El artículo 2.a) de la Ley 15/1980, de 22 de abril, de creación del Consejo de Seguridad Nuclear (CSN), atribuye a este ente público la facultad de «elaborar y aprobar las Instrucciones, Circulares y Guías de carácter técnico relativas a las instalaciones nucleares y radiactivas» relacionadas con el funcionamiento seguro, es decir, sin riesgos indebidos para las personas o el medio ambiente, de las instalaciones nucleares y radiactivas. Este artículo incorpora igualmente el fomento de la participación de los interesados y del público en el proceso de elaboración de estas instrucciones.
La presente Instrucción se enmarca en el proceso de desarrollo normativo que en materia de seguridad nuclear y protección radiológica viene realizando el CSN. Este proceso forma igualmente parte del objetivo de homologación de las prácticas reguladoras entre organismos reguladores internacionales y que adopta como referente a los requisitos generados en el seno de la Organización Internacional de la Energía Atómica (OIEA), así como los denominados niveles de referencia establecidos por la Asociación de Reguladores Nucleares de Europa Occidental (WENRA).
Esta Instrucción desarrolla los contenidos del análisis de accidentes de las centrales nucleares, contribuyendo con ello al cumplimiento de la Directiva 2009/71/EURATOM del Consejo de 25 de junio de 2009, por la que se establece un marco comunitario para la seguridad nuclear de las instalaciones nucleares, modificada por la Directiva 2014/87/EURATOM del Consejo de 8 de julio de 2014, cuyo artículo 6 obliga a que el marco jurídico nacional exija a los titulares de las licencias »evaluar y verificar periódicamente, y mejorar permanentemente, en la medida de lo razonablemente factible, la seguridad nuclear de las instalaciones nucleares de manera sistemática y verificable. En lo anterior se incluirá la verificación de que se aplican medidas para la prevención de accidentes y la atenuación de las consecuencias de los accidentes, incluida la verificación de la aplicación de las disposiciones de defensa en profundidad».
El accidente en la central nuclear japonesa de Fukushima ha puesto de manifiesto la trascendencia de los aspectos relacionados con las capacidades y los medios necesarios para gestionar un accidente que excede las bases de diseño de la instalación. El artículo decimotercero de esta Instrucción, «Extensión del diseño», en su redacción actual, es consistente con las acciones adoptadas hasta la fecha, al requerir el análisis de escenarios no previstos en el diseño de la instalación y determinar la posibilidad de mejora del mismo o el establecimiento de medidas de prevención y mitigación para de este modo contribuir a reducir el riesgo.
En ausencia de otra normativa técnica, la práctica reguladora seguida hasta la fecha en materia de análisis de accidentes y su relación con las bases de diseño de las estructuras, sistemas y componentes de seguridad, ha consistido en la verificación del cumplimiento de la normativa técnica requerida en el país origen de la tecnología, con las adaptaciones puntuales que se hayan considerado necesarias. La presente Instrucción contribuye al establecimiento de un marco normativo propio, a la vez que compatibiliza las prácticas seguidas hasta la fecha y que dan soporte a las bases de diseño de las centrales nucleares actualmente en operación.
A lo largo del articulado se desarrolla en detalle la metodología determinista que sustenta el diseño de las centrales nucleares en operación. Se reafirman los principios básicos de defensa en profundidad, mantenimiento de márgenes de seguridad y de limitación de la magnitud del daño admisible en función de la frecuencia con que éste pudiera ser superado. En torno a estos principios se desarrolla una sistemática destinada a establecer el contenido y alcance del análisis de accidentes; se desarrolla el concepto de suceso iniciador postulado y su clasificación; se asignan criterios de aceptación para cada clase; se analizan los requisitos de operabilidad sobre sistemas y componentes, condiciones iniciales y de contorno asumidas, para con ello generar el conjunto de sucesos base de diseño de dichas estructuras, sistemas y componentes; se analiza el concepto de extensión del diseño como elemento de mejora de la seguridad de la instalación.
Por último, el Reglamento sobre Instalaciones Nucleares y Radiactivas, aprobado por Real Decreto 1836/1999, de 3 de diciembre, establece una serie de requisitos relativos al estudio de seguridad, que comprenden documentación sobre el análisis de accidentes y sus consecuencias, tanto en la solicitud de autorización de construcción, Título II, Capítulo III, como en la solicitud de autorización de explotación, Título II, Capítulo IV.
De conformidad con la habilitación legal prevista en el artículo 2.a) de la Ley 15/1980, de 22 de abril, de creación del Consejo de Seguridad Nuclear, previa consulta a los sectores afectados, y tras los informes técnicos oportunos, este Consejo, en su reunión del día 21 de enero de 2015, ha dispuesto lo siguiente:
La presente Instrucción se emite con el objetivo de desarrollar lo dispuesto en el artículo 17 e) 3.º y en el artículo 20 a) 3.º del Reglamento sobre Instalaciones Nucleares y Radiactivas, por los que se requiere como documentación vinculada a la concesión de la autorización de construcción y de explotación de una central nuclear, un análisis de los accidentes previsibles y de sus consecuencias.
Son objetivos del análisis de accidentes:
a) Verificar el mantenimiento de las funciones de seguridad de la instalación, mediante el estudio de la capacidad de la misma para acomodar los sucesos postulados que conforman la base de diseño de las estructuras, sistemas y componentes de seguridad, según los criterios de aceptación aplicables.
b) Contribuir a determinar las condiciones mínimas requeridas en cuanto a operabilidad y capacidad funcional de estructuras, sistemas y componentes, así como los rangos de valores de variables de proceso y parámetros en que la operación de la instalación es segura.
c) Verificar que las consecuencias de los sucesos iniciadores postulados desde cualquier condición operativa de la instalación, sobre la salud de las personas y el medio ambiente, son aceptables según los requisitos de protección radiológica aplicables.
d) Verificar que la magnitud del daño acumulado como consecuencia de los accidentes postulados es inferior a los criterios de aceptación establecidos de acuerdo con su frecuencia.
e) Verificar la seguridad del diseño de la instalación, a través de la minimización de la frecuencia de sucesos iniciadores, mantenimiento de la defensa en profundidad y mantenimiento de márgenes de seguridad adecuados.
Esta Instrucción será de aplicación a los titulares de autorizaciones de construcción y de explotación de centrales nucleares.
No entran en el alcance de esta Instrucción aquellos accidentes que impliquen el uso de hipótesis más allá de las bases de diseño y que no sean objeto de extensión del diseño según el artículo decimotercero.
Las definiciones de los términos y conceptos contenidos en la presente Instrucción de Seguridad, se corresponden con las contenidas en las siguientes normas:
Ley 25/1964, de 29 de abril, sobre Energía Nuclear.
Ley 15/1980, de 22 de abril, de creación del Consejo de Seguridad Nuclear.
Real Decreto 1836/1999, de 3 de diciembre, por el que se aprueba el Reglamento de Instalaciones Nucleares y Radiactivas.
Real Decreto 783/2001, de 6 de julio, por el que se aprueba el Reglamento sobre Protección Sanitaria contra Radiaciones Ionizantes.
Real Decreto 1546/2004, de 25 de junio, por el que se aprueba el Plan Básico de Emergencia Nuclear.
Además de lo anterior, se utilizan ciertos términos que, dentro del contexto de esta Instrucción se entienden como sigue:
Análisis de accidentes: Conjunto de estudios, contenidos en el Estudio de Seguridad de la instalación y documentos referenciados, destinados a demostrar que la operación de la instalación nuclear ante sucesos operacionales previstos y accidentes es conforme con los niveles de seguridad requeridos.
Análisis de incertidumbres: Estudio y cuantificación de la incertidumbre en variables de seguridad, a partir de los procesos de estimación de las mismas. Dicho tratamiento permite determinar para dichas variables la distribución de probabilidad del error o una cota del mismo.
Área de exclusión: Zona que rodea una central nuclear que queda bajo control del explotador de la misma y en la cual el titular tiene autoridad para fijar todas las actividades, incluyendo la exclusión o evacuación de personas y cosas presentes en la zona. Esta zona puede estar atravesada por una carretera, vía férrea o vía acuática, siempre que no estén tan cercanas a la instalación como para interferir con las operaciones normales de las misma y que se adopten medidas apropiadas y eficaces para controlar el tráfico en dicha carretera, vía férrea o acuática, en caso de emergencia, a fin de proteger la salud y seguridad públicas. Normalmente deberá prohibirse residir dentro del área de exclusión. En cualquier caso, los residentes deberán estar sujetos a su rápida evacuación en caso de necesidad. Las actividades no relacionadas con el funcionamiento de la central podrán permitirse en el área de exclusión, sometiéndolas a las limitaciones pertinentes, siempre y cuando ello no signifique riesgos significativos para la salud y seguridad públicas.
Bases de diseño: Son el conjunto de información que identifica las funciones específicas que realiza una estructura, sistema o componente de la instalación, así como los valores (o rangos de valores) de los parámetros relacionados con esa función que han sido escogidos como condiciones de contorno para el diseño. Estos valores pueden ser: condiciones derivadas de prácticas comúnmente aceptadas para conseguir objetivos funcionales, o requisitos derivados de análisis (basados en cálculos o experimentos) de los efectos del accidente postulado para el cual la estructura, sistema o componente debe cumplir su función.
Bases de licencia: Son el conjunto de requisitos de obligado cumplimiento, compromisos reguladores y exenciones derivados tanto de la normativa inicial como de la normativa incorporada con posterioridad. Las bases de licencia están recogidas en los documentos oficiales de explotación de la central, en las condiciones asociadas a la aprobación de los mismos y a la autorización de explotación, así como, en los compromisos del titular de la instalación para asegurar el cumplimiento con las bases de diseño de los sistemas de seguridad (incluyendo las modificaciones realizadas).
Condición de contorno: Valor, dependiente o no del tiempo, impuesto sobre variables de proceso de un modelo de cálculo.
Condición inicial: Valor inicial impuesto sobre variables de proceso de un modelo de cálculo.
Componente pasivo: Componente que no requiere de partes móviles, o de cambios en su configuración, estado o propiedades para el ejercicio de su función.
Defensa en profundidad: Consiste en el despliegue jerárquico, a diferentes niveles, de estructuras, sistemas y componentes diversos y de procedimientos para impedir la escalada de los sucesos operativos previstos o los accidentes, y para mantener la eficacia de las barreras físicas que cumplen funciones de seguridad situadas entre una fuente de radiación o los materiales radiactivos y los trabajadores, miembros del público o el medio ambiente.
Diversidad: Se dice de aquellos sistemas redundantes (véase redundancia) que tienen diferentes características de funcionamiento, lo que permite reducir la posibilidad de un fallo originado por un factor que pudiera afectar a ambos sistemas de igual modo (fallo de causa común).
Elementos importantes para la seguridad: Comprende:
1. Aquellas estructuras, sistemas y componentes cuyo mal funcionamiento o fallo podría originar una indebida exposición a la radiación del personal del emplazamiento o de miembros del público.
2. Aquellas estructuras, sistemas y componentes que impiden que los sucesos operativos previstos den lugar a condiciones de accidente.
3. Aquellos elementos que se destinan a mitigar las consecuencias de accidentes causados por un mal funcionamiento o fallo de estructuras, sistemas o componentes.
Estos elementos se subdividen en «elementos de seguridad» y «elementos relevantes para la seguridad».
Elemento de seguridad (o elemento relacionado con la seguridad): Elemento al que se le da crédito su funcionamiento en los análisis de accidentes base de diseño para:
1. Llevar la instalación a una condición segura y mantenerla en dicha condición a largo plazo.
2. Limitar las consecuencias radiológicas de los sucesos operativos previstos y de los accidentes base de diseño dentro de sus límites especificados.
Elemento relevante para la seguridad: Es aquel elemento que no forma parte de un elemento de seguridad, pero:
1. Cuyo funcionamiento se da crédito para mitigar sucesos operativos previstos o accidentes, o se usan en procedimientos de operación en emergencia.
2. Cuyo fallo puede impedir que los elementos de seguridad cumplan su función de seguridad.
3. Cuyo fallo pueda causar la actuación de un elemento de seguridad.
Extensión del diseño: Conjunto de medidas que forman parte de la defensa en profundidad de la instalación y que tienen como objetivo la mejora de la seguridad de la central mediante el refuerzo de las capacidades de la planta para soportar situaciones más demandantes que las consideradas en las bases de diseño, así como la reducción de emisiones radiactivas al medio ambiente. Se consideran dos categorías de condiciones de extensión del diseño (CED):
CED-A: cuando es posible prevenir el daño severo al combustible, tanto en el núcleo como en los sistemas de almacenamiento de combustible gastado,
CED-B: cuando se postula daño severo al combustible.
Fallo concurrente: fallo adicional e independiente del fallo postulado, aplicado a un componente del mismo sistema o de otro.
Fallo único: Suceso independiente que provoca la pérdida de la capacidad de un componente para realizar su función de seguridad. Los fallos múltiples que puedan producirse como consecuencia de un único suceso se consideran como fallo único. Se considera que los sistemas eléctricos y de fluidos están diseñados frente a un fallo único si el sistema mantiene su capacidad para realizar sus funciones de seguridad en caso de producirse un fallo único de cualquier componente activo (suponiendo que todos los componentes pasivos funcionan correctamente), o de cualquier componente pasivo (suponiendo que todos los componentes activos funcionan correctamente).
Función de seguridad: es aquella función destinada a prevenir los accidentes postulados o a mitigar sus consecuencias, cuyo resultado es la protección de los trabajadores, del público y del medio ambiente frente a riesgos indebidos causados por la radiación.
Límites de seguridad: Límites que se establecen en variables importantes de proceso, que se ha comprobado que son necesarios para mantener de modo razonable la integridad de las barreras físicas que protegen contra la liberación incontrolada de radiactividad al exterior.
Límite de licencia: Valor numérico establecido sobre una variable de proceso, usado en el análisis de accidentes, que garantiza conservadoramente o con suficiente grado de probabilidad y confianza la verificación de un criterio de aceptación. El límite de licencia puede, o coincidir con el de seguridad o introducir un conservadurismo adicional al de éste.
Metodología determinista: metodología de análisis de accidentes que se caracteriza por establecer los criterios de aceptación en términos del daño máximo asumible para una frecuencia del suceso iniciador postulado. Para la delineación de cada suceso base de diseño, típicamente se adoptarán hipótesis conservadoras en cuanto a operabilidad de sistemas sin consideración a la probabilidad de fallo de los mismos.
Metodología determinista conservadora: metodología determinista que hace uso de condiciones iniciales y de contorno conservadoras, así como de códigos que dan lugar a predicciones sesgadas conservadoras.
Metodología determinista realista: Metodología determinista que se caracteriza por el uso de códigos de mejor estimación. Las metodologías realistas se diferencian a su vez entre aquellas que hacen uso de condiciones iniciales y de contorno conservadoras o bien aquellas que realizan un tratamiento estadístico de las incertidumbres propias de dichas condiciones y de los modelos de cálculo empleados, pudiendo igualmente adoptar aproximaciones intermedias. En cualquier caso se debe garantizar un conservadurismo global de los resultados obtenidos.
Parada controlada: Proceso de parada y enfriamiento de la instalación, durante el cual se pueden haber excedido los límites de especificaciones de funcionamiento o haberse requerido el ejercicio de los procedimientos de emergencia para mitigar sus consecuencias.
Parada ordenada: Proceso de parada y enfriamiento de la instalación, programada o no programada, automática, de emergencia o forzosa, durante el cual no se han excedido los límites de las especificaciones de funcionamiento aunque puede haberse requerido la actuación automática de sistemas de protección o salvaguardias, así como actuaciones manuales de los operadores.
Redundancia: Provisión de estructuras, sistemas o componentes alternativos (iguales o distintos), de forma que cualquiera de ellos pueda desempeñar la función requerida independientemente del estado de operación o fallo de los otros.
Restricción operacional de dosis: Valor de dosis que si se supera durante la operación de la instalación implica la toma de decisiones y acciones específicas. Este valor es inferior al límite legal de dosis al público y al valor máximo establecido por la Administración, de acuerdo con el artículo 6, Título II del RPSRI, en el proceso de optimización de los efluentes radiactivos de una central nuclear.
Situación segura: a efectos del artículo undécimo «criterios de aceptación de sucesos base de diseño», se considera situación segura aquella que verifica los criterios de aceptación aplicables al suceso iniciador postulado.
Suceso base de diseño: Para cada suceso iniciador postulado, conjunto de hipótesis, condiciones iniciales y de contorno que permiten asegurar el carácter envolvente de todas las evoluciones previstas para dicho suceso iniciador.
Suceso iniciador postulado: Suceso definido durante el diseño como capaz de dar lugar a sucesos operacionales previstos o a condiciones de accidente. La causa primaria de un suceso iniciador postulado puede ser un fallo de equipo o un error del operador, tanto en la instalación como fuera de ella, provocado por el hombre o por sucesos naturales.
Suceso operacional previsto: Es aquella condición de operación que se desvía de la operación normal, y que se espera que puedan ocurrir una o más veces durante la vida de la instalación nuclear. Los criterios que se utilizan para el diseño de la instalación hacen que estos sucesos no ocasionen daños significativos a los elementos importantes para la seguridad ni originen condiciones de accidente.
Terremoto de parada segura: Terremoto de la máxima intensidad considerada en el diseño de la central de modo que ésta pueda ser llevada a la condición de parada segura en caso de que se produzca.
Tiempo de misión: Periodo de tiempo que un sistema o componente tiene que operar para realizar satisfactoriamente su función.
Valor analítico: Valor que adoptan ciertas variables y parámetros de los datos de un modelo de cálculo. Para su determinación se tendrá en cuenta todo el conjunto de incertidumbres y sesgos, incluidos los derivados de la supervisión del mismo en la instalación.
Valor límite calculado: Valor calculado de variables de seguridad obtenido mediante el empleo de metodologías aceptadas, y que da lugar al mínimo margen al límite de licencia.
Variable de seguridad: Variable para la que se ha establecido un criterio de aceptación en el análisis de accidentes.
Zona de baja densidad de población: Superficie que envuelve o rodea el área de exclusión y que contiene residentes en número y densidad tales que existe una probabilidad razonable de que se puedan adoptar con éxito medidas adecuadas para su protección en el caso de ocurrir un accidente con daño severo al combustible.
La zona de baja densidad de población deberá quedar dentro de la zona de atención preferente definida en el Plan Básico de Emergencia Nuclear (PLABEN).
Será responsabilidad del titular:
A. La completitud, rigor y veracidad del contenido del análisis de accidentes de su instalación, así como el mantenimiento, custodia y accesibilidad a la documentación que constituye el análisis de accidentes en consistencia con la Instrucción IS-24, de 19 de mayo de 2010, del Consejo de Seguridad Nuclear, por la que se regulan el archivo y los periodos de retención de los documentos y registros de las instalaciones nucleares.
B. La consistencia entre las bases de diseño de las estructuras, sistemas y componentes importantes para la seguridad y el análisis de accidentes de la misma.
C. Operar la instalación bajo las condiciones cubiertas por el análisis de accidentes.
El análisis de accidentes contendrá, para el caso de los sucesos iniciadores postulados contemplados en las bases de diseño de la instalación, como mínimo el siguiente conjunto de estudios:
A. Descripción de la metodología de análisis utilizada,
B. Relación detallada del conjunto de sucesos iniciadores postulados,
C. Clasificación de los sucesos iniciadores postulados,
D. Identificación y definición de los sucesos base de diseño,
E. Conjunto de hipótesis sobre fallos y operabilidad de sistemas y componentes,
F. Condiciones iniciales, de contorno y tarados de actuación de sistemas de seguridad,
G. Criterios de aceptación aplicables,
H. Análisis de resultados.
Igualmente, incorporará un estudio sobre la extensión del diseño según se describe en el artículo decimotercero.
La metodología requerida para la realización del análisis de accidentes tendrá carácter determinista y estará compuesta por las herramientas analíticas, modelos y procedimientos de diseño. Dicha metodología deberá quedar debidamente documentada.
El desarrollo, validación, mantenimiento, revisión y aplicación de la metodología, deberá ser conforme con la base de licencia aplicable, ser consistente con las mejores prácticas y estándares técnicos y estar sometido a un proceso apropiado de garantía de calidad (interna del titular o requerido por éste a sus contratistas).
La modificación de la metodología se regirá de acuerdo a lo establecido en las Instrucciones del CSN IS-02, sobre documentación sobre actividades de recarga en centrales nucleares de agua ligera, e IS-21, sobre requisitos aplicables a las modificaciones en las centrales nucleares.
El análisis de accidentes, deberá identificar el conjunto de sucesos iniciadores postulados que desde cualquier condición operativa puedan afectar a la seguridad de la instalación.
A. Al objeto de determinar este conjunto de sucesos iniciadores, el análisis de accidentes deberá:
1. Identificar los materiales radiactivos presentes en la instalación y su ubicación,
2. Identificar las barreras físicas interpuestas, destinadas a contener la dispersión del material radiactivo o que sirvan de protección frente a las radiaciones ionizantes generadas por el mismo,
3. Identificar los mecanismos de fallo de dichas barreras y los escenarios, compatibles con el diseño de la instalación, que puedan provocar el fallo de las mismas,
4. Postular sucesos iniciadores para cada escenario,
5. Estimar conservadoramente la frecuencia de ocurrencia de los sucesos iniciadores postulados.
B. En la determinación del conjunto de sucesos iniciadores postulados, se considerarán sucesos tales como: rotura de tuberías, fallo de equipos y errores de operación, así como los sucesos que sean consecuencia de éstos. La lista de sucesos a considerar será específica para cada instalación, pudiendo verse afectada por modificaciones en el diseño de la central u otras circunstancias. En el anexo I se recoge de modo ilustrativo un conjunto de sucesos a considerar bajo este epígrafe.
Cada suceso iniciador postulado se clasificará atendiendo a la frecuencia de ocurrencia del mismo.
Para la determinación de la misma se podrá acudir a normativa de referencia, métodos probabilistas, experiencia operativa, bases de datos cualificadas, juicio de expertos o, en general, cualquier método que refleje el estado del arte en la materia.
A. Los sucesos iniciadores postulados se clasificarán en:
1. Categoría I: operación normal de la instalación y otros sucesos con una frecuencia de ocurrencia superior a 1/reactor-año, que serán acomodados por los sistemas de control y limitación de la instalación y operaciones rutinarias de los operadores.
2. Categoría II: sucesos operacionales previstos con una frecuencia de ocurrencia comprendida entre 1/reactor-año y 0,1/reactor-año.
3. Categoría III: sucesos operacionales previstos con una frecuencia comprendida entre 0,1/reactor-año y 0,01/reactor-año.
4. Categoría IV: accidentes no esperables durante la vida de la instalación, pero cuyas consecuencias pudieran dar lugar a la emisión de cantidades importantes de material radiactivo. Por la severidad de los mismos son sucesos límite a los que el diseño de los sistemas, estructuras y componentes deben hacer frente.
B. Alternativamente podrán establecerse clasificaciones diferentes a la indicada en el párrafo anterior que, como mínimo, diferencien entre: operación normal, sucesos operacionales previstos y accidentes.
C. Cuando el diseño de la instalación así lo haya contemplado, la clasificación se podrá realizar teniendo en consideración la frecuencia del suceso iniciador postulado, la probabilidad de operar en las condiciones postuladas, y la probabilidad de fallo de los sistemas de seguridad demandados.
Cualquiera que sea el tipo de clasificación, en caso de reclasificación de sucesos, se deberá confirmar que la frecuencia acumulada de los sucesos iniciadores postulados pertenecientes a la nueva categoría en la que se integra el suceso reclasificado no podrá superar el límite superior establecido para la misma. Si éste fuera el caso, se asimilará éste o un subgrupo de dichos sucesos iniciadores a una categoría inferior.
Para cada suceso iniciador postulado, se determinará la combinación o combinaciones de las hipótesis y condiciones iniciales y de contorno que, para cada situación operativa, den lugar a las condiciones de mayor severidad a las que tengan que enfrentarse las estructuras, sistemas y componentes demandados. Para la determinación de las condiciones iniciales de sucesos iniciadores de categorías II, III y IV, se tendrá en consideración el que dicho suceso se desencadene en el curso de una evolución operativa de las contempladas en la categoría I.
Igualmente se deberán tener en consideración las combinaciones creíbles de sucesos internos y externos incluidos en las bases de diseño de la instalación, que por su magnitud y efectos puedan dar lugar a un suceso iniciador postulado o agravar sus consecuencias. Para la selección de las combinaciones creíbles, podrán utilizarse métodos probabilistas y el juicio de los expertos.
Por su carácter envolvente de otros similares de menor severidad, estos sucesos serán base de diseño de las estructuras, sistemas y componentes de seguridad, debiendo identificarse para cada una de éstas él o los sucesos iniciadores que sirven como base de diseño y que determinan las cargas a que son sometidos, capacidad funcional y requisitos de operabilidad según corresponda.
El análisis de accidentes describirá para cada suceso iniciador, el conjunto de hipótesis asumidas sobre fallos, operabilidad y capacidad de los sistemas y componentes, así como sobre las acciones de operador que sean demandadas.
A. En sistemas y componentes no relacionados con la seguridad, se asumirá la condición de inoperabilidad si es más limitante para el caso objeto de análisis que la asociada a la respuesta esperada por diseño. No obstante y mediante la correspondiente justificación que se incorporará en la descripción del suceso, se podrá dar crédito a estos sistemas y componentes cuando su inoperabilidad sea detectable, la probabilidad de fallo aleatorio durante el curso del suceso sea altamente improbable y su inoperabilidad no sea consecuencia del propio suceso.
Adicionalmente y cuando sean usados como protección de respaldo, estos sistemas y componentes estarán sujetos a requisitos o programas de vigilancia adecuados.
B. Atendiendo a la demanda requerida de sistemas o componentes de seguridad se impondrán fallos sobre los mismos adicionales al propio suceso iniciador e independientes del mismo. No será necesario imponer más de un fallo o inoperabilidad sobre el conjunto de sistemas, componentes y acciones de operador, salvo que de otro modo sea requerido, que el estado operativo de la instalación así lo determine, o que sea consecuencia de las características de diseño de las estructuras, sistemas o componentes de la instalación.
C. No será necesario suponer el fallo de un componente pasivo, siempre que se pueda justificar que el fallo de ese componente es muy poco probable y que no se ve afectado por el suceso iniciador postulado y, además, deberá justificarse teniendo en cuenta las cargas y las condiciones ambientales, así como el intervalo total de tiempo a partir del suceso iniciador durante el cual sea necesario que funcione dicho componente. A estos efectos, componentes activos simples de elevada fiabilidad y que para su actuación no requieran de fuerzas externas podrán de modo justificado ser asimilados a componentes pasivos.
D. Con las limitaciones establecidas en los párrafos anteriores, el análisis de accidentes deberá demostrar que existe suficiente grado de redundancia y diversidad, de modo que un fallo único en los sistemas y componentes de seguridad no comprometa ninguna función de seguridad, para lo que el análisis deberá contemplar el conjunto de todas las combinaciones posibles de suceso iniciador, incluida la actuación espuria de sistemas y componentes, y fallo único del conjunto sistemas y componentes de seguridad que sean demandados. Cuando el suceso iniciador lo es de un sistema redundante que desempeña una función de seguridad, no será necesario postular como fallo único adicional el de la otra u otras redundancias salvo que éste fuera consecuente o respondiera a fallo en modo común.
E. No se considerarán fallos adicionales a los postulados siempre que sean consecuencia (o que tengan como origen una misma causa común) de: el suceso iniciador, el fallo postulado o la propia evolución del accidente.
F. Para sucesos de categoría II, III y IV, no se postulará la acción del operador en los treinta minutos posteriores al inicio del suceso. Si excepcionalmente dicha actuación fuera requerida, además de recogerse en los procedimientos adecuados que aseguren la elevada fiabilidad de la acción, se deberá validar la capacidad de ejecutarla y los tiempos de actuación involucrados, determinados de manera conservadora mediante el uso de técnicas que reflejen el estado del arte en la materia.
G. Para el análisis asociado a cualquier suceso iniciador en que se demande la actuación del sistema de parada rápida del reactor, se extraerá del valor de antirreactividad del sistema el correspondiente al de la barra de control de mayor valor, salvo que se demuestre que su impacto en la dinámica del suceso sea irrelevante. En cualquier caso la demostración del margen de parada requerirá tener en cuenta la hipótesis de barra de control atascada.
H. La capacidad de inserción completa de barras de control deberá demostrarse ante cualquier suceso iniciador postulado, incluido el disparo manual, consecuencia del terremoto de parada segura.
El análisis de accidentes, contendrá una descripción del conjunto de condiciones iniciales y de contorno empleadas, incluyendo los valores analíticos de los tarados de actuación de elementos de seguridad y su determinación.
A. La determinación de las condiciones iniciales y de contorno y los tarados de actuación de elementos de seguridad forman parte de la metodología de análisis.
B. Las condiciones iniciales y de contorno o un subconjunto de las mismas deberán adoptar valores envolventes de la operación autorizada. Aquellas metodologías que, en todo o en parte, hagan uso de tratamiento estadístico de incertidumbres de dichas condiciones deberán demostrar su carácter conservador.
C. Los límites de seguridad, las condiciones límites de operación y su aplicabilidad reflejados en las Especificaciones Técnicas de Funcionamiento deberán establecerse de modo que se mantenga la consistencia con la metodología de análisis usada para su obtención, garantizando en todo caso la seguridad de la operación.
D. La asignación de puntos de tarado de la instrumentación y de actuación de los elementos de seguridad considerados en los análisis, a partir de los valores controlados por las Especificaciones Técnicas de Funcionamiento, se obtendrá con una metodología que tenga en cuenta todas las incertidumbres existentes.
A. Para demostrar la seguridad de la instalación, se verificarán los siguientes criterios de aceptación:
1. Las consecuencias radiológicas al público, serán tan bajas como sea razonablemente posible e inferiores a los siguientes límites:
1.1 Categoría I: Las dosis producidas a los miembros del público como consecuencia de la liberación de material radiactivo no deben dar lugar a la superación de los límites de dosis establecidos en el reglamento de protección sanitaria contra radiaciones ionizantes (RPSRI).
1.2 Categoría II: Las dosis producidas a los miembros del público como consecuencia de la liberación de material radiactivo no deben dar lugar a la superación de los límites de dosis establecidos en el RPSRI.
1.3 Categoría III: Las emisiones de material radiactivo pueden dar lugar a que más allá del límite del área de exclusión de la instalación se superen los límites de dosis para los miembros del público establecidos en el RPSRI, pero no superarán los valores de referencia establecidos en el Plan Básico de Emergencia Nuclear (PLABEN) para la adopción de medidas de protección urgentes.
1.4 Categoría IV: Las emisiones de material radiactivo al exterior no deben dar lugar a que una persona situada en el límite del área de exclusión durante 2 horas o en la zona de baja densidad de población durante todo el paso de la nube radiactiva, pueda recibir una dosis efectiva superior 250 mSv. En función de la frecuencia del accidente o de la metodología utilizada, se podrán aplicar fracciones de dicho límite. Adicionalmente, se deberá disponer de las adecuadas medidas para garantizar que el personal de sala de control no reciba una dosis superior a 50 mSv durante todo el accidente.
En el caso de que se utilice una clasificación diferente a la mencionada en el artículo séptimo A, se adaptarán los límites de la nueva clasificación a lo descrito en los párrafos anteriores, teniendo en cuenta la frecuencia de los sucesos iniciadores para cada categoría.
Se podrán utilizar límites en dosis equivalente cuando así lo contemple la metodología utilizada, la cual debe garantizar unos niveles similares de protección.
2. Los sucesos clasificados como categoría I deberán ser acomodados por la operación normal de la instalación con suficiente margen, de modo que no sea requerida la actuación automática o manual del sistema de protección. Los sucesos de categoría II deberán permitir la parada ordenada de la instalación y la vuelta a operación de la instalación sin restricciones de seguridad una vez subsanada la causa original del suceso y daños. Los sucesos de categoría III y IV deberán permitir la parada controlada de la instalación.
3. El mínimo grado de integridad de las barreras frente a la liberación de material radiactivo deberá especificarse atendiendo a la categoría asignada al suceso iniciador y con suficiente margen, de tal modo que el material radiactivo liberado no comprometa los límites en dosis establecidos en A.1.
Los criterios de aceptación asociados a la integridad de las barreras, se establecerán sobre aquellas variables que gobiernan los procesos físicos que afectan a la misma. No obstante, y atendiendo a las metodologías de análisis, se podrá acudir a variables subrogadas, que si no son excedidas, garanticen el nivel de integridad mínimo requerido en la barrera. El establecimiento de los límites de seguridad se debe soportar con resultados experimentales, complementados en su caso por estudios analíticos que incorporen el adecuado análisis de las incertidumbres existentes. En su caso, se contemplará para su definición el envejecimiento de las estructuras afectadas. En el anexo II se recoge de modo ilustrativo un conjunto de parámetros y variables habitualmente utilizados para el establecimiento de criterios de aceptación en el análisis de integridad de las barreras.
4. La capacidad de estructuras, sistemas y componentes, así como la fiabilidad de las acciones de operador que cumplen una función de seguridad, debe preservarse en aquellos sucesos en los que su actuación es demandada, asumiendo cualquier combinación de peor fallo único cuando éste no constituya de por sí un suceso iniciador postulado.
5. Ningún suceso iniciador evolucionará a otro de categoría superior sin la existencia de otro fallo independiente adicional al fallo único considerado.
6. La condición estable final de la instalación, tras un suceso iniciador, deberá garantizar el cumplimiento de las funciones básicas de seguridad: subcriticidad, refrigeración del combustible nuclear y confinamiento compatible con el cumplimiento de los criterios radiológicos aplicables.
7. Los accidentes de criticidad deberán verificar el criterio de doble contingencia, por el que dichos accidentes no podrían producirse a menos que ocurriesen simultáneamente dos cambios improbables e independientes en las condiciones de proceso. En cualquier caso se verificarán los límites de seguridad frente a criticidad establecidos.
B. Para todo suceso iniciador postulado cuya metodología de evaluación no haga uso de análisis de incertidumbres para la obtención del valor límite calculado, no podrá superarse el límite de licencia. En el caso de metodologías de evaluación con análisis de incertidumbres, se estimará un margen al límite de licencia para cada suceso iniciador postulado en términos de probabilidad de no superación del límite de licencia con una confianza determinada. Salvo que de otro modo se requiera, un valor del 95 % de probabilidad, con un nivel de confianza del 95 %, se considera aceptable. Para aquellos casos residuales en que se superen los límites establecidos, se demostrará que el daño generado es aceptable.
C. Para cada suceso iniciador postulado se deberá verificar igualmente la viabilidad de las maniobras manuales a realizar, atendiendo a las condiciones ambientales (niveles de radiación, temperatura, gases tóxicos, etc.) de los lugares donde estas acciones tengan lugar, así como la disponibilidad de los equipos e instrumentación necesarios que permitan alcanzar un estado estable a largo plazo.
D. Independientemente de la frecuencia de clasificación de los sucesos iniciadores postulados, la instalación deberá diseñarse de modo que se reduzcan las consecuencias frente a dichos sucesos al mínimo razonablemente alcanzable.
Por ello, la respuesta prevista de la instalación ante cualquier suceso iniciador postulado estará dentro de alguna de las opciones indicadas en los apartados siguientes (por orden de preferencia):
1) un suceso iniciador postulado no produce efectos de importancia relacionados con la seguridad, o produce solamente una evolución de la instalación hacia una situación segura por sus características intrínsecas.
2) tras un suceso iniciador postulado, la instalación vuelve a una situación segura mediante la actuación de elementos de seguridad pasivos, o mediante la actuación de sistemas de seguridad que funcionan continuamente en las condiciones en las que se produce el suceso iniciador postulado.
3) tras un suceso iniciador postulado, la instalación vuelve a una situación segura mediante la actuación de sistemas de seguridad que deben ponerse en servicio en respuesta al suceso iniciador postulado.
4) tras un suceso iniciador postulado, la instalación vuelve a una situación segura por medio de acciones manuales viables y que están recogidas en procedimientos.
E. En emplazamientos con más de una unidad, ante un suceso iniciador común a las unidades, o cuando el suceso iniciador en una unidad sea causado por el de otra unidad, cada unidad tendrá capacidad de respuesta independiente.
Para cada suceso base de diseño, el análisis del mismo contendrá una descripción detallada de la fenomenología relevante y de los resultados obtenidos, una tabla con la relación cronológica de sucesos importantes, las figuras y curvas necesarias para una mejor comprensión de los accidentes modelados, los valores límite calculados de variables de seguridad y el margen obtenido entre el valor límite calculado y el límite de licencia.
Cuando el análisis de accidentes contemple actuaciones manuales del operador relacionadas con la seguridad, éstas se documentarán considerando el criterio de fallo único, junto con las manipulaciones que conllevan las actuaciones requeridas, así como las indicaciones y alarmas a que se da crédito en el curso del accidente. En el caso de que se deba dar crédito a actuaciones fuera de sala de control, se documentará la viabilidad de las mismas, considerando adicionalmente aspectos de accesibilidad, habitabilidad, visibilidad, comunicación, protección, herramientas y equipo.
El alcance temporal del análisis, deberá extenderse hasta la obtención de un estado estable de la instalación, en el cual se hayan recuperado las funciones básicas de seguridad.
El análisis de accidentes de la instalación, se deberá complementar con un estudio sobre la extensión del diseño de la instalación.
A. Este artículo aborda el tratamiento de escenarios pertenecientes a la Extensión del diseño de categoría CED-A. Los escenarios de categoría CED-B no forman parte del objeto de esta Instrucción.
B. El estudio sobre la extensión del diseño de la instalación tendrá por objeto:
1. Estudiar el comportamiento de la central, incluyendo la interacción entre unidades en el caso de emplazamientos con más de una unidad o próximos entre sí, ante escenarios accidentales concretos que excedan en sus hipótesis las consideradas en la base de diseño de las estructuras, sistemas y componentes de seguridad.
2. Determinar la posibilidad de mejora en el diseño de las estructuras, sistemas y componentes existentes, la incorporación de nuevos, o el establecimiento de procedimientos u otras medidas, de modo que con estas actuaciones, se contribuya a minimizar de modo razonable el riesgo de la población y medio ambiente a la exposición dañina a radiaciones ionizantes y asegurar la existencia de margen ante situaciones límite en las que pequeñas variaciones de parámetros den lugar a cambios desproporcionados en las consecuencias.
3. Identificar las medidas razonables, que permitan prevenir daño severo al combustible de modo que éste sea extremadamente improbable con una elevada confianza.
C. Selección de sucesos de categoría CED-A.
1. La selección de sucesos a analizar se justificará atendiendo a argumentos de carácter determinista y probabilista así como a juicio ingenieril.
2. El proceso de selección tendrá en consideración todos los sucesos o combinación de los mismos que no se pueden considerar extremadamente improbables con elevada confianza y que pueden dar lugar a condiciones de accidente más severas que las consideradas en los accidentes base de diseño.
Este proceso de selección contemplará:
Cualquier condición operacional de la planta,
Su origen en riesgos internos o externos,
Modos de fallo por causa común,
La presencia de más de una unidad en el emplazamiento,
Sucesos con impacto en las unidades del emplazamiento así como las interacciones entre ellas o con otras unidades próximas.
El anexo III recoge una relación ilustrativa de sucesos a considerar en el análisis de extensión del diseño, excluyendo aquellos que ya estuvieran incorporados en la base de diseño.
D. Se considerarán el conjunto de secuencias accidentales creíbles que están más allá de la base de diseño de la instalación, y sobre las que sea factible, de un modo razonable, la implantación de medidas de prevención o mitigación. Para la selección de dichos escenarios se hará uso de la combinación de métodos deterministas, análisis probabilistas y del criterio ingenieril.
E. Metodología y contenido del análisis de seguridad.
1. Los métodos e hipótesis utilizados deberán reflejar las condiciones y evolución esperada con carácter globalmente conservador, pero sin que este conservadurismo desvirtúe la evolución esperada de la instalación,
2. La metodología y análisis deberán tener en consideración las incertidumbres y su impacto con especial atención a aquellos casos en que se recurra al juicio de expertos,
3. Se identificarán los medios y posibilidades de prevenir daño al combustible mediante la mejora de la capacidad de la instalación para soportar escenarios más graves que los previstos en su base de diseño,
4. Se evaluarán las posibles consecuencias radiológicas, cuando por su magnitud pudieran exceder las máximas admisibles en la base de diseño de la instalación,
5. En el estudio se tendrán en consideración la disposición, ubicación y capacidades de los equipos, las condiciones previstas para cada escenario y la viabilidad de las acciones previstas para la gestión del accidente,
6. El análisis tendrá en consideración información sobre disponibilidad de sistemas obtenida de los análisis probabilistas de seguridad que permitan estimar la probabilidad de las secuencias a analizar,
7. Se definirá un estado final seguro y tiempos de misión para las estructuras, sistemas y componentes demandados.
8. Los análisis de estos accidentes harán uso de herramientas cualificadas para tal fin.
F. El análisis de extensión de diseño se utilizará para definir las bases de diseño de los sistemas requeridos para prevenir la aparición de las condiciones postuladas en este análisis o que en caso de producirse permitan controlarlas y mitigar sus consecuencias.
G. El resultado de este análisis se incorporará al Estudio de Seguridad como anexo asociado al análisis de accidentes.
Los titulares de centrales nucleares sujetos a esta instrucción, podrán solicitar al CSN la apreciación favorable a la exención del cumplimiento de alguno de sus requisitos justificando y documentando las razones de su solicitud e incorporando un análisis de seguridad. Asimismo, se deberá recoger el modo de cumplimiento de las medidas alternativas o compensatorias que se establezcan.
La presente Instrucción del Consejo de Seguridad Nuclear tiene carácter vinculante de conformidad con lo establecido en el artículo 2.a) de la Ley 15/1980, de 22 de abril, de creación del Consejo de Seguridad Nuclear, por lo que su incumplimiento será sancionado según lo dispuesto en el Capítulo XIV (artículos 85 a 93) de la Ley 25/1964, de 29 de abril, sobre Energía Nuclear.
Los titulares de autorizaciones de explotación de centrales nucleares dispondrán de un periodo de tres años desde la publicación de esta Instrucción para la adaptación al contenido de la misma. Antes de un año a contar desde dicha publicación, cada titular remitirá al CSN un programa de adaptación para corregir las desviaciones que se identifiquen para cumplir lo dispuesto en la presente Instrucción. Dicho programa deberá contar con la apreciación favorable del CSN. La adaptación al contenido de esta Instrucción no conllevará necesariamente la revisión de las metodologías ni de los análisis actualmente vigentes en su Estudio de Seguridad, en la medida en que se verifiquen los criterios de aceptación y consecuencias radiológicas aplicables establecidos en esta Instrucción.
Queda derogada cualquier norma de igual o inferior rango que se oponga a la presente Instrucción.
La presente Instrucción entrará en vigor el día siguiente al de su publicación en el Boletín oficial del Estado.
Madrid, 21 de enero de 2015.–El Presidente del Consejo de Seguridad Nuclear, Fernando Marti Scharfhausen.
1. Accidentes con pérdida de refrigerante, provocados por roturas pequeñas, medianas y grandes de la barrera de presión del refrigerante del reactor, incluyendo la rotura de la tubería de mayor diámetro que forme parte de la misma y los efectos sobre la contención.
2. Roturas en los sistemas de vapor principal y de agua de alimentación.
3. Aumento o disminución del caudal de refrigerante del reactor.
4. Aumento o disminución del caudal de agua de alimentación.
5. Aumento o disminución de la temperatura de agua de alimentación.
6. Aumento o disminución del caudal de vapor principal.
7. Apertura espuria de las válvulas de alivio o seguridad del presionador (PWR).
8. Actuación espuria del sistema de refrigeración de emergencia del núcleo.
9. Apertura espuria de las válvulas de alivio o seguridad de los generadores de vapor (PWR).
10. Apertura espuria de las válvulas de alivio/seguridad del sistema de vapor principal (BWR).
11. Aislamiento espurio de líneas de vapor principal.
12. Rotura de tubo del generador de vapor (PWR).
13. Fallos en el sistema de control de barras de control.
14. Extracción incontrolada de barras de control, caída de barra y eyección de barra (PWR).
15. Accidente de dilución de boro.
16. Inestabilidad termohidráulica (BWR).
17. Fallos en el sistema de control químico y volumétrico (PWR).
18. Rechazo de carga/disparo de turbina.
19. Aumento descontrolado de carga.
20. Rotura de tuberías, o fugas en los tubos de cambiadores de calor de sistemas conectados al circuito de refrigeración del reactor y ubicados total o parcialmente fuera de la contención.
21. Accidentes de manejo de combustible durante actividades de recarga, inspección y movimiento del mismo.
22. Accidentes de posicionamiento erróneo de combustible en el reactor o bastidores de almacenamiento.
23. Transitorios con origen en perturbaciones de la red eléctrica exterior y pérdida de la misma.
24. Liberaciones de material radiactivo desde sistemas o componentes de tratamiento de deshechos o tanques de almacenamiento.
25. Caída de cargas pesadas por fallo de los sistemas de izado.
26. Otros accidentes de criticidad.
27. Transitorios de inyección espuria de masa y energía en el sistema del refrigerante del reactor en parada (PWR).
28. Accidentes de disminución o incremento del inventario de refrigerante en piscinas de combustible.
29. Accidentes de pérdida o disminución de refrigeración en piscinas de combustible.
Combustible
Variable/parámetro:
Flujo calorífico crítico.
Criticidad.
Margen de parada.
Enriquecimiento.
Depósito de materiales en vainas.
Tensión, deformación y fatiga de vainas de combustible.
Oxidación e hidruración de vainas de combustible.
Presión interna de gas en barras de combustible.
Cargas termomecánicas e interacción mecánica pastilla-vaina (PCMI).
Interacción pastilla-vaina (PCI).
Fragmentación de combustible y fallo de vaina.
Fragilización de vaina.
Tasa de fugas y censo de varillas falladas.
Temperatura máxima de vaina.
Generación lineal de potencia.
Generación de hidrógeno.
Cargas dinámicas en manejo, operación normal y accidente incluyendo sismo y transporte.
Cargas de sujeción.
Temperatura de combustible y fusión.
Actividad del huelgo y refrigerante.
Quemado.
Término fuente.
Sistema de refrigeración del reactor y secundario (PWR)
Variable/parámetro:
Presión de diseño.
Temperatura de diseño.
Límites de Presión y Temperatura en vasija.
Actividad del refrigerante.
Tasa de fugas en la barrera de presión.
Recinto de contención
Variable/parámetro:
Presión de pico de contención.
Temperatura de pico de contención.
Concentración de H2.
Presión diferencial Pozo Seco/Pozo Húmedo (BWR).
1. Sucesos operacionales previstos sin disparo de reactor.
2. Pérdida completa del suministro de energía eléctrica (interior y exterior) de corriente alterna.
3. Pérdida del sumidero final de calor
4. Pérdida completa del sistema de agua de refrigeración de componentes o de esenciales.
5. Accidente de pérdida de refrigerante, combinado con la pérdida completa de un sistema de refrigeración de emergencia del núcleo.
6. Pérdida completa del caudal de agua de alimentación en PWR.
7. Rotura de varios tubos del generador de vapor (PWR).
8. Pérdida de la refrigeración del núcleo por fallo del sistema de extracción del calor residual.
9. Pérdida a largo plazo de los sistemas de seguridad después de un suceso iniciador postulado.
10. Pérdida de la refrigeración de la piscina de combustible gastado.
11. Dilución incontrolada de boro en reactores PWR y en piscinas de combustible con crédito al boro disuelto.
12. Pérdida de nivel incontrolada en reactores de agua a presión durante operación a medio lazo o en recarga.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid