Důvodem pro vydání tohoto bezpečnostního návodu DETERMINISTICKÉ ANALÝZY ROZŠÍŘENÝCH PROJEKTOVÝCH PODMÍNEK BEZ VÁŽNÉHO POŠKOZNÍ PALIVA (DEC A)je požadavek na zajištění hodnocení bezpečnosti projektu pro případ rozšířených projektových podmínek bez vážného poškození paliva (nepřecházejících do těžkých havárií), který vychází z mezinárodních doporučení WENRA, IAEA a nejvýznamnějších evropských provozovatelů JE. Tyto požadavky jsou v legislativě ČR konkretizovány ve vyhlášce č. 329/2017 Sb., o požadavcích na projekt jaderného zařízení [2]. CÍL

Konkrétním cílem tohoto bezpečnostního návodu je poskytnout návod na zpracování deterministických bezpečnostních analýz rozšířených projektových podmínek bez závažného poškození jaderného paliva (Design Extension Conditions A, DEC A)včetně událostí v odstaveném stavu a v bazénech skladování ozářeného paliva a to nejen pro analýzy prezentované v PrBZ, ale i pro všechny analýzy, které jsou prováněny jako součást průkazu bezpečnosti jaderného zařízení.

Bezpečnostní návod je zejména určen projektantovi nebo provozovateli jaderného zařízení a jeho subdodavatelům v oblasti bezpečnostních analýz. Dodržení tohoto návodu má zajistit, že bezpečnostní analýzy v dané oblasti budou v souladu s požadavky zákona č. 263/2016 Sb., atomový zákon [1], jeho prováděcími předpisy a zároveň budou odrážet současnou světovou praxi (v době vydání návodu) a současná mezinárodní doporučení respektovaných oborových organizací (zejména IAEA [8], WENRA [4] a nejvýznamnějších evropských provozovatelů JE ENISS [10]) PŮSOBNOST

Tento návod se zejména soustředí na jaderná zařízení s jaderným reaktorem, jeho principy a postupy lze omezeně vztáhnout také na další jaderná zařízení.

Pokud to v textu není výslovně uvedeno, vztahují se doporučení a informace v tomto bezpečnostním návodu obecně na jaderná zařízení s reaktory typu PWR (včetně VVER). ZKRATKY, DEFINICE A POJMY ZKRATKY AOO událost abnormálního provozu (Anticipated Operational Occurrences) přechodové procesy/události bez odstavení reaktoru (Anticipated Transients ATWS Without SCRAM) AZ aktivní zóna reaktoru BSVP bazén skladování ozářeného paliva (pozn. obvykle používaná zkratka) DAM diverzní a alternativní prostředky (Diverse and Alternative Means) DBA základní projektová nehoda (Design Basis Accident) DEC rozšířené projektové podmínky (Design Extension Conditions) DG dieselgenerátor EDU jaderná elektrárna Dukovany ENISS European Nuclear Installations Safety Standards Initiative havarijní předpisy pro základní projektové nehody (Emergency Operational EOP Procedure) ETE jaderná elektrárna Temelín EUR European Utility Requirements IAEA International Atomic Energy Agency IU iniciační událost JB jaderná bezpečnost JE jaderná elektrárna JZ jaderné zařízení KJT koncový jímač tepla KTMT Kontejnment, ochranná obálka LOCA nehoda s únikem chladiva (Loss Of Coolant Accident) MUE nehoda zasahující více JZ v jednom území k umístění (Multi-Unit Event) NEA Nuclear Energy Agency NF neutronově-fyzikální PIU postulovaná iniciační událost PrBZ provozní bezpečnostní zpráva PSA pravděpodobnostní hodnocení bezpečnosti (Probabilistic Safety Sssessment) PWR reaktor chlazený a moderovaný tlakovou vodou (Pressurized Water Reactor) RCS regulační systém reaktoru (Reactor Control System) SAMG návody pro zvládání těžkých havárií (Severe Accident Management Guidelines) SBO úplná ztráta elektrického napájení (Station Black Out) SKK systémy, konstrukce a komponenty SKŘ systémy kontroly a řízení SRL referenční úrovně WENRA (Safety Reference Level) SÚJB Státní úřad pro jadernou bezpečnost TH termohydraulický VVER lehkovodní reaktor “východního” typu (vodo-vodjanoj energetičeckyj reactor) WENRA Western European Nuclear Regulators Association DEFINICE A POJMY Poznámka: v této části bezpečnostního návodu jsou definovány pojmy, které nejsou přímo definovány v zákoně č. 263/2016 Sb., atomový zákon [1] a vyhlášce č. 329/2017 Sb., o požadavcích na projekt jaderného zařízení [2], ale jsou v souladu s textem a definicemi uvedenými v zákoně [1] a jeho prováděcích předpisech. Pojmy, které jsou v zákoně [1] a jeho prováděcích předpisech definovány, jsou v tomto bezpečnostním návodu použity ve významu definovaném v legislativních zdrojích. Rozšířené projektové podmínky bez vážného poškození paliva: události rozšířených projektových podmínek nepřecházející do těžkých havárií (vážným poškozením paliva je myšleno tavení paliva, které není omezeno na centrum palivové tablety, rozsáhlejší ztráta integrity palivových proutků nebo významné změny geometrie palivových souborů). Události rozšířených projektových podmínek bez vážného poškození paliva mohou vzniknout v jakémkoli provozním stavu (např. při provozu na výkonu, v odstaveném stavu), v bazénu skladování ozářeného jaderného paliva, ve skladu čerstvého jaderného paliva nebo ve skladu použitého jaderného paliva. Odpovídá termínu „Design Extension Conditions A“ (DEC A) v dokumentech WENRA. Deterministická bezpečnostní analýza: Analýza, která predikuje průběh odezvy jaderné elektrárny nebo její části na stanovené iniciační události a scénáře vznikající za předem definovaných provozních stavů, s použitím definovaného souboru předpokladů analýzy a kritérií přijatelnosti. Analýzou se prokazuje splnění kritérií přijatelnosti nebo (obecněji) stanovených bezpečnostních cílů. Pravděpodobnostní metoda: Metoda, která oceňuje pravděpodobnost vzniku iniciačních událostí a poruchových scénářů a jejich průběhu, rozvoje a následků. Pravděpodobnostní bezpečnostní analýza: Analýza, která komplexně oceňuje pravděpodobnost vzniku poruchových scénářů a jejich následku. Obvyklým výsledkem analýzy je určení pravděpodobnosti poškození aktivní zóny (obecněji palivového systému), pravděpodobnosti velkých úniků radioaktivních látek do okolí jaderné elektrárny, anebo celkového rizika plynoucího z provozu jaderné elektrárny. Metoda nejlepšího odhadu (Best Estimate): Metoda, která využívá porovnání konkrétních kritérií přijatelnosti s limitními hodnotami hodnocených neurčitých výstupních veličin stanovených statistickou neurčitostní analýzou. Vnější ohrožení (external hazard): ohrožení, které vzniká vně areálu jaderného zařízení a je buď přírodním ohrožením (ohrožením vyvolávaným událostmi nebo jevy, které se vyskytují v přírodě a u kterých má člověk malou nebo žádnou kontrolu nad jejich vznikem, velikostí nebo četností výskytu), nebo člověkem způsobeným ohrožením (ohrožením vyplývajícím z činnosti člověka, do kterého se nezahrnují činy, provedené s úmyslem způsobit škodu - malevolentní činy/hrozby). Vnitřní ohrožení (internal hazard): je takové ohrožení s místem vzniku v areálu jaderného zařízení, na jehož vznik má nebo může mít přímý vliv provozovatel jaderného zařízení včetně ohrožení vzniklých v jeho důsledku. JAZYKOVÁ POZNÁMKA V celém dokumentu je záměrně u požadavků, jejichž plnění se pokládá za nutné a odpovídá závazným požadavkům právních předpisů, použit jednoduchý tvar přítomného nebo budoucího času (např. “je“, „bude“), čímž je popisován požadovaný stav. Pokud je v dokumentu použita vazba „musí být“ (případně s plnovýznamovým slovesem), jedná se o akcentování požadavku nebo opakování textu legislativy. Pokud je v dokumentu použita vazba „měl by být“ nebo „může být“ (případně s plnovýznamovým slovesem), je popisováno doporučené, ale nikoli jediné vhodné řešení. ZÁKLADNÍ ZDROJE

Základním dokumentem, který definuje požadavky na jadernou bezpečnost, provozovatele JZ je zákon č. 263/2016 Sb., atomový zákon [1]. Dalším hlavním zdrojem pro tento bezpečnostní návod je vyhláška č. 329/2017 Sb., o požadavcích na projekt jaderného zařízení [2].

Požadavky na bezpečnostní analýzy JZ, ze kterých primárně čerpá tento bezpečnostní návod, jsou zpracovány v dokumentu IAEA SSG-2 [11] a v omezené míře IAEA SSG-2 [17] (např. body 3.39 – 3.44, 7.45 – 7.49, 7.52 – 7.55) obecně pro široké spektrum typů jaderných reaktorů a pro reaktory typu VVER potom v dokumentu IAEA-EBP-WWER-01[12].

Základní doporučení pro oblast rozšířených projektových podmínek, ze kterých čerpá tento bezpečnostní návod, jsou zpracována v dokumentu WENRA Safety Reference Levels for Existing Reactors [5] (Issue F)a návodu Guidance Document, Issue F: Design Extension of Existing Reactors [6].

V obecné rovině se problematice DEC věnuje dokument IAEA Specific Safety Requirements No. SSR-2/1 (Rev.1), Safety of Nuclear Power Plants: Design [8] a návod k tomuto dokumentu TECDOC-1791 Considerations on the Application of the Safety Requirements for Design of Nuclear Power Plants [9].

Evropští provozovatelé jaderných bloků (sdružení do organizace ENISS) zpracovali svoje doporučení pro řešení DEC v dokumentu EUROPEAN UTILITY REQUIREMENTS FOR LWR NUCLEAR POWER PLANTS, VOLUME 2 - GENERIC NUCLEAR ISLAND REQUIREMENTS [10] (v textu dále jako „EUR“). 2 STAVY JADERNÉHO ZAŘÍZENÍ

Kategorie rozšířených projektových podmínek (DEC = Design Extension Conditions) byla zavedena jako součást ochrany do hloubky za účelem dalšího zvýšení bezpečnosti jaderných zařízení tak, aby bylo dosaženo: (1) Potvrzení nebo posílení schopnosti JZ předejít nebo odolat událostem závažnějším, než jsou události definované jako základní projektové nehody [4], [8] (2) Omezení úniků radioaktivity s možným dopadem na veřejnost a životní prostředí na nejnižší rozumně proveditelnou úroveň [4]

DEC jsou podle stupně závažnosti poškození paliva dále členěny na dvě kategorie: (1) DEC A – bez závažného poškození paliva. Cílem opatření je prevence vzniku těžké havárie (2) DEC B – těžké havárie (události s vážným poškozením paliva). Cílem opatření je omezení následků těžké havárie na nejnižší prakticky dosažitelnou úroveň

V následující tabulce je uvedeno zařazení DEC do kategorií stavů JE: Stavy jaderného zařízení (dle projektu) Provozní stavy Havarijní podmínky Prakticky Rozšířené projektové podmínky vyloučené skutečnosti Základní Události bez Těžké havárie Normální Abnormální (podmínky, projektové vážného (Události s vážným provoz provoz stavy) nehody poškození paliva poškozením paliva) DEC A DEC B

Skupina iniciačních událostí a scénářů DEC A není v mezinárodních návodech a doporučeních striktně vymezena. Pro potřeby zpracování deterministických bezpečnostních analýz událostí a scénářů DEC A v tomto návodu (v souladu s účelem analýz uvedeným v bodě (1.3)), jsou mezi události a scénáře DEC A zařazeny události, které nejsou zařazeny mezi DBA a mají pravděpodobnost vzniku jednotlivé iniciační události nebo scénáře <10-4 (a současně nejsou prakticky vyloučeny – tématu praktického vyloučení a kategorizace scénářů na základě pravděpodobnostních metod se detailně věnuje návod [14]) nebo jsou obvykle zařazeny do této skupiny v mezinárodních doporučeních (IAEA, WENRA apod., viz referenční seznam v bodě (5.10)). Mezi události a scénáře DEC B se následně zařadí takové iniciační události nebo scénáře, pro které není prokázáno, že existuje rozumně proveditelné opatření k jejich zvládání jako DEC A a současně je prokázáno, že jsou zvládnutelné jako DEC B (zvládnutím je zde míněno dodržení požadavku §4 odst. 1 písm. c)vyhlášky [2] na praktické vyloučení časné nebo velké radiační havárie). 3 BEZPEČNOSTNÍ CÍLE, PRINCIPY A FUNKCE

V souladu se základními bezpečnostními principy IAEA (Fundamental Safety Principles, SF-1 [7]) je základním bezpečnostním cílem chránit osoby (individuálně i kolektivně) a životní prostředí před nežádoucími účinky ionizujícího záření. Bezpečnostní cíle jsou v legislativě ČR specifikovány ve vyhlášce [2] v § 4 Bezpečnostní cíle projektu jaderného zařízení. Z pohledu událostí DEC A je klíčové prokázání naplnění požadavků písm. b)a c). Schopnost projektu plnit tyto bezpečnostní cíle je prokázána v souladu s vyhláškou [2].

Požadavek na dodržování principů bezpečného využívání jaderné energie a bezpečnostního cíle je zakotven v legislativě ČR. Dle zákona [1] § 49 odst. 1 písm. b)je držitel povolení povinen: „zajistit, aby jaderné zařízení od zahájení výstavby až do vyřazení z provozu … plnilo bezpečnostní cíle, bezpečnostní funkce a principy bezpečného využívání jaderné energie …“

V zákoně [1] § 45 odst. 2 jsou stanoveny principy bezpečného využívání jaderné energie pro jaderné zařízení s jaderným reaktorem. Bezpečnostní funkce zajišťující plnění těchto principů jsou základní bezpečnostní funkce. Tyto základní bezpečnostní funkce jsou plně zajištěny za normálního a abnormálního provozu, i za podmínek základních projektových nehod. V případě DEC podmínek jsou základní bezpečnostní funkce zajištěny v nejvyšší rozumně dosažitelné míře dostupnými prostředky.

V případě DEC A lze základní bezpečnostní funkce podle zákona [1] shrnout do 3 funkcí: (1) dosažení a dlouhodobé udržení podkritičnosti1 (§ 45 odst. 2 písm. a), b), c) zákona [1]), (2) zajištění odvodu tepla z aktivní zóny reaktoru a z vyhořelého paliva2, (3) zadržení radioaktivních látek.

Zajištění základních bezpečnostních funkcí je po dostatečně dlouhou dobu3 prokázáno pouze prostředky dostupnými v areálu JZ. Pro dlouhodobé zajištění nebo obnovení základních bezpečnostních funkcí může být uvažována i podpora prostředky a lidskými kapacitami povolanými zvnějšku JZ s respektováním jejich časové dostupnosti. Zajištění podkritičnosti

Požadavek na zajištění dlouhodobé podkritičnosti pro DEC je přímo specifikován v § 1 Podkritičnost bude dosažitelná vždy, a pokud dojde k její ztrátě, musí být podkritičnost během přechodového procesu obnovena, aniž by došlo k významnému poškození paliva. 2 V případě hodnocení odvodu tepla z BSVP je brána v úvahu tepelná setrvačnost objemů vody v bazénu. Uvažovány budou všechny důležité kombinace uvolňovaného zbytkového tepla a množství vody v BSVP, včetně stavu, kdy je AZ zcela vyvezena do BSVP. 3 Dlouhodobá zde znamená po dobu, než může být uvažována podpora lokality zvnějšku. Tato doba je minimálně 24 hodin pro podporu lidskými zdroji a lehkou technikou (např. ruční nářadí) a 72 pro podporu těžkou technikou (např. cisterny, pojízdné diesely apod.). 35 odst. 2 a § 21 odst. 6 vyhlášky [2] Zajištění odvodu tepla

V projektu JZ budou zajištěny diverzní a alternativní prostředky, nezávislé na bezpečnostních systémech, které byly vyřazeny v důsledku poruch se společnou příčinou (§ 29 vyhlášky [2]), zahrnující nezbytné zdroje energie, které jsou schopné odvést zbytkové teplo z AZ a BSVP. Minimálně jeden z těchto prostředků je schopen odolat externímu ohrožení závažnějšímu než to, které je definované pro základní projektové události. Odvod tepla z AZ a vyhořelého paliva je zajištěn alespoň jedním z následujících způsobů: (1) Diverzní systém odvodu tepla do primárního KJT - v případě, kdy je primární KJT schopen odolat podmínkám při DEC, včetně vnějších hrozeb (řešení aplikované na EDU i ETE, kde je primárním KJT atmosféra) (2) Alternativní KJT včetně celého řetězce systémů zajišťujícího odvod tepla do tohoto KJT – pokud primární KJT není schopen odolat v podmínkách DEC Zadržení radioaktivních látek

V DEC A musí být možná (proveditelná) izolace hermetického prostoru a v něm umístěných systémů od okolního prostředí. V případě, kdy je ve výchozím stavu před IU kontejnment otevřený, je analyzována doba potřebná k uzavření a utěsnění kontejnmentu (u DEC A). Pokud v některých odstavených stavech bloku nebude možné provést izolaci kontejnmentu dostatečně včas, potom těžké poškození AZ musí být prakticky vyloučenou skutečností ([2] § 44, odst. 3), protože událost by jinak mohla vést až k časné nebo velké radiační havárii.

Tlak (včetně podtlaku) a teplota v kontejnmentu jsou řízeny.

Ohrožení integrity kontejnmentu a dalších SKK v důsledku vzniku hořlavých plynů je omezeno za předpokladu, že: (1) jsou uvažovány všechny hořlavé plyny (nejen vodík) vznikající v AZ nebo vyhořelém jaderném palivu, (2) analýzy ohrožení integrity kontejnmentu v důsledku vzniku hořlavých plynů zahrnují zvyšování teploty v důsledku hoření, tlakové vlny, a účinek vysokoenergetických fragmentů vzniklých při explozi.

Kontejnment je chráněn proti přetlaku. Pokud je pro udržení tlaku v kontejnmentu použito odpouštění (venting), potom je trasa opatřena filtrací tak, aby byla splněna kritéria přijatelnosti pro radiační následky (viz komentář k SRL F4.8 v [6]). 4 UPLATNĚNÍ PRINCIPU OCHRANY DO HLOUBKY

Na základě principů bezpečného využívání jaderné energie specifikovaných v § 45 zákona [1] jsou jaderná bezpečnost, radiační ochrana, monitorování radiační situace, zvládání radiační mimořádné události a zabezpečení JZ zajištěny ochranou do hloubky. Uplatnění principu ochrany do hloubky je v legislativě ČR rozpracováno ve vyhlášce [2] v § 6 a detailně popsáno také v návodě [14] a [15].

Princip ochrany do hloubky se opírá o použití vícenásobných fyzických bariér proti úniku radionuklidů a o zabezpečení integrity těchto bariér systémem vzájemně se doplňujících technických a organizačních opatření.

V následující tabulce jsou uvedeny základní charakteristiky jednotlivých úrovní ochrany do hloubky (v souladu s dokumentem TECDOC-1791 [9]): Úroveň Základní prostředky pro Základní opatření pro dosažení Cíl ochrany dosažení cíle cíle Konzervativní rysy projektu a Předcházení Provozní pravidla a vnitřní vysoká kvalita systémů pro odchylkám od předpisy pro normální provoz 1 normální provoz, včetně SKŘ, normálního provozu, (v souladu s požadavky vyhlášky Provozní systémy včetně předcházení poruchám 21/2017 Sb.) měřících a řídících systémů Vnitřní předpisy pro abnormální Zvládání abnormálního Limitační systémy, ochrany provoz, havarijní předpisy (v 2 provozu a identifikace provozních systémů a jiné souladu s požadavky vyhlášky poruch. informační a ovládací prostředky 21/2017 Sb.) Havarijní předpisy (v souladu Zvládaní základních 3a Bezpečnostní systémy s požadavky vyhlášky 21/2017 projektových nehod Sb.), EOP Zvládání4 DEC A bez Prostředky z předchozích úrovní Havarijní předpisy (v souladu poškození paliva ochrany do hloubky v souladu 3b s požadavky vyhlášky 21/2017 (prevence vzniku těžké s bodem (7.9) a prostředky DAM Sb.), EOP havárie) pro zvládání DEC A Prostředky z předchozích úrovní Zvládání DEC B s ochrany do hloubky v souladu Návody pro zvládání těžkých poškozením paliva 4 s bodem (7.9) a prostředky DAM havárií (v souladu s požadavky (zmírňování následků pro zvládání DEC B. Technické vyhlášky 21/2017 Sb.) SAMG těžké havárie) podpůrné středisko. Zmírňování radiačních následků úniků Prostředky pro zajištění odezvy 5 Vnitřní a vnější havarijní plány radioaktivních látek do na radiační mimořádnou událost. životního prostředí 4 Řízení procesu a přechod do bezpečného stavu – viz odstavec (6.8). 5 VÝBĚR A KATEGORIZACE HODNOCENÝCH UDÁLOSTÍ

S využitím deterministických a pravděpodobnostních metod analýzy nebo jejich kombinací a technického úsudku bude sestaven seznam postulovaných iniciačních událostí a scénářů pro všechny stavy JZ uvažované v projektu (§ 21 odst. 2 vyhlášky [2]). KATEGORIZACE UDÁLOSTÍ PODLE FREKVENCE VÝSKYTU

Dle § 22 odst. 4 vyhlášky [2] je provedena kategorizace postulovaných iniciačních událostí a scénářů pro všechny stavy JZ s ohledem na předpokládanou četnost jejich výskytu a na závažnost možné radiační mimořádné události v souladu s principy ochrany do hloubky.

V následující tabulce jsou uvedeny indikativní frekvence výskytu iniciačních událostí a scénářů v souladu s § 22 odst. 4 vyhlášky [2], které jsou uvažovány v daném stavu JZ a porovnány s hodnotami doporučenými v [9]. Prakticky vyloučené Stavy jaderného zařízení podmínky (stavy) Provozní stavy Havarijní podmínky Rozšířené projektové Normální Abnormální podmínky (DEC) Projektové nehody provoz provoz DEC A DEC B

odst. 4 vyhlášky [2]: Četnosti výskytu skupin událostí Vysoká Střední Nízká -

• Velmi nízká četnost
četnost četnost četnost méně než 1 - několik/ 1 méně než Méně než 1 × za 100násobek
• × za dobu
rok 1 × 10 let doby životnosti JZ životnosti JZ TECDOC-1791 [9]: Referenční indikativní frekvence výskytu událostí [1/reaktor-rok]
• > 10-2 < 10-2 ÷ 10-6 10-4 ÷ 10-6 <10-6 -
kategorie události podle ANSI/ANS 52.1-1983 I II III IV V - - SESKUPENÍ UDÁLOSTÍ PODLE MECHANISMU JEJICH VZNIKU

Jsou provedeny bezpečnostní analýzy rozvoje událostí a scénářů podle odstavce (5.2), pro které jsou v projektu JZ uplatněna odpovídající preventivní či zmírňující technická a organizační opatření, tak, aby bylo zajištěno plnění principů bezpečného využívání jaderné energie a bezpečnostních cílů projektu JZ. VÝBĚR SCÉNÁŘŮ PRO ANALÝZY DEC

Jsou definovány dvě následující kategorie DEC, jejich zařazení mezi stavy JZ je zřejmé z následující tabulky: (1) DEC A – události DEC, které nevedou k vážnému poškození paliva v reaktoru nebo BSVP. Cílem analýz DEC A je prokázání prevence vzniku těžké havárie5 (2) DEC B – události s předpokládaným vážným poškozením paliva (těžké havárie). Cílem analýz DEC B je prokázání schopnosti omezit následky těžké havárie na nejnižší prakticky dosažitelnou úroveň.

S využitím kombinace deterministických a pravděpodobnostních metod a technického úsudku (engineering judgement) je sestaven seznam událostí a scénářů spadajících do DEC tak, že: (1) tento seznam navazuje na seznam PIU pro základní projektové nehody, (2) seznamy událostí a scénářů pro DEC A a DEC B jsou konzistentní.

Výběr DEC A v první fázi zahrne všechny události a scénáře (včetně kombinací událostí), které nesplňují předpoklady pro zařazení mezi základní projektové nehody, a které zároveň nejsou prakticky vyloučenými skutečnostmi. Výběr zahrne následující typy událostí (typy událostí jsou dále rozpracovány v souladu s požadavky vyhlášky [2], rozpracovanými v odstavci (5.2)).

Lze předpokládat, že část vybraných událostí a scénářů může vést k těžkému poškození paliva v AZ nebo BSVP. Tento bezpečnostní návod se vztahuje k analýzám událostí a scénářů DEC A, které mají za účel prokázat, u kterých scénářů k těžkému poškození paliva s vysokou pravděpodobností nedojde. Z vybraných mohou být už v úvodní fázi vyřazeny 5 Cílem analýz DEC A pro BSVP je nalézt a ověřit taková opatření, která zajistí, že výskyt těžké havárie v důsledku poruchy ze společné příčiny je prakticky vyloučenou skutečností v souladu s § 30 odst. (4) vyhlášky [2]. události a scénáře vedoucí k těžkému poškození paliva na základě: (1) výsledků PSA pro konkrétní JZ, (2) podstaty fyzikálních jevů, (3) dostatečných rezerv projektu, zejména v odolnosti, redundanci a diverzitě systémů a komponent, (4) výsledků předběžných analýz iniciačních událostí a scénářů (v případě, že výše uvedené informace nejsou dostatečné).

Výsledný seznam iniciačních událostí a scénářů pro analýzy DEC A je zdůvodněný a bere v úvahu následující referenční seznam6 IU pro DEC A sestavený pro JZ s reaktory typu PWR (zahrnuje i VVER): (1) události vyvolané vnějšími ohroženími nebo vnitřními ohroženími [4], které svou závažností přesahují základní projektovou úroveň (události s nižší četností výskytu než události zařazené do základní projektové úrovně), (2) události vyvolané vnějšími ohroženími v důsledku lidského faktoru, které svou závažností přesahují základní projektovou úroveň mimo malevolentních akcí - hrozeb (události s nižší četností výskytu než události zařazené do základní projektové úrovně), (3) úplná dlouhodobá7 ztráta vnitřních a vnějších zdrojů elektrického napájení (SBO): a. SBO (ztráta vnějšího napájení a všech nouzových zdrojů elektrického napájení, SBO DG jsou k dispozici) b. Úplné SBO („Total SBO“, ztráta všech nouzových i diverzních zdrojů elektrického napájení, včetně SBO DG), (4) ztráta koncového jímače tepla (včetně dlouhodobé ztráty jeho funkce), (5) ATWS (např. v souladu s [16]: ztráta vakua v kondenzátoru, výpadek turbíny z různých příčin, neřízené otevření PSK nebo obtoku turbíny, ztráta napájecí vody, ztráta pracovních a záložních zdrojů elektrického napájení, neúmyslné vysouvání skupiny regulačních orgánů) (6) nekontrolované ředění koncentrace kyseliny borité, (7) úplná ztráta napájecí vody, (8) LOCA se současnou ztrátou jednoho ze stupňů (nízkotlakého nebo vysokotlakého) havarijního chlazení AZ, (9) úplná ztráta vložených chladících okruhů (s vlivem na plnění funkce bezpečnostních systémů), 6 Seznam bude přizpůsoben konkrétnímu typu JZ. 7 Dlouhodobá zde znamená po dobu, než může být uvažována podpora lokality zvnějšku. Tato doba je minimálně 24 hodin pro podporu lidskými zdroji a lehkou technikou (např. ruční nářadí) a 72 pro podporu těžkou technikou (např. cisterny, pojízdné diesely apod.). (10) ztráta chlazení AZ v režimu odvodu zbytkového tepla, (11) dlouhodobá ztráta chlazení bazénu skladování ozářeného paliva, (12) vícenásobné porušení trubek parogenerátoru, (13) prasknutí primárního kolektoru parogenerátoru, (14) ztráta potřebných bezpečnostních systémů při jejich dlouhodobém využití po iniciační události. (15) prasknutí parovodu spojené s prasknutím trubek parogenerátoru (16) velká LOCA s vyvolaným prasknutím trubek parogenerátoru (17) neřízený pokles hladiny nebo ztráta cirkulace reaktoru při chlazení otevřeného reaktoru nebo při výměně paliva 6 METODA ANALÝZY DEC A

Základní principy pro hodnocení DEC A jsou následující: (1) u DEC A je povolen realistický přístup (s/bez uvážení nejistot) ve srovnání s konzervativním přístupem8 nutným pro DBA (v souladu s § 24 odst. 4 vyhlášky [2] je konzervativní přístup preferován, ale v souladu s § 27 odst. 4 vyhlášky [4] je realistický přístup přípustný), (2) u DEC A není nutné uvažovat kritérium jednoduché poruchy9, (3) u DEC A není nutné uvažovat ztrátu pracovních a rezervních zdrojů elektrického napájení, (4) kritéria přijatelnosti pro DEC mohou být obecně méně omezující (viz kapitola 9) a založena na realistických předpokladech (5) u DEC A může být uvažováno použití prostředků (z úrovně ochrany do hloubky 3b i předchozích úrovní) popsaných v odstavci (7.9) .

Analýza DEC A vyžaduje použití metod a předpokladů, které odpovídají účelu analýzy a které by neměly být nepřiměřeně konzervativní. Účelem analýz DEC A je: (1) ověřit, zda základní bezpečnostní funkce mohou být zajištěny pomocí prostředků popsaných v odstavci (7.9). (2) identifikovat a vyhodnotit potřebu zavedení rozumně proveditelných preventivních opatření10 pro zvýšení bezpečnosti nebo zvětšení bezpečnostní rezervy – zde je preferován realistický přístup proto, aby nebyla vyloučena rozumně proveditelná opatření v důsledku přílišného konzervativismu.

Analýzy DEC A jsou provedeny ověřenými metodami.

Analýzy DEC A jsou provedeny tak, aby byly ověřitelné, což je obecný požadavek na zpracování a prezentování bezpečnostních analýz. Pokud je v analýze využit inženýrský úsudek, musí být dostatečně detailně popsán, aby bylo možné jeho ověření (např. nezávislým hodnocením).

Analýzy DEC A použité jako průkaz bezpečnosti v PrBZ stanoví důsledky možných radiačních nehod a radiačních havárií vzniklých v důsledku analyzované události DEC A. 8 Ve vyhlášce [2] je konzervativní přístup definován následujícím způsobem: „Pro účely této vyhlášky se dále rozumí konzervativním přístupem způsob posuzování vlivu neurčitostí znalostí, vstupních dat, použitých metod a modelů odborným odhadem nebo statistickým vyhodnocením výsledku tak, že výsledek hodnocení posuzované položky zahrnuje též jeho nejméně příznivé věrohodné variant“. Pojem konzervativního přístupu je tedy obecnější, než např. v dokumentu [11] v tabulce „TABLE 3“ a to z důvodu, že musí být ve stejném významu použitelný nejen pro termohydraulické analýzy přechodových procesů JE, jako jsou analýzy DBA a DEC A, ale i pro další bezpečnostní analýzy prováděné pro JZ (např. pevnostní analýzy SKK). Z tohoto důvodu lze za konzervativní metodu plně v souladu s definicí z vyhlášky [2] považovat i metodu nejlepšího odhadu s oceněním neurčitosti. 9 Neuplatnění kritéria jednoduché poruchy znamená, že v analýze lze využívat (současně) SKK více redundantních divizí bezpečnostních systémů k posílení systémů v úrovni DiD 3b za předpokladu splnění požadavků uvedených v (7.9). 10 Identifikace systémů a komponent, havarijních předpisů a dalších doplňujících opatření (např. administrativních), které jsou důležité pro zabránění vážnému poškození paliva

Analýzy DEC A prokážou rezervy do ztráty projektových charakteristik SKK JZ, určených pro zvládání těchto situací a prokážou dostatečné bezpečnostní rezervy pro předcházení ztrátě základní bezpečnostní funkce.

Analýzy DEC A zohlední výsledky pravděpodobnostního hodnocení bezpečnosti úrovně 1 a 2 (např. v předpokladech dostupnosti systémů).

Analýzy DEC A určí koncový stav události a požadavky na dobu trvání funkce potřebných systémů, konstrukcí a komponent. Tam, kde je to aplikovatelné, stanoví dobu, po kterou musí systémy a komponenty být v provozu pro zajištění základních bezpečnostních funkcí a pro dosažení požadovaného konečného stavu, kterým je bezpečný stav JZ (definovaný v §2 písm. c)vyhlášky [2]).

Analýzy DEC A berou v úvahu umístění JZ, dostupné prostředky, podmínky spojené s uvažovaným scénářem hodnocené události a proveditelnost opatření předpokládaných projektem a havarijním předpisem.

Bezpečnostní analýzy použité v PrBZ podléhají programu systému řízení a musí být v přiměřeném rozsahu nezávisle ověřeny. 7 VSTUPNÍ PARAMETRY, OKRAJOVÉ PODMÍNKY A PŘEDPOKLADY PRO DEC A

Při zpracování deterministické bezpečnostní analýzy je využívána celá řada vstupních parametrů a předpokladů, které mohou zásadně ovlivňovat výsledné hodnocení plnění relevantních kritérií přijatelnosti. Vstupní parametry jsou obvykle členěny do následujících hlavních skupin: (1) počáteční podmínky a. výchozí stav území k umístění jaderného zařízení b. výchozí režim bloku c. základní TH parametry I.O a II.O (případně i ochranné obálky, systémů havarijního chlazení AZ a dalších systémů JE) d. NF parametry AZ a BSVP i. NF parametry ii. parametry výkonové distribuce iii. zbytkový výkon iv. inventář štěpných produktů v palivu (2) okrajové podmínky a další předpoklady a. dostupnost SKK (včetně SKŘ) b. nastavení a charakteristiky SKK (včetně SKŘ) c. zásahy pracovníků obsluhy JZ

Obecné požadavky na vstupní parametry pro analýzy DEC A vyplývají především z účelu analýzy a s tím spojené metody analýzy popsané v Kapitole 6.

Základní rozsah vstupních parametrů tvořících počáteční a okrajové podmínky se pro analýzy DEC A neliší od rozsahu stanoveného pro DBA. Navíc u analýz DEC A mohou být uvažovány další parametry a informace vztahující se k následujícím opatření a prostředkům: (1) prostředky DAM (2) havarijní předpisy pro DEC A (3) konfigurace území k umístění jaderného zařízení – zejména u vnějších hrozeb (4) lidské zdroje v podmínkách DEC A (5) prostředky dedikované pro úroveň 1 a 2 DiD11

Proces přípravy a zpracování vstupních parametrů pro bezpečnostní analýzy podléhá programu systému řízení. POČÁTEČNÍ PODMÍNKY

Havarijní scénáře (sekvence) hodnocené v rámci DEC mohou být vyvolané i událostmi nebo ohroženími (zejména vnějšími ohroženími), které ovlivní všechna jaderná zařízení v daném území k umístění jaderného zařízení. Takový stav je označován jako MUE (Multi- Unit Event). Stav (režim) jednotlivých JZ v území k umístění při MUE může ovlivnit např. 11 při splnění požadavků uvedených v § 7 odst. 2 a 3 vyhlášky [2] dostupnost prostředků DAM, které jsou společné pro více jaderných zařízení (např. SBO DG nebo mobilní požární technika). Pro každý havarijní scénář, u kterého jsou indikovány podmínky MUE, bude proto vybrána taková kombinace výchozích stavů jednotlivých JZ v území k umístění, která je nejhorší z pohledu hodnocených kritérií.

Pro každou událost nebo scénář bude analyzován takový výchozí režim bloku a stav kampaně (včetně odstaveného stavu), který je nejhorší z pohledu hodnocených kritérií (zde se přístup neliší od DBA).

Přístup k určení počátečních hodnot hlavních TH parametrů bloku a k nastavení hodnot v modelech SKK používaných pro DEC A se liší dle metody analýzy: (1) Metoda nejlepšího odhadu s uvažováním a vyhodnocením vlivu neurčitostí – analyzují se hodnoty z intervalu vstupních dat povoleného pro uvažovaný provozní stav s konzervativním oceněním vlivu jeho neurčitosti (stejný přístup jako u DBA, v [11] „TABLE 3“ jako Option 3). (2) Konzervativní přístup s konzervativními předpoklady – jsou použity nejméně příznivé hodnoty parametrů z intervalu vstupních dat povoleného pro uvažovaný provozní stav (nejméně příznivé z pohledu vyhodnocovaného kritéria přijatelnosti). V případě nutnosti se provede výběr nejméně příznivých hodnot s pomocí citlivostní analýzy (stejný přístup jako u DBA, v [11] „TABLE 3“ jako Option 2). (3) Realistický přístup – jsou použity nominální, případně střední provozní hodnoty z intervalu vstupních dat povoleného pro uvažovaný provozní stav bez uvážení neurčitostí nebo s uvážením vybraných neurčitostí (nekoresponduje přímo s [11] „TABLE 3“, vychází mj. z SRL F2.1 a F3.1 [5], [6]).

Pro určení počátečních hodnot NF parametrů je aplikován stejný přístup jako u TH parametrů. Speciální pozornost u DEC A je věnována parametrům výkonové distribuce v AZ nebo BSVP, které jsou tvořeny více samostatnými sekcemi. Je volen kartogram zavážky jednotlivých sekcí BSVP nejméně příznivý (s ohledem na administrativní omezení zavážky) z pohledu hodnoceného kritéria přijatelnosti. PŘEDPOKLADY DOSTUPNOSTI A FUNGOVÁNÍ SYSTÉMŮ, KONSTRUKCÍ A KOMPONENT

V případě DEC jsou základní bezpečnostní funkce zajištěny v nejvyšší rozumně dosažitelné míře prostředky dedikovanými pro tuto úroveň (3b) ochrany do hloubky (diverzními případně alternativními (mobilními) prostředky dedikovanými pro DEC A). Je možné uvažovat použití prostředků z předchozích úrovní ochrany do hloubky12, které zůstanou během události dostupné, jsou odolné vůči podmínkám prostředí působícího během analyzovaných událostí DEC, mají dostatečnou kapacitu k zajištění základní bezpečnostní funkce a jejich použitelnost je ověřena. Použití všech prostředků, které jsou uvažovány pro zvládání havárie, je popsáno v havarijních předpisech a pracovníci obsluhy JZ jsou dostatečně vyškoleni v použití prostředků způsobem uvedeným v těchto předpisech. Za těchto předpokladů lze uvažovat jak použití jiných dostatečně nezávislých bezpečnostních systémů, 12 při splnění požadavků uvedených v § 7 odst. 2 a 3 vyhlášky [2] u kterých je prokázáno, že neselhaly v předchozí úrovni ochrany do hloubky, nebo jejich částí, tak i ostatních prostředků, zařazených do bezpečnostně méně významných bezpečnostních tříd nebo stanovených jako alternativní systémy pro podporu zajišťování základních bezpečnostních funkcí (pokud bezpečnostní systémy a diverzní systémy nejsou dostupné, je postulováno jejich selhání nebo nemají dostatečnou kapacitu pro zvládnutí události).

V případě použití diverzních nebo alternativních (mobilních) prostředků (prostředky jsou zde chápány včetně podpůrných systémů a funkcí, potrubních tras, přípojných bodů, armatur a instrumentace nutné pro jejich provoz) je v bezpečnostní analýze doložena: (1) existence postupu (vnitřního předpisu), kterým se daný prostředek aktivuje, (2) fyzická dostupnost prostředků s ohledem na IU a podmínky MUE, (3) dostatečná schopnost a kapacita prostředků pro plnění požadovaných funkcí i za podmínek MUE, (4) časová dostupnost prostředků s ohledem na IU a schopnost pracovat po dobu potřebnou k dosažení a udržení bezpečného stavu.

V případě použití prostředků, systémů, zdrojů, materiálu a pracovníků obsluhy, společných pro více bloků bude ověřeno, že jsou dostatečné pro všechny tyto bloky po celou dobu jejich požadovaného provozu. Pokud jsou při DEC použity prostředky z jiných (sousedních) bloků, potom bude prokázáno, že to není provedeno na úkor bezpečnosti těchto bloků.

Pro naplnění § 21 odst. (7) vyhlášky [2] musí být JZ v podmínkách DEC nezávislé na vnějších dodávkách energií a dalších vstupů pro podporu bezpečnostních funkcí alespoň pro období13, pro které není s vysokou věrohodností prokázáno, že je možné je obnovit.

Předpoklady o dostupnosti všech SKK používaných pro zajištění základních bezpečnostních funkcí pro DEC a majících vliv na hodnocená kritéria budou zdůvodněny v bezpečnostní analýze. NASTAVENÍ SYSTÉMŮ A KOMPONENT

Nastavením systémů a komponent se zde rozumí hodnoty nastavení charakteristik modelů technologických systémů (např. charakteristik modelovaných čerpadel, pojistných ventilů, …) a komponent a SKŘ (setpointy, zpoždění, …).

Nastavení hodnot parametrů (setpointů) pro automatické a manuální spouštění všech systémů používaných pro zajištění základních bezpečnostních funkcí v analýzách DEC A (které mají vliv na splnění hodnocených kritérií přijatelnosti) je uvedeno v bezpečnostní analýze společně se zdůvodněním této hodnoty a s referenční nominální hodnotou, užívanou při využití systémů během normálního provozu. Konkrétní hodnoty nastavení mohou být určeny méně konzervativně, než pro analýzy DBA, realistický přístup je v tomto případě vhodný. 13 Dlouhodobá zde znamená po dobu, než může být uvažována podpora lokality zvnějšku. Tato doba je minimálně 24 hodin pro podporu lidskými zdroji a lehkou technikou (např. ruční nářadí) a 72 pro podporu těžkou technikou (např. cisterny, pojízdné diesely apod.). ČINNOST PRACOVNÍKŮ OBSLUHY JZ

Pro zásahy pracovníků obsluhy JZ, uplatněné při analýzách DEC A, jsou využita stejná pravidla (v souladu s § 30 odst. 2 a 3 vyhlášky [2]), jako pro zásahy pracovníků obsluhy JZ, uplatněné při analýzách základních projektových nehod.

V případě použití prostředků DAM v analýze DEC bude uváženo následující: (1) existence postupu (vnitřního předpisu), podle kterého se daný prostředek aktivuje, (2) potřebný výcvik pracovníků obsluhy JZ, (3) dostatek informací pro provedení konkrétní činnosti, (4) dostupnost používaných prostředků a odpovídajícího el. napájení, (5) fyzická přístupnost ovládaného zařízení nebo jeho ovladačů (pokud jde o manuální zásah), (6) manipulační časy pro zásahy pracovníků obsluhy JZ, které budou brát v úvahu: a. stav JZ (zejména v případě vnitřních a vnějších ohrožení), b. stav pracovníků obsluhy JZ v souladu s provozním režimem JZ a území k umístění jaderného zařízení (zejména, pokud některé profesní funkce jsou společné pro více bloků/JZ), c. dobu pro přípravu a dopravu osob a materiálu na místo zásahu.

Manipulační doby, zahrnující i např. dopravní zpoždění počátku dodávky médií nebo čas na přesun osob a materiálu na místo zásahu, by měly být stanoveny realisticky a budou prioritně odvozeny z výsledků zkoušek systémů a komponent, určených pro zvládání DEC, provedených na daném JZ a z provozních zkušeností obsluhy JZ v daném území k umístění jaderného zařízení.

Dálkové ruční ovládání systémů a komponent z blokové dozorny, ze záložního pracoviště blokové dozorny (nouzové dozorny), případně z ovládacího místa zřízeného pro účely DEC, je v podmínkách DEC považováno za funkční, pokud má k dispozici elektrické napájení stanovené vnitřním předpisem a pokud nebylo poškozeno v důsledku IU nebo scénáře, jejich následků, případně vnitřního nebo vnějšího ohrožení. 8 VOLBA MODELU A VÝPOČETNÍHO KÓDU U ANALÝZ DEC A

Při deterministických bezpečnostních analýzách by měly být přednostně použity realistické (best estimate) výpočetní prostředky (kódy). Výpočetní prostředky budou dokumentovaným způsobem verifikovány a validovány s cílem prokázat jejich vhodnost a vyhovující přesnost pro danou oblast použití. Používané kódy budou odpovídat dosažené úrovni poznání v příslušné oblasti.

Z hlediska fenomenologického se události DEC A v zásadě neliší od základních projektových nehod. Validace kódů a modelů pro analýzu událostí DEC A se tedy principiálně neliší od validace kódů pro základní projektové nehody, nicméně validace výpočetních prostředků vůči datům z experimentálních zařízení by měla být prováděna především vůči testům typu DEC A (např. LOCA s nedostupným vysokotlakým systémem havarijního chlazení AZ, velké úniky přes PG atd.).

Stručný popis výpočtového programu, výpočtového modelu a rozsahu jejich validace bude součástí bezpečnostní analýzy. 9 KRITÉRIA PŘIJATELNOSTI OBECNĚ

Průkaz bezpečnosti JZ je prostřednictvím výpočtových analýz obvykle prováděn ve dvou rovinách. Je prokazováno plnění: (1) Deterministických cílů, které se v technické praxi provádí vyhodnocením dosažení mezních hodnot vybraných parametrů nebo podmínek (kritérií přijatelnosti), které potvrzují zachování jednotlivých bariér ochrany do hloubky a výsledně i radiačních kritérií přijatelnosti a zajištění základních bezpečnostních funkcí. (2) Pravděpodobnostních cílů, které se v technické praxi provádí vyhodnocením dosažení mezních hodnot četností výskytu vybraných následků nehody (např. core damage frequency - CDF, large early release frequency - LERF).

Pro havarijní podmínky budou tyto cíle stanoveny tak, aby nebylo potřebné ani na hranici ochranného pásma elektrárny přijímat neodkladná ani následná ochranná opatření (dle

zákona [1]) na ochranu obyvatelstva. Radiační důsledky událostí zařazených mezi DEC musí splňovat v souladu s požadavky vyhlášky [3] kritérium přijatelnosti uvedení v Příloze č. 1 tohoto návodu.

Pro konkrétní typy reaktorů budou v návaznosti na stanovené radiační bezpečnostní cíle určena odvozená kritéria přijatelnosti tak, aby jejich dodržení zajistilo splnění základních bezpečnostních funkcí a na zachování integrity jednotlivých bariér (jaderného paliva, pokrytí palivových elementů, tlakové hranice primárního a bezpečnostně důležité části sekundárního okruhu a ochranné obálky).

Kritéria přijatelnosti pro bezpečnostní analýzy jsou stanovena pro jednotlivé kategorie a skupiny iniciačních událostí a scénářů a mohou odpovídat frekvenci výskytu dané IU v souladu s principem optimalizace rizika ozáření a požadavky § 22 vyhlášky [2]. Přísnější kritéria jsou stanovena pro události s vyšší četností výskytu. Kritéria přijatelnosti jsou stanovena projektantem (případně provozovatelem) jaderné elektrárny v souladu s požadavky legislativy a jsou projednána s SÚJB v rámci hodnocení dokumentace předložené jako podklady k žádosti o povolení dané činnosti. DETERMINISTICKÁ KRITÉRIA PŘIJATELNOSTI PRO DEC A

Dle § 24 odst. (5) vyhlášky [2] mohou být v rámci hodnocení bezpečnosti projektu při analýze odezvy JZ na DEC A při uplatnění odstupňovaného přístupu stanovena kritéria přijatelnosti méně konzervativním přístupem než v případě DBA. Toto doporučení je v souladu s komentářem k WENRA SRL F1.1 [6].

Kritéria přijatelnosti pro DEC A vztažená k udržení celistvosti bariér, vycházejí z kritérií pro základní projektové nehody s uvážením možné menší míry konzervativnosti, by měla obsahovat: (1) kritéria pro zajištění celistvosti (integrity) jaderného paliva: maximální teplota paliva, maximální radiálně středovaná entalpie paliva (obě hodnoty v závislosti na vyhoření a na konkrétním izotopickém složení palivové matrice), (2) kritéria pro zajištění celistvosti (integrity) pokrytí palivových elementů: maximální teplota pokrytí paliva, maximální lokální oxidace povlaku, minimální rezerva do krize varu (pouze ve specifických případech), a. v rámci zmírnění kritérií pro DEC A nemusí být při zachování bariéry ochranné obálky prokazována minimální rezerva do krize varu, b. pokud je právě jedna z fyzických bariér ochrany do hloubky – tlaková hranice primárního okruhu nebo ochranná obálka – vyřazena za provozu, nesmí dojít k odhalení paliva v reaktoru nebo BSVP, c. pokud jsou vyřazeny z provozu obě fyzické bariéry ochrany do hloubky – tlaková hranice primárního okruhu a ochranná obálka – nesmí dojít odhalení paliva ani varu chladiva v reaktoru nebo BSVP, (3) kritéria pro zajištění celistvosti (integrity) aktivní zóny jako celku: dostatečná podkritičnost, maximální celková tvorba vodíku z oxidace materiálů v aktivní zóně, maximální počet porušených palivových elementů v zóně, maximální deformace palivových souborů, (4) kritéria pro zajištění celistvosti (integrity) primárního okruhu: maximální tlak a maximální-minimální teplota chladiva, tlakové a teplotní změny a vyvolaná napětí v tlakové hranici primárního okruhu, (5) kritéria pro zajištění celistvosti (integrity) bezpečnostně významné části sekundárního okruhu: maximální tlaky, maximální teploty medií, tlakové a teplotní změny v zařízeních sekundárního okruhu, (6) kritéria pro zajištění celistvosti (integrity) ochranné obálky (kontejnmentu) a limitování úniků do okolí: maximální a minimální tlak, maximální teplota, velikost úniků, koncentrace hořlavých/výbušných plynů, vyhovující prostředí pro požadovanou činnost systémů. Dle § 43 odst. 4 vyhlášky [2] je doplněno kritérium přípustných deformací konstrukce ochranné obálky. (7) Kritérium pro dlouhodobé zajištění podkritičnosti aktivní zóny reaktoru

Pro palivo umístěné mimo KTMT a stavy, kdy je KTMT otevřený, musí být při stanovování kritérií pro zajištění integrity jaderného paliva a jeho pokrytí brán ohled na požadavek praktického vyloučení těžké havárie.

Konkrétní hodnoty technických kritérií přijatelnosti z odstavce (9.6) a (9.7) pro DEC A stanoví projektant, případně provozovatel JZ14 s ohledem na zajištění dostatečné bezpečnostní rezervy15 mezi kritériem přijatelnosti a bezpečnostním limitem pro porušení bariéry proti úniku radioaktivní látky.

V případě DEC A mohou být hodnoty kritérií přijatelnosti pro omezení radiačních následků stejné, jako hodnoty kritérií přijatelnosti uplatněné pro nejméně příznivé základní projektové nehody. Konkrétní hodnoty kritérií přijatelnosti pro radiační následky událostí abnormálního provozu, základních projektových nehod a DEC A jsou uvedeny v Příloze č. 1 tohoto BN. 14 Volbu hodnot technických kritérií přijatelnosti by měl projektant nebo provozovatel JZ konzultovat s SÚJB. 15 V souladu s § 3 písm. c)vyhlášky [2]. 10 PREZENTACE VÝSLEDKŮ ANALÝZ DEC A

Výsledky bezpečnostních analýz zpracovaných dle tohoto bezpečnostního návodu jsou mimo jiné dle přílohy č. 3 vyhlášky [2] součástí provozní bezpečnostní zprávy.

Minimální obsah a forma bezpečnostních analýz DEC A vychází z požadavků pro bezpečnostní analýzy pro abnormální provoz a havarijní podmínky a jsou doplněny specifické požadavky pro DEC A vyplývající z legislativy ČR a mezinárodních doporučení. Minimální rozsah informací pro prezentaci analýz DEC A je následující: Úvodní informace k bezpečnostním analýzám DEC A: (1) soubor vstupních dat pro bezpečnostní analýzy, (2) související informace v ostatních kapitolách bezpečnostní zprávy, (3) výběr postulovaných iniciačních událostí a scénářů, (4) zařazení iniciačních událostí a scénářů do skupin, (5) účel analýzy a související metody analýzy (míra konzervativnosti): a. konzervativní s uvažováním neurčitostí, b. realistická s uvažováním a vyhodnocením vlivu neurčitostí, c. realistická bez uvažování neurčitostí, (6) programy, modely a postupy použité pro analýzu, (7) seznam systémů uvažovaných pro analýzu a jejich nastavení a parametry (8) seznam kritérií přijatelnosti pro analýzy DEC A, Základní prvky bezpečnostní analýzy konkrétní události DEC A: (9) rozsah prezentace výsledků jednotlivých analýz zahrnující: a. identifikaci příčin a popis události, b. relevatní kritéria přijatelnosti, c. metodu analýzy, d. vstupní parametry - počáteční a okrajové podmínky, hlavní předpoklady analýzy, modelované zásahy operátora e. výsledky analýz: i. časový průběh hlavních událostí a činnost systémů, 1.klíčové fyzikální procesy, 2.činnost komponent a systémů, 3.zásahy operativního personálu, ii. textový rozbor chování systému iii. grafické průběhy klíčových parametrů iv. plnění kritérií přijatelnosti vč. radiačních následků v. koncový stav události (viz odstavec (6.8)) (10) rozbor neurčitostí výsledků (pokud je metodou analýzy požadován), Specifické využití analýz DEC A může vyžadovat uvedení dalších informací a výsledků analýzy: (1) postupy pro činnost operativního personálu, i. identifikace administrativních a procedurálních opatření, která jsou důležitá pro zabránění vážnému poškození paliva, ii. identifikace dalších doplňujících opatření, která jsou důležitá pro zabránění vážnému poškození paliva nebo prevenci časných nebo velkých úniků aktivity do okolního prostředí, (2) výčet záložních a mobilních prostředků použitých personálem při řešení události s rozborem jejich dostupnosti v podmínkách DEC, (3) identifikace systémů a komponent, které jsou důležité pro zabránění vážnému poškození paliva s požadavků na dobu trvání funkce potřebných systémů, konstrukcí a komponent. 11 VYUŽITÍ VÝSLEDKŮ ANALÝZ DEC A

Deterministické analýzy vypracované v souladu s tímto návodem (viz bod (1.3)) a jejich výsledky jsou (zpracováno dle SSG-2 [11] a doplněno) obecně uplatňovány v následujících oblastech:

• projektování (design) JZ případně změny designu JZ,
• zpracování nebo revize bezpečnostní zprávy pro licenční účely, včetně získání
povolení dozorného orgánu pro provoz nebo modifikace JZ,
• analýzy skutečných událostí a jejich rozvoje,
• vývoj a validace havarijních provozních předpisů,
• řešení nálezů PSR
• podpora PSA,
• výcvik pracovníků obsluhy,

Specificky pro DEC A mohou být z výpočtových analýz vyžadovány další výstupy, jež by měly být provozovatelem JE uplatněny v oblasti zvyšování úrovně jaderné bezpečnosti. Analýzy DEC A mohou mít za účel také identifikovat rozumně proveditelná opatření pro zabránění vážnému poškození paliva a měly by (mj.) poskytnout následující výstupy:

• identifikaci systémů a komponent, které jsou důležité pro zabránění vážnému
poškození paliva,
• identifikaci administrativních a organizačních opatření, která jsou důležitá pro
zabránění vážnému poškození paliva,
• identifikaci dalších doplňujících opatření, která jsou důležitá pro zabránění
vážnému poškození paliva (DEC A). 12 REFERENCE [1] Zákon č. 263/2016 Sb., atomový zákon. [2] Vyhláška č. 329/2017 Sb., o požadavcích na projekt jaderných zařízení. [3] Vyhláška č. 422/2016 Sb., o radiační ochraně a zabezpečení radionuklidového zdroje. [4] IAEA, “Protection against Internal Hazards in the Design of Nuclear Power Plants”, DS 494, DRAFT SAFETY GUIDE, Revision and merge of NS-G-1.7 and NS-G-1.11. [5] WENRA Safety Reference Levels for Existing Reactors - UPDATE IN RELATION TO LESSONS LEARNED FROM TEPCO FUKUSHIMA DAI-ICHI ACCIDENT; WENRA RHWG; 24th September 2014. [6] Guidance Document, Issue F: Design Extension of Existing Reactors - Guidance for the WENRA Safety Reference Levels for existing Reactors in their update in relation to lessons learned from the TEPCO Fukushima Dai-Ichi accident; WENRA RHWG; 29 September, 2014. [7] IAEA Safety Standards Series No. SF-1 FUNDAMENTAL SAFETY PRINCIPLES. [8] Safety of Nuclear Power Plants: Design, IAEA Safety Standards Series No. SSR-2/1 (Rev.1), IAEA, Vienna, 2016. [9] Considerations on the Application of the IAEA Safety Requirements for the Design of Nuclear Power Plants, IAEA-TECDOC-1791, IAEA, Vienna, May 2016. [10] EUR, VOLUME 2 - GENERIC NUCLEAR ISLAND REQUIREMENTS, CHAPTER 1, SAFETY REQUIREMENTS, Revision D, October 2012. [11] Deterministic Safety Analysis for Nuclear Power Plants No. SSG-2, Specific Safety Guide; IAEA, Vienna, 2009. [12] Guidelines for Accident Analysis of WWER Nuclear Power Plants. A Publication of the Extra Budgetary Programme on the Safety of WWER and RBMK Nuclear Power Plants, IAEA-EBP- WWER-01, IAEA, Vienna 1995. [13] Ing. Karla Petrová, Kritéria přijatelnosti radiační ochrany SÚJB pro bezpečnostní analýzy jaderných elektráren Dukovany a Temelín. Příloha dopisu SÚJB zde dne 3.5.2019, číslo jednací SÚB/RO/9326/2019. [14] SÚJB, Ochrana do hloubky, BN-JB-1.5. [15] IAEA Safety Report Series No. 46 Assessment of Defence in Depth for Nuclear Power Plants, IAEA, Vienna, 2005 [16] IAEA Safety Report Series No. 30 Accident Analysis for Nuclear Power Plants with Pressurized Water Reactors, IAEA, Vienna, 2003 [17] Deterministic Safety Analysis for Nuclear Power Plants No. SSG-2 (Rev.1), Specific Safety Guide; IAEA, Vienna, 2019.