDP(ICFDP) nebo ICLERP. Překročení těchto kritérií ve druhé úrovni hodnocení LaP tedy neznamená, že je příslušná LPP neadekvátní. Vzhledem k velmi nízké četnosti souběhu více selhání však případné zkrácení Doby provedení při rizikové konfiguraci není na překážku ani při provádění pravidelných údržeb (i při relativně vysoké intenzitě výskytu další poruchy 10-5/h, tj. cca 10-1/rok, která by mohla nastat během pravidelné údržby, by toto zkrácení Doby provedení nastalo jen přibližně jednou za 300 pra- videlných údržeb s délkou 15 dnů). Výběr rizikových kombinací pro vyhodnocení je však vzhledem k jejich velkému množství obtížný a je na expertním posouzení, jak tyto konfigurace identifikovat a jaké konfigurace budou hodnoceny, tzn. pro jaké rizikové konfigurace bude riziko kontro- lováno pomocí LaP, resp. předem připravenými nápravnými opatřeními, viz také Ob- rázek D-1 v Příloze D. Při hodnocení změny LPP jen pro účely nahodilé (neplánované) korektivní údržby ne- ní obecně nutno úroveň 2 analýzy (Tier 2) uvažovat [G2]. To však předpokládá im- plementaci úrovně 3 (Tier 3). Konkrétní zásady výběru souběhů neprovozuschopností pro hodnocení změn LPP modelem PSA jsou uvedeny v kapitole D.2.3 Přílohy D. ♦ Krok 4.Porovnání změny ročního rizika v důsledku vstupů do změněné LPP Jedná se opět o úroveň 1 hodnocení změny LaP, která je ekvivalentem Tier 1 z RG

Porovnání rizika jednorázového vstupu do hodnocené LPP pro rizikové konfigu- race Provádí se zde výše uvedené porovnání rizika vybraných jednorázových vstupů do hodnocené LPP s pevným kritériem při uvážení dovolených souběhů s neprovozuschopnostmi ostatních zařízení či při netypických konfiguracích systémů v daném režimu JE. Součástí tohoto kroku je identifikace a výběr těchto rizikových konfigurací pro porovnání. ♦ Krok 3.Vyhodnocení rizika skutečných konfigurací Zde je možno implementovat program, který by předem i on-line vhodně vyhodnotil vliv vzniklých konfigurací RB JE s různými neprovozuschopnostmi systémů a komponent na riziko. Obvykle se takové vyhodnocení provádí tzv. monitorem rizi- ka. Součásti tohoto programu musí být i postup pro zabránění nebo potlačení neakcep- tovatelného rizika z dovolených souběhů neprovozuschopností. C.4.3 Zdůvodnění pravděpodobnostního hodnocení adekvátnosti Dob provedení C.4.3.1 Krok 1 - identifikace a výběr vstupů do hodnocené LPP Tento krok je v hodnocení adekvátnosti LPP velmi důležitý, neboť výběr základní kon- figurace pro hodnocení může významně ovlivnit získané výsledky. I když se provádí pravdě- podobnostní hodnocení LaP, je nutno vzít v úvahu deterministickou podstatu LaP, tj. LaP by formálně měly platit a být adekvátní pro každý případ vyhovující podmínkám vstupu do LPP, nikoliv pouze pro relativně pravděpodobné události (neprovozuschopnosti). Je proto nutno pro vyhodnocení přírůstku rizika plynoucího z čerpání LPP (ICCDP apod.) identifikovat a vybrat pokud možno nejhorší případ vstupu do hodnocené LPP pro krok 3.1 (tj. pouze do hodnocené LPP). Dále je nutno nalézt takové podsystémy/komponenty, které mají v rámci jedné varianty hodnocené LPP (LPP A, LPP B, atd.) odlišný profil rizika při NEPSCH zařízení od ostatních vstupů do této varianty LPP. Odlišným profilem rizika je zde z praktického hlediska míněna různá úroveň okamžité- ho rizika v koncovém stavu odstavení (ve smyslu větší nebo menší) vůči stavu s čerpáním LPP. Obecně je však různým profilem rizika míněna různá velikost kumulativního rizika (za stejnou dobu) při odstavení do koncového stavu odstavení (ve smyslu větší nebo menší) vůči tomuto riziku při pokračování provozu s čerpáním LPP ve sledovaném stavu. Výběr musí zohlednit především:

• nesymetrii jednotlivých zálohovaných systémů,
96 Č. j..SÚJB/OKHJB/11055/2017 revize č. 0.0 Jaderná bezpečnost BN‐JB‐2.7 (REV. 0.0)

[G2] nebo IAEA-TECDOC-729 [G7]. Na druhé straně je nutno posoudit reálnost výskytu korektivní údržby, a to zvláště u tzv. standby komponent, které se testují jen při odstávce.  požadavky na testování komponent Některé LPP vyžadují provedení testů zbývajících záložních divizí/komponent při vzniku neprovozuschopnosti komponenty, která je předmětem dané LPP. Je ovšem nutno ověřit, zda jsou takovým testem prověřeny všechny komponenty záložních divizí. Neprovozuschopnost komponenty, jejíž zálohované protějšky v jiných divizích (podsystémech) se tímto následným testem neprověří, je obecně rizikovější, neboť při její korektivní údržbě se neodhalí případné působení CCF.  důležitost (importanci) komponent v řešení odezvy bloku na IU Neprovozuschopnost komponenty, která je v systému potřebná pro splnění nejvíce funkcí, je obecně rizikovější. Záleží však také na četnosti požadavků na jednotlivé funkce. Pokud komponenta s největší důležitostí v systému není zřejmá, pak ji lze určit z výpočtu základního modelu PSA (se všemi systémy a komponentami provozuschopnými) dle nej- většího RIF (Risk Increase Factor).  konfiguraci ostatních zařízení na JE Jedná se obvykle o volitelné konfigurace zařízení s vlivem na riziko daného RB (napájení VS, stav sousedního RB, přejížděné pohony apod.). Dále je nutno zvážit i specificky stav zařízení při čerpání LPP (možnost náhradního nebo servisního zapojení el. napájení), a to především při OLM.  sledovaný režim RB v LPP 103 Č. j..SÚJB/OKHJB/11055/2017 revize č. 0.0 Jaderná bezpečnost BN‐JB‐2.7 (REV. 0.0)

Porovnání rizika jednorázového vstupu pouze do hodnocené LPP (základní konfi- gurace) 95 Č. j..SÚJB/OKHJB/11055/2017 revize č. 0.0 Jaderná bezpečnost BN‐JB‐2.7 (REV. 0.0)

Porovnání rizika vybraných konfigurací souvisejících pouze s dočasnou změ- nou LPP Provádí se zde výše uvedené porovnání rizika vybraných konfigurací souvisejících s dočasnou změnou LPP , a to bez souběhů s neprovozuschopnostmi komponent, kte- ré nejsou předmětem dotčené LPP. Součástí tohoto kroku je identifikace a výběr těch- to konfigurací aplikovatelných pro dočasnou změnu za účelem provedení porovnání.

Porovnání rizika dočasné změny LPP pro rizikové konfigurace Provádí se zde výše uvedené porovnání rizika vybraných konfigurací souvisejících s dočasnou změnou LPP při uvážení dovolených souběhů s neprovozuschopnostmi ostatních zařízení či při netypických konfiguracích systémů v daném režimu bloku či JE. Součástí tohoto kroku je identifikace a výběr těchto rizikových konfigurací apli- kovatelných pro dočasnou změnu za účelem provedení porovnání. ♦ Krok 2.Porovnání rizika v důsledku jednorázového vstupu do hodnocené LPP Zde je porovnáván přírůstek pravděpodobnosti podmíněného rizika (ICFDP, ICLERP) v důsledku dočasné změny LPP s pevným kritériem, pokud nelze využít po- rovnání rizika při pokračování provozu a v koncovém stavu odstavení. Pro přijatel- nost LPP musí současně platit: ICFDP = FDF x AOT  1 x 10-6 (případně ICCDP = CDF x AOT  1 x 10-6) a ICLERP = LERF x AOT  1 x 10-7 kde je: FDF = CFDF - FDF CO 0 CDF = CCDF - CDF CO 0 LERF = CLERF - LERF CO 0 81 Č. j..SÚJB/OKHJB/11055/2017 revize č. 0.0 Jaderná bezpečnost BN‐JB‐2.7 (REV. 0.0)

Legislativa, dokumenty SÚJB [P1] Zákon č. 263/2016 Sb., atomový zákon [P2] Vyhláška č. 162/2017 Sb., o požadavcích na hodnocení bezpečnosti podle atomového zákona [P3] BN-JB-2.6-Rev.0.0: Využití PSA v rizikově orientovaném rozhodování při hodnocení změn konfigurace zařízení JE předkládaných k povolení na SÚJB [P4] BN-JB-2.5-Rev.1.0: Pravděpodobnostní hodnocení bezpečnosti [P5] BN-JB-5.4 (Rev. 0.0): Provádění změn konstrukcí, systémů, komponent a procesů ja- derných zařízení

Mezinárodní směrnice a dokumenty [G1] US NRC, Regulatory Guide 1.174, “An Approach for Using Probabilistic Risk As- sessment in Risk-Informed Decisions on Plant-Specific Changes to the Licensing Ba- sis”, Revision 2, May 2011. [G2] US NRC, Regulatory Guide 1.177, “An Approach for Plant-Specific, Risk-Informed Decision-making: Technical Specifications”, Revision 1, May 2011. [G3] US NRC, “Risk-Informed Decision-making: Technical Specifications”, NUREG- 0800, Standard Review Plan, Chapter 16.1, 1998. [G4] US NRC, “Use of Probabilistic Risk Assessment in Plant-Specific Risk-Informed De- cision making: General Guidance”, NUREG-0800, Standard Review Plan, Chapter 19, Rev 1, November 2002. [G5] NUREG/CR-6141.P.K. Samanta, I.S. Kim, “Handbook of Methods for Risk Based Analyses of Technical Specifications”, BNL-NUREG-52398, November 1994. [G6] NUREG/CR-5485.Guidelines on Modelling Common-Cause Failures in Probabilistic Risk Assessment. INEEL/EXT-97-01327.INEEL, June 1998. [G7] IAEA-TECDOC-729.Risk based optimization of technical specification for operation of nuclear power plants. IAEA, Vienna, December 1993. 132 Č. j..SÚJB/OKHJB/11055/2017 revize č. 0.0 Jaderná bezpečnost BN‐JB‐2.7 (REV. 0.0)