CONTROLE COMMANDE PRINCIPE DE CONCEPTION DU CONTROLE COMMANDE EXIGENCE DE SURETE

Transcription

1 CHAPITRE 7 CONTROLE COMMANDE sous chapitre EXIGENCE DE SURETE PRINCIPE DE CONCEPTION DU CONTROLE COMMANDE 0.1. FONCTIONS DE SURETE Les systèmes de Contrôle Commande participent au respect des fonctions de sûreté suivantes : Contrôle de la réactivité ; Evacuation de la puissance résiduelle ; Confinement des substances radioactives. Pour le Contrôle Commande, ces fonctions concernent : Les fonctions F1A : ces fonctions sont assurées par le Système de Protection du réacteur PS (Arrêt Automatique du Réacteur, Actions de Sauvegarde et fonctions support de sauvegarde) (cf. chapitre 7.3.1) ainsi que par la fonction de gestion de priorité et de contrôle de l'actionnement PACS (cf. chapitre 7.3.4) ; Les fonctions F1B : ces fonctions sont principalement assurées par le Système d Automatisme de Sûreté SAS (cf. chapitre 7.3.2) ainsi que par le Moyen de Conduite de Secours MCS (cf. chapitre 7.3.3) ; Les fonctions F2 : ces fonctions sont assurées par le Système d'automatisme de tranche PAS (cf. chapitre 7.4.2), le Moyen de Conduite Principal MCP (cf. chapitre 7.4.1) ainsi que par le Système de Limitation, Surveillance et Contrôle du réacteur RCSL (cf. chapitre 7.4.3). Les fonctions F2 peuvent être classées séisme (fonctions F2E) ou non classées séisme (fonctions F2N) CRITERES FONCTIONNELS En salle de commande, l'opérateur doit disposer de tous les moyens nécessaires pour conduire la tranche en situation normale (dans les limites et conditions opérationnelles spécifiées). De plus, en salle de commande, l'opérateur doit avoir à sa disposition l'ensemble des moyens de conduite lui permettant d'assurer les actions identifiées dans la démonstration de sûreté. Le Contrôle Commande doit assurer, avec le niveau de classement adapté, les actions automatiques identifiées dans la démonstration de sûreté. En cas d'indisponibilité de la salle de commande (par exemple suite à un incendie), les opérateurs assurent la surveillance et la conduite de la tranche à partir du poste de repli ; celui-ci permet d'amener puis de maintenir la tranche en état d'arrêt sûr EXIGENCES RELATIVES A LA CONCEPTION Les exigences pour les systèmes de Contrôle Commande sont résumées au chapitre Exigences issues des classements fonctionnel et mécanique Classement fonctionnel du système Chacun des systèmes de Contrôle Commande doit avoir un classement de sûreté conforme aux principes définis au chapitre Critère de défaillance unique (active et passive) Le critère de défaillance unique doit être pris en compte dans la conception des systèmes de Contrôle Commandes classés F1 par l intégration d un degré de redondance suffisant, d une structure et de dispositions adéquates (indépendance, séparation physique et électrique). 699 Il doit s appliquer au niveau «système» pour les systèmes classés F1A (y compris durant une maintenance préventive ou un essai périodique du système considéré) et au niveau «fonctionnel» pour les systèmes classés F1B Alimentations électriques secourues L alimentation électrique des systèmes de Contrôle Commande classés F1 doit être secourue (par les diesels principaux) de sorte que ces systèmes doivent pouvoir continuer à assurer leurs missions même en cas de perte des alimentations électriques externes. Cette alimentation doit être assurée par la même division à laquelle appartient le matériel de Contrôle Commande considéré. Cette disposition s applique au cas par cas pour les systèmes de Contrôle Commande classés F Qualification aux conditions de fonctionnement Les systèmes de Contrôle Commande doivent être qualifiés en fonction de leur rôle sur le plan de la sûreté et des conditions d ambiance auxquels ils sont soumis lors de l accomplissement de leurs missions. Les systèmes de Contrôle Commande classés doivent être qualifiés selon les exigences définies au chapitre Classements mécanique, électriques, contrôle commande Les classements mécanique et électrique ne s appliquent pas aux systèmes de Contrôle Commande. Le classement des systèmes de Contrôle Commande se base sur (cf. également le chapitre 3.2.1) : La catégorisation des fonctions de Contrôle Commande de sûreté (classes des systèmes et équipements de Contrôle Commande associés) conformément au classement des fonctions de sûreté (F1A, F1B, F2) ; La définition de trois classes de sûreté de matériel de Contrôle Commande (E1A, E1B, E2) auxquelles s'ajoute une catégorie de matériels non-classés (NC). Ces classes de sûreté de matériel de Contrôle Commande sont définies comme suit : E1A : matériel de Contrôle Commande devant assurer des fonctions de sûreté F1A, E1B : matériel de Contrôle Commande devant assurer des fonctions de sûreté F1B, E2 : matériel de Contrôle Commande devant assurer des fonctions de sûreté F Classement sismique Les systèmes de Contrôle Commande doivent être classés au séisme selon les principes définis au chapitre Esssais périodiques Les systèmes de Contrôle Commande classés F1 ainsi que classés F2 non sollicités en fonctionnement continu doivent permettre la réalisation d essais périodiques afin de vérifier leur aptitude à remplir leurs fonctions Autres exigences réglementaires Règles fondamentales de sûreté Les RFS suivantes s appliquent aux systèmes de Contrôle Commande : 7.1

2 RFS II.4.1.a Logiciels des systèmes électriques classés de sûreté : cette RFS doit être prise en compte pour les systèmes électriques classés F1A et F1B ; les exigences relatives aux «logiciels des systèmes programmés classés 1E» sont à considérer pour les logiciels supportant des fonctions F1A alors que celles relatives aux «logiciels des systèmes programmés classés de sûreté et non classés 1E» sont à considérer pour les logiciels supportant des fonctions F1B. RFS IV.2.b Exigences à prendre en compte dans la conception, la qualification, la mise en œuvre et l exploitation des matériels électriques appartenant aux systèmes électriques classés de sûreté : cette RFS doit être prise en compte pour les systèmes électriques classés F1A et F1B ; les exigences relatives «aux matériels électriques classés 1E» sont à considérer pour les systèmes de contrôle commande F1A alors que celles relatives aux «matériels électriques classés de sûreté et non classés 1E» sont à considérer pour les systèmes de contrôle commande F1B Directives techniques Les directives techniques pour la conception et la construction de la nouvelle génération de tranches nucléaires REP énoncées dans la lettre DGSNR/SD2/0729/2004 du 28 septembre 2004 «Options de sûreté du projet de réacteur EPR», en particulier les paragraphes A1.2, A.2.2, B.2.1, B.2.2.2, C.2.1, G.3, G.4, doivent être prises en compte pour la conception des systèmes de Contrôle Commande (cf. chapitre 3.1.2) Textes spécifiques EPR Les systèmes de Contrôle Commande classés F1 et F2 doivent se conformer au RCC-E (cf. chapitre 1.6) AGRESSIONS Les systèmes de Contrôle Commande doivent être protégés contre les défaillances de mode commun pouvant résulter des agressions internes ou externes en suivant les exigences définies aux chapitres 3.3 (agressions externes) et 3.4 (agressions internes) ESSAIS Les systèmes de Contrôle Commande doivent faire l objet d essais pré-opérationnels permettant de vérifier, après montage, leur conformité avec les exigences de conception. Les exigences vis-à-vis des essais périodiques sont traitées au paragraphe CLASSEMENT FONCTIONNEL L'objectif du classement de sûreté est de contribuer à travers la conception, la fabrication et l'exploitation à la qualité des systèmes et équipements participant à la sûreté de la tranche. Les fonctions de sûreté sont classées par rapport à l'état contrôlé (caractérisé par un cœur sous-critique et l'évacuation de la puissance résiduelle avec inventaire en eau stable), à l'état sûr (caractérisé par un cœur sous-critique, rejets radioactifs maintenus dans les limites du PCC correspondant, évacuation durable de la puissance résiduelle) et état final pour les conditions de fonctionnement RRC- A (caractérisé par un cœur sous-critique, évacuation de la puissance résiduelle, rejets radioactifs limités à un niveau acceptable). Les fonctions de sûreté sont classées en fonction des trois états cidessus définis. Plus précisément, elles sont classées en fonction du moment où elles sont requises. Ainsi, ces trois états conduisent à la définition de trois classes de fonction de sûreté F1A, F1B et F2. Les fonctions non classées de sûreté entrent dans la classe Non Classé (NC). La classe F1A correspond au plus haut niveau de sûreté. Un double classement a été adopté pour définir une classe de sûreté s'appliquant à une entité fonctionnelle (Classement système) et une autre s'appliquant à une entité technologique (Classement matériel). Ces deux classements sont explicités ci-dessous : Classement des systèmes Contrôle-Commande (F1A, F1B, F2). Ce classement fait référence à un ensemble d'éléments interconnectés constitué pour atteindre un objectif donné afin de réaliser une fonction définie. Classement des matériels de Contrôle Commande (E1A, E1B, E2). Ce classement fait référence à un ensemble d'éléments interconnectés constitué pour atteindre les performances attendues pour un ensemble défini de fonctions. La relation qui existe entre le "classement fonctionnel", le "classement des systèmes de Contrôle Commande" et "le classement des matériels de Contrôle Commande" est précisée au tableau 7.1 TAB 1. Ce tableau indique les exigences essentielles à appliquer afin de réaliser les fonctions de sûreté requises et ce conformément au classement fonctionnel. Le chapitre 3.2 Classement des ouvrages, matériels et circuits" fournit de plus amples explications quant aux classements des fonctions, systèmes et équipements. 2. BASE DE CONCEPTION 2.1. CONCEPTION DE L'ARCHITECTURE DE CONTROLE COMMANDE L'approche pour la conception de l'architecture de Contrôle Commande afin d'atteindre les objectifs de sûreté est basée sur : L'organisation des systèmes de Contrôle Commande en niveaux ; Le classement fonctionnel (cf. chapitre 3.2) ; L'application du critère de défaillance unique aux systèmes de Contrôle Commande ; Le concept de défense en profondeur ; Les exigences de priorité entre les fonctions de Contrôle Commande ; La catégorisation des fonctions de Contrôle Commande ; Les exigences vis-à-vis de l'ihm. Par ailleurs, la technologie utilisée pour réaliser les fonctions F1A du système de Protection Réacteur (PS) doit être diversifiée par rapport à celle du PAS utilisée pour réaliser les fonctions de réduction de risque liées à la défaillance du PS (ATWS) ORGANISATION DU CONTROLE COMMANDE EN NIVEAUX Les systèmes et équipements de Contrôle Commande sont structurés en trois niveaux : Niveau 0 : niveau d'interface avec le procédé. Il comprend principalement les fonctions de mesurage et d'actionnement (qui ont pour tâche de contrôler tant les actionneurs que les cellules électriques) ; Niveau 1 : niveau abritant les automatismes. Il couvre les fonctions automatiques ainsi que les fonctions d'interface avec les autres systèmes et équipements ; Niveau 2 : niveau supervision et conduite de la tranche. Il comprend les fonctions permettant à l'opérateur de surveiller et conduire le procédé.

3 2.3. APPLICATION DU CRITERE DE DEFAILLANCE UNIQUE Le critère de défaillance unique est pris en compte dans la conception des systèmes classés F1 par l'intégration d'un degré de redondance suffisant, d'une structure et de dispositions adéquates. L application du critère de défaillance unique est décrite aux chapitres et ainsi qu en 3.4 et DEFINITION DES CATEGORIES DE FONCTIONS Les fonctions de Contrôle Commande sont réparties selon les catégories suivantes : Les fonctions LCO (Conditions limites d exploitation) ; Les fonctions de limitation ; Les fonctions d'aide opérateur ; Les fonctions de protection ; Les fonctions de gestion post-accidentelle ; Les fonctions RRC ; Les fonctions de contrôle. Les fonctions LCO sont les fonctions mises en œuvre afin d'éviter une exploitation prolongée au delà des limites prises en compte dans la démonstration de sûreté. Ces fonctions initient des mesures correctives en cas de violation des conditions limites d'exploitation (LCO). Les fonctions LCO participent à maintenir les conditions initiales prises en compte dans les études d'accident. Les fonctions de limitation sont des fonctions automatiques préventives apportant des mesures correctives afin d'éviter la sollicitation des fonctions de protection du PS et d'améliorer la disponibilité de la tranche. Les fonctions d'aide opérateur sont des fonctions qui apportent une aide significative à l'opérateur pour l'exploitation de la tranche. Les fonctions de protection sont les fonctions qui sont nécessaires pour atténuer les conséquences d'un PCC et rejoindre l'état contrôlé à la suite de la détection d'un tel PCC. Les fonctions de gestion post-accidentelle sont les fonctions nécessaires pour ramener la tranche de l'état contrôlé à l'état sûr et la maintenir dans cet état après tout événement initiateur PCC-2 à PCC-4. Les fonctions RRC sont des fonctions mises en œuvre afin d'atténuer les conséquences d'un événement RRC. Les fonctions de contrôle sont les fonctions utilisées pour l'exploitation de la tranche dans toutes les situations. Ligne de défense de réduction de risque permettant d'adopter des mesures afin de réduire les risques de fusion du cœur et de limiter les rejets radiologiques en cas d'une telle fusion. L'organisation structurelle des systèmes et équipements de Contrôle Commande doit être telle qu'une indépendance suffisante entre ces lignes de défense peut être établie conformément au Modèle de Défaillance (cf. chapitre 18) PRIORITE Suivant les différentes tâches des fonctions de Contrôle Commande, des commandes contradictoires peuvent être émises par différentes fonctions de Contrôle Commande au même moment vers certains actionneurs. Pour cette raison, des règles de gestion des priorités doivent être établies pour associer un niveau de priorité à tout type de commande. Les règles générales suivantes doivent être appliquées à l'ensemble des actionneurs : Les fonctions de niveau de classement supérieur ont la priorité sur les fonctions de moindre niveau de classement. L'ordre de priorité est le suivant : - F1A prioritaire sur - F1B prioritaire sur - F2 prioritaire sur - NC. L'ordre de priorité au sein de chaque catégorie de Contrôle Commande est le suivant : - Protection composant et système prioritaire sûr - Les fonctions automatiques prioritaire sûr - Les commandes manuelles. Les fonctions automatiques peuvent être mises hors service si les conditions process le permettent EXIGENCES INTERFACES HOMME- MACHINE (IHM) Les exigences de conception d'ihm qui ont un impact sur la structuration fonctionnelle sont décrites au chapitre CONCEPT DE DEFENSE EN PROFONDEUR La sûreté de la tranche s'appuie sur le concept de défense en profondeur qui comprend quatre niveaux tels que décrits au chapitre Des exigences d'indépendance entre les fonctions appartenant à des lignes de défense différentes sont établies afin de respecter les critères de sûreté déterministes et les objectifs de sûreté des études probabilistes. Selon les chiffres de fiabilité pris en compte dans le Modèle de Défaillance (cf. chapitre 18), le traitement des initiateurs dont la fréquence d'occurrence est élevé peut nécessiter jusqu'à trois lignes de défense pour atteindre les objectifs de sûreté probabilistes. Ainsi, le concept de défense en profondeur alloue les fonctions de Contrôle Commande participant à une séquence d'événements donnée aux lignes suivantes : Conduite normale ; Ligne de défense préventive en cas de fonctionnement anormal (limitations) ; Principale ligne de défense visant à atténuer l'effet des événements PCC- 2 à PCC-4 ;

4 7.1 TAB 1 : RELATION ENTRE CLASSEMENT FONCTIONNEL, CLASSEMENT SYSTEME DE CONTROLE COMMANDE ET CLASSEMENT MATERIEL DE CONTROLE COMMANDE - EXIGENCES APPLICABLES AUX MATERIELS DE CONTROLE COMMANDE Classement fonctionnel Classement système de Contrôle Commande - Exigences applicables auxsystèmesdecontrôle Commande Classement matériel de Contrôle Commande-Exigencesapplicablesaux matérielsdecontrôlecommande(qui réalise la fonction du plus haut niveau de classement) Matériel E1A : C L A S S E F1A : Cf. chapitre 3.2 F1A : Cf. chapitre Les conception et réalisation doivent être conformes aux exigences communes spécifiques déclinées dans le RCC-E (cf. chapitre 1.6). - Un Programme d'assurance de la Qualité doit être appliqué aux activités liées au cycle de vie global du système. - Qualification aux conditions de fonctionnement. - Qualification sismique. Matériel E1B : D E F1B : Cf. chapitre 3.2 F1B : Cf. chapitre Les conception et réalisation doivent être conformes aux exigences communes spécifiques déclinées dans le RCC-E (cf. chapitre 1.6). - Un Programme d'assurance de la Qualité doit être appliqué aux activités liées au cycle de vie global du système - Qualification aux conditions de fonctionnement. - Qualification sismique. Matériel E2 : S U R E T E F2 : Cf. chapitre 3.2 F2 : Cf. chapitre Les conception et réalisation doivent être conformes aux exigences communes spécifiques déclinées dans le RCC-E (cf. chapitre 1.6). - Un Programme d'assurance de la Qualité doit être appliqué aux activités liées au cycle de vie global du système - Qualification aux conditions de fonctionnement. - Qualification sismique au cas par cas

5 sous chapitre VUE D ENSEMBLE L architecture fonctionnelle de Contrôle-commande (CC) est présentée en figure 7.2 FIG 1. L'architecture fonctionnelle de CC est structurée en niveaux : Niveau 0 : l'interface avec le procédé Comprenant : L instrumentation incluant les capteurs, transducteurs et l acquisition de données dans la mesure où elle est mise en œuvre dans les transducteurs numériques, Les cellules électriques et les actionneurs. Niveau 1 : les automates Comprenant l acquisition de données, les traitements d'automatismes, la surveillance et la commande mis en oeuvre dans les systèmes spécifiques NC (turbine, alternateur, ), les systèmes classés F2 et NC (PAS : Système d'automatisme de tranche et RCSL : Système de limitation, de surveillance et de contrôle du réacteur) et les systèmes classés F1 (PS : Système de protection du réacteur et SAS : Système d'automatisme de Sûreté). Niveau 2 : supervision et conduite de la tranche Comprenant le traitement des données relatif à l Interface Homme Machine (IHM) pour la surveillance et la conduite du procédé implémenté dans le système classé F2 (MCP : Moyen de Conduite Principal) et le système classé F1B (MCS : Moyen de Conduite de Secours). Nota : Les fonctions de gestion de priorité et de contrôle de l'actionnement (PACS : Priority and Actuator Control System) sont allouées soit dans les systèmes PAS ou SAS, soit dans la cellule électrique. Les quatre fonctions du PACS sont les suivantes : Gestion de priorité des commandes (automatiques ou manuelles) de l'actionneur, quelle que soit leur origine (PS, PAS, SAS, MCP, MCS, IHM locale, ) et leur fonction, et élection (en cas de commandes simultanées) de la commande ayant le niveau de priorité le plus élevé, Commande de l'organe conditionnant le fluide de manœuvre de l'actionneur, Surveillance de l'actionneur (gestion de la position de l'actionneur et des défauts de mouvement de l'actionneur), Protection essentielle des composants de l'actionneur. La figure 7.2 FIG 2 donne une vue d ensemble de l allocation des fonctions du PACS dans les différentes entités de contrôlecommande BASES DE CONCEPTION Exigences de sûreté ARCHITECTURE GENERALE DES SYSTEMES ET EQUIPEMENTS DE CONTROLE-COMMANDE 1. ARCHITECTURE GENERALE DU CONTROLE-COMMANDE Les principes de classement de CC sont indiqués au chapitre 3.2. L instrumentation du procédé est classée suivant les fonctions spécifiques à assurer. Les exigences fonctionnelles de CC sont définies au chapitre 7.1. Les exigences de sûreté relatives aux systèmes de CC sont abordées dans les chapitres 7.3 et 7.4. Afin de réduire le risque de défaillance de mode commun, les dispositions suivantes doivent être prises en compte : Indépendance entre MCP et MCS Diversification entre PAS et PS Exigences de disponibilité Les objectifs de disponibilité pour les fonctions type de CC sont définis dans le chapitre 18.1 (modèle de défaillance de CC) afin de constituer une liste communément acceptée de valeurs cibles de disponibilité. Sinon, les exigences de disponibilité concernent les systèmes de CC plutôt que l'architecture de CC elle-même. Se référer aux chapitres 7.3 et 7.4 pour les exigences liées à la disponibilité Performances requises Les temps de réponse attendus du CC en situation stable sont : Affichage d une entrée acquise au niveau du procédé sur l interface opérateur : <1,5 s Acheminement d'une commande opérateur sur le procédé : < 1,5 s DESCRIPTIF DE L ARCHITECTURE DE CC Niveau 0 Les capteurs (analogiques et logiques), les transducteurs et l acquisition de données sont des composants de l instrumentation suivante : Instrumentation du procédé Instrumentation In-Core Instrumentation Ex-Core Mesure de position des grappes Mesure de niveau cuve Surveillance des corps migrants et des vibrations Détection de radioactivité Instrumentation accidentelle Instrumentation liée à la surveillance de la concentration en Bore. L instrumentation comprend des chaînes de mesure de différentes importances au regard de la sûreté; le classement d'une chaîne de mesure individuelle dépend du classement le plus élevé des fonctions de Contrôle Commande dans lesquelles cette mesure est utilisée. Si un signal de mesure donné est traité dans différents systèmes de niveau 1, l'acquisition de la mesure est réalisée dans le système de CC de classement le plus élevé, puis elle est généralement transférée aux autres systèmes via le réseau de tranche. Des exceptions existent pour les signaux de mesures : Relatifs aux fonctions de CC à fortes exigences de performance pour lesquelles le délai de transmission série ne convient pas; ces signaux sont alors échangés en liaison fil à fil ou Requis dans le PS et un autre système d'automatisme (PAS, SAS, ). Ces signaux sont dérivés et au besoin découplés dans le dispositif de mise en forme des signaux analogiques du système de CC ou d'instrumentation ayant le classement le plus élevé et sont câblés aux dispositifs d acquisition de données des autres systèmes. Les capteurs et transducteurs redondants d une fonction de CC classée F1 et leur câblage sont physiquement séparés et implantés dans des divisions distinctes. Les cellules électriques sont regroupées en : Classe EE1 (classe sismique 1) : pour les fonctions de CC F1 Classe EE2 (classe sismique 1) : pour les fonctions de CC F2E 7.2

6 Classe EE2 (classe sismique 2 ou NC) : pour les fonctions de CC F2N Classe NC (classe sismique 2 ou NC) : pour les fonctions de CC NC. Les actionneurs et cellules électriques redondants d une fonction de CC F1 sont implantés dans des divisions distinctes Niveau 1 Vue d ensemble Les fonctions d automatismes sont implémentées dans les systèmes de niveau 1 suivants : Système d'automatisme de tranche (PAS Process Automation System), Système de limitation, de surveillance et de contrôle du réacteur (RCSL - Reactor Control, Surveillance and Limitation System), Système d'automatisme de sûreté (SAS - Safety Automation System), Système de protection du réacteur (PS Protection System), Le tableau 7.2 TAB 1 donne une vue d ensemble de la répartition des catégories de fonctions de CC dans les systèmes de CC. Système d'automatisme de tranche (PAS) Le rôle principal du PAS est la surveillance et les traitements d'automatismes de la tranche dans toutes les conditions normales de fonctionnement. De plus, le PAS réalise la surveillance et le contrôle des sous-fonctions (classées F2N et NC) relatives à la réduction des risques. Le PAS assure la gestion des fonctions F2N et NC de l'îlot nucléaire (à l'exception des fonctions F2N allouées au RCSL) et de l'îlot conventionnel (à l'exception de fonctions NC allouées à d'autres systèmes spécifiques tels que le contrôle-commande de la turbine ou de l'alternateur par exemple). Les fonctions du PAS sont surveillées et commandées par les opérateurs via le MCP. Si le MCP devient indisponible en PCC-1 (fonctionnement normal), certaines fonctions du PAS requises pour maintenir la tranche dans des conditions de fonctionnement stable peuvent être assurées à partir du MCS (cf et 1.4.). Le PAS est implémenté dans un système numérique classé F2/NC. Système de limitation, de surveillance et de contrôle du réacteur (RCSL) Le RCSL est principalement dédié aux fonctions de CC F2 et NC relatives à la conduite et la surveillance du réacteur. Celles-ci incluent notamment : Fonctions de contrôle du Cœur, Fonctions automatiques de LCO (conditions limites d exploitation) et fonctions de limitation pour les paramètres du Cœur et du circuit primaire nécessitant une action sur les grappes (une partie de ces fonctions pourraient être mise en œuvre dans le PAS si les équipements du PAS sont plus adaptés). Les fonctions de commande des actionneurs pour les commandes de grappes sont mises en oeuvre dans le RCSL ; les fonctions de commande des autres actionneurs contrôlés par le RCSL sont implémentées dans d autres systèmes de niveau 1 et le RCSL communique avec ceux-ci par le réseau de tranche. Le RCSL est implémenté dans un système numérique classé F2. Système de protection du réacteur (PS) Le PS assure la surveillance dans toutes les conditions de fonctionnement de la tranche (PCC) des paramètres de sûreté et en cas d'apparition d événement initiateur, il assure : Les fonctions automatiques F1A de protection et de sauvegarde, Les fonctions automatiques F1A de contrôle des systèmes support de sauvegarde, Les fonctions manuelles de CC F1A. Le PS transmet également des informations sur les paramètres de sûreté au MCS (F1B) et au MCP (F2). Les paramètres, les signaux initiateurs et les ordres du PS sont présentés à l'opérateur au MCP et au MCS. Des verrouillages sont prévus dans le PS pour interdire les actions manuelles et le réarmement de fonctions automatiques depuis le MCP ou le MCS si les conditions du procédé ne l'autorisent pas. Le PS est implémenté dans un système numérique classé F1A. Système d'automatisme de sûreté (SAS) Les fonctions principales assurées par le SAS sont : Les fonctions de gestion post-accidentelle (manuelles et automatiques) nécessaires pour amener la tranche lors d un événement initiateur de l'état contrôlé à l état d'arrêt sûr (F1B), Les fonctions relatives aux systèmes supports F1 qui ne changent pas d état lors d un événement (systèmes de sûreté autonomes, par exemple la ventilation), Les fonctions F1B de prévention des rejets radioactifs significatifs, Les fonctions F2 classées séisme (F2E). La partie du SAS qui réalise les fonctions de CC liées aux systèmes supports autonomes est structurée en sous-systèmes autonomes en prenant les dispositions nécessaires contre les influences externes (par exemple isolement fonctionnel, commandes locales ). Les paramètres, les signaux initiateurs, les ordres et les comptesrendus du SAS sont présentés à l'opérateur au travers du MCP et du MCS. Des verrouillages (E1B) sont prévus dans le SAS pour interdire le déclenchement d'actions manuelles et le réarmement de fonctions dans le SAS depuis le MCP si les conditions procédé ne l'autorisent pas. Le SAS est implémenté dans un système numérique classé F1B Niveau 2 Vue d ensemble Le traitement des données au niveau 2 sert principalement à l Interface Homme-Machine (IHM) pour la surveillance et la conduite de la tranche. Les fonctions sont implémentées dans les systèmes de CC suivants : Le Moyen de Conduite Principale (MCP), Le Moyen de Conduite de Secours (MCS). Le tableau 7.2 TAB 1 donne une vue d ensemble de l allocation des catégories de fonctions de CC dans les systèmes de CC. La figure 7.2 FIG 3 donne une vue d ensemble de la structure des systèmes de niveau 2, du réseau de communication et des interfaces. Moyen de conduite principal (MCP) Le rôle principal du MCP est de permettre aux opérateurs de surveiller et de conduire la tranche dans toutes les conditions de fonctionnement (PCC et RRC). Le MCP a accès aux informations de l ensemble des systèmes de niveau 1 et les présente aux équipes de conduite sur les équipements d IHM suivants : Postes opérateur informatisés en mode conduite permettant la conduite et la supervision de la tranche en Salle de Commande principale, Postes de supervision informatisés (visualisation uniquement) en Salle de Commande principale, Ecrans grands formats (visualisation uniquement) permettant une vision commune de l'état et des paramètres de la tranche en SdC, Postes de repli informatisés permettant la supervision et la conduite de la tranche dans la Station de Repli, Poste de supervision informatisé (visualisation uniquement) dans le local technique de crise (LTC), Imprimantes, archivage. Le MCP avertit les opérateurs en cas d'anomalies sur le procédé et les systèmes et les guides dans la conduite à tenir

7 La plupart des actionneurs de la tranche peuvent être commandés par le MCP via les systèmes de niveau 1. Les commandes sont exécutées par les opérateurs à partir des écrans et sont envoyées aux systèmes de niveau 1 qui agissent à la fois sur les actionneurs E2/NC et de sûreté E1. En cas d'événement initiateur, les opérateurs surveillent sur les écrans du MCP le déclenchement automatique des fonctions de protection ou de réduction de risque et au besoin réalisent à partir des écrans du MCP : Le réarmement des fonctions F1 exécutées automatiquement dans le PS et le SAS, Les fonctions de gestion post-accidentelle dans les systèmes de niveau 1, Les fonctions de réduction du risque dans le PAS. Les sous-fonctions du MCP assurant la commande des sousfonctions sont classées F2 ; les sous-fonctions F1B sont secourues par des sous-fonctions classées F1B implantées au MCS. Des mesures sont prévues au MCP et dans les systèmes de niveau 1 pour éviter tout ordre intempestif dû aux défaillances internes du MCP ou dû à une agression interne. Le MCP est classé F2 et implémenté dans un système numérique avec une Interface Homme-Machine informatisée. Les matériels et l architecture de l interface homme-machine informatisée des postes opérateurs en Salle de Commande principale respectent les exigences applicables aux systèmes F1B ; les fonctions de commandes et de surveillance des postes opérateurs en Salle de Commande principale et en Station de Repli sont classées séisme (classe sismique 1), les autres fonctions telles que l'impression, l'archivage, sont implémentées dans des matériels de classe sismique 2 (au titre de la non agression des matériels appartenant à la classe sismique 1). Le MCP est fonctionnellement indépendant du MCS. Moyen de Conduite de Secours (MCS) Le MCS est l'interface homme-machine classée de sûreté permettant l exécution des fonctions F1 et F2E de conduite et de supervision nécessaires pour amener et maintenir la tranche dans un état d'arrêt sûr en cas d indisponibilité du MCP. Le MCS permet : En cas d indisponibilité du MCP en PCC-1 (en raison de défaillances internes au MCP) de contrôler et surveiller la tranche pour un temps limité en fonctionnement en puissance en régime permanent et, si le retour à la normale du MCP n'est pas atteint en 2 à 4 heures, d amener et de maintenir la tranche dans un état d arrêt sûr (classe F2 / NC) ; En cas d événements de PCC-2 à PCC-4 et d indisponibilité du MCP : De surveiller les fonctions de sûreté de la tranche, notamment les fonctions automatiques F1 de protection et les fonctions postaccidentelles, D'engager les fonctions manuelles nécessaires pour amener la tranche de l'état contrôlé à l'état d arrêt sûr (classe F1B), De surveiller et commander les systèmes supports des systèmes de sûreté nécessaires à la conduite post-accidentelle, D'engager les fonctions de protection contre l'incendie dans l'îlot nucléaire (classement F2E). Normalement, le MCS n est pas utilisé lorsque le MCP est disponible sauf exceptions : Lors d'essais périodiques (F2), En conditions accidentelles pour la surveillance des principaux paramètres de sûreté et l état des systèmes de sûreté, Tant que le MCP est disponible, les alarmes présentes sont visualisées sur le MCP et le MCS, mais les alarmes du MCS sont acquittées automatiquement. Tant que les commandes du MCS ne sont pas nécessaires, elles sont désactivées afin de réduire le risque d ordre intempestif dû à une agression interne ou en raison de défaillances internes au MCS. 705 Les commandes du MCS seront activées par les commandes de transfert situées dans la zone de Conduite de Secours et qui sont indépendantes et séparées des moyens de commandes sur le procédé. Une défaillance unique ou une agression interne du mécanisme de transfert ne génère pas de signaux et d'ordres intempestifs. En cas d indisponibilité du MCP : Les commandes manuelles sont transmises via le MCS aux systèmes de niveau 1; tous les ordres en provenance du MCP sont inhibés afin d éviter des ordres intempestifs en raison d une défaillance du MCP ou lors d'une intervention de maintenance sur le MCP, Les fonctions liées aux alarmes désactivées sur le MCS (signal sonore, acquittement à l'apparition et à la disparition) sont activées. Le MCS est classé F1B. Il est fonctionnellement indépendant du MCP et implanté en Salle de Commande. Salle de Commande principale (SdC) Les fonctions de conduite et de supervision de la tranche sont assurées dans la Salle de Commande (SdC) dans toutes les situations de fonctionnement (sauf indisponibilité de la SdC). Pour ces tâches, la SdC est équipée : De postes de travail informatisés pour la conduite et la surveillance de la tranche, Du synoptique comprenant des écrans MCP grand format permettant une vue d ensemble de l état et des principaux paramètres de la tranche, D une zone de conduite de secours comportant les équipements d IHM conventionnels du MCS. De commandes manuelles F1A permettant d'atteindre l'état contrôlé. Station de repli (SdR) En cas d indisponibilité de la SdC en raison d une agression interne, les opérateurs assurent la surveillance et la conduite de la tranche à partir de la Station de Repli. Pour la surveillance et la conduite de la tranche, la Station de Repli est équipée : De moyens de commande permettant de verrouiller les ordres en provenance des équipements d IHM du MCP en SdC ; des dispositifs techniques et administratifs empêchent l activation intempestive ou non autorisée de cette fonction ; De postes de repli (PdR) informatisés (de même conception que ceux installés en SdC, configurés en mode conduite en cas d'indisponibilité de la SdC) à partir desquels les opérateurs peuvent amener la tranche dans un état d arrêt sûr et la surveiller ; D'un poste de repli informatisé en mode supervision (visualisation uniquement). L ensemble des équipements et systèmes supports de CC nécessaires pour la conduite depuis la Station de Repli sont séparés de la zone de la Salle de commande et sont en particulier dans des secteurs d'incendie différents. Local Technique de Crise (LTC) Le LTC est un local utilisé par l équipe de crise en cas d accident afin d accueillir un effectif supplémentaire pour l analyse des conditions de la tranche et le soutien à la gestion post-accidentelle. Le LTC est équipé d'un poste opérateur informatisé du MCP ayant accès à toutes les informations mais sur lesquels les fonctions de commandes sont bloquées. IHM décentralisées Certains moyens de conduite et de supervision peuvent être installés localement, proches des équipements à commander et/ou à surveiller (Salle de Commande du Bâtiment de Traitement des Effluents par exemple). 7.2

8 Communication entre les systèmes de CC Communication au sein des niveaux 1 et 2 Les échanges de données pour les fonctions F2N et NC entre les systèmes de Contrôle Commande de niveau 1 (PS, SAS, PAS, RCSL) d une part et entre ces derniers et le MCP d autre part, s effectuent par le réseau de tranche, sauf exceptions (par exemple pour des contraintes de temps de réponse). Dans la mesure du possible, les échanges internes du système (y compris l échange de données entre divisions) sont gérés par le système lui-même sans faire appel aux ressources externes. Le réseau de tranche traverse les divisions et s étend vers : Les bâtiments électriques de l'îlot nucléaire (BAS/BL), Le BTE, Les bâtiments diesels, Le bâtiment électrique de l îlot conventionnel (BLNC). Le réseau de tranche est classé E1B. Le réseau de tranche est conçu pour résister à une défaillance unique ainsi qu'aux agressions internes dans une division au titre de la disponibilité. Les échanges de données entre le MCS et les systèmes PS, SAS, PAS sont essentiellement assurés par des liaisons fil à fil. Communication entre les niveaux 0 et 1 Pour les fonctions F1, les échanges de données entre les équipements de niveau 0 et les équipements de niveau 1 sont réalisés systématiquement en fil à fil. Pour les fonctions F2/NC, les échanges de données entre les équipements de niveau 0 et les équipements de niveau 1 sont réalisés soit par réseau, soit en fil à fil Technologie Le système utilisé pour implémenter le PS et le RCSL est le système numérique de contrôle-commande TELEPERM XS. Concernant le PAS et le SAS ainsi que les postes opérateur informatisés de la Salle de Commande, de la Station de Repli et du Local technique de crise, ce chapitre sera détaillé lorsque le système numérique de contrôle commande standard aura été choisi. Le MCS est en technologie conventionnelle. Toutefois, l utilisation d équipements en technologie numérique n est pas exclue (enregistreurs par exemple) MODES D EXPLOITATION Exploitation normale La figure 7.2 FIG 4 donne une vue d ensemble des systèmes de CC participant à la surveillance et au contrôle de la tranche en exploitation normale. Le PAS et le RCSL exécutent l ensemble des sous-fonctions d automatisme en exploitation normale; Les commandes actionneurs vont directement du PAS aux cellules et du RCSL aux mécanismes de contrôle des grappes. Le MCP avec ses équipements d IHM en SdC permet aux opérateurs de surveiller et de contrôler l état de la tranche et les fonctions de CC nécessaires à l exploitation normale de celle-ci. Pour la surveillance de l état du PS et du SAS en exploitation normale, le MCP reçoit des informations de ces systèmes à travers le réseau de tranche. Indisponibilité du MCP En cas d indisponibilité du MCP en raison de défaillances internes à celui-ci, l équipe de conduite décide, sur la base des messages et alarmes générées par les fonctions d auto-surveillance du MCP et la fonction "signe de vie" des unités de traitement du MCP (fonction de surveillance classée F1B), de transférer la conduite de la tranche du MCP (zone de conduite principale) au MCS (zone de conduite de secours) (7.2 FIG 6). Le MCS est mis en service en mettant en oeuvre les fonctions décrites au paragraphe La conduite et la surveillance de la tranche en fonctionnement en puissance en régime permanent sont assurées pour un temps limité sur le MCS. Si un retour à la normale du MCP ne peut pas être atteint en 2 à 4 heures, les opérateurs amènent et maintiennent la tranche dans un état d arrêt sûr grâce aux MCS, SAS et PAS Conditions de fonctionnement de référence En conditions de fonctionnement de référence (PCC-2 à PCC-4) il faut distinguer deux modes de conduite : Conduite avec l ensemble des systèmes de CC disponibles, Conduite uniquement avec les systèmes de CC de sûreté F1. Mitigation d accident avec l'ensemble des systèmes de CC disponible La figure 7.2 FIG 5 donne une vue d ensemble des systèmes de CC participant à la surveillance et au contrôle de la tranche lorsque l ensemble des systèmes de CC est disponible. Les événements initiateurs sont détectés par le PS. Les fonctions de CC de protection nécessaires dans les 30 premières minutes sont initiées automatiquement et mises en oeuvre par le PS. Si des actions manuelles sont nécessaires pour atteindre l état contrôlé ou l état d arrêt sûr, les opérateurs sont alertés par les alarmes générées par le PS ou le SAS et affichées au MCP. Les fonctions de CC dans le PAS, le SAS et le PS sont surveillées et contrôlées sur les écrans du MCP pour la gestion de la situation postaccidentelle avec l aide des images et des procédures de conduite et sur la base des informations fournies par tous les systèmes de niveau 1. Conduite uniquement avec les systèmes de CC F1 Les événements initiateurs sont détectés par le PS. Les fonctions de CC de protection nécessaires dans les 30 premières minutes sont initiées automatiquement et mises en oeuvre par le PS (cf. 7.2 FIG 6). Si des actions manuelles sont nécessaires pour atteindre l état contrôlé ou l état d arrêt sûr, les opérateurs en sont informés par les alarmes générées par le PS ou le SAS et présentées au MCS. Les fonctions post-accidentelles manuelles sont initiées au MCS, les actions correspondantes sont réalisées dans le PS ou le SAS Agressions internes Indisponibilité de la Salle de Commande En cas d agression interne dans la Salle de Commande, la tranche reste en PCC-1. Les opérateurs déclenchent la tranche et passent dans les trente minutes à la Station de Repli. De là, ils verrouillent l ensemble des commandes en provenance des équipements d IHM de la Salle de Commande (cf. 7.2 FIG 7). En exploitation normale, les écrans du poste de repli sont en veille afin de pouvoir être opérationnels rapidement. Les opérateurs surveillent et contrôlent le passage de la tranche à l état d arrêt sûr sur les écrans du poste de repli. Le mode d exploitation des systèmes de niveau 1 est similaire au fonctionnement normal (cf ). Agression interne dans les systèmes de niveau 2 La redondance et la séparation mises en oeuvre assurent que même avec une défaillance unique, au moins une division du MCP ou du MCS reste disponible. Le mode d exploitation qui en résulte est similaire à ceux décrits au paragraphe Agression interne dans les systèmes de niveau 1 Le cas enveloppe, d une agression interne avec impact sur les systèmes de niveau 1 et une défaillance unique sur les systèmes supports conduit à la perte de deux divisions complètes de CC et à un PCC-2 dû aux dysfonctionnements des équipements de CC. Suivant la combinaison de défaillances présentes, une perte totale du MCP ou MCS doit être envisagée. La situation est gérée avec le MCP ou le MCS disponible au niveau 2 et les équipements de CC E1 disponibles dans deux divisions des systèmes de niveau 1 permettant ainsi d'atteindre l état d'arrêt sûr de la tranche

9 Agressions externes Le cas enveloppe de l impact des agressions externes sur les équipements de CC prend en compte la perte de l ensemble des fonctions de tous les équipements non qualifiés séisme ; globalement le PAS, le RCSL et une partie du MCP. La situation résultante est la même que celle concernant la perte de tous les systèmes de CC en condition accidentelle. Le mode de conduite est décrit au paragraphe Conditions de réduction des risques Le besoin de mesures de réduction des risques ou d'enclenchement de fonctions automatiques RRC sont signalés aux opérateurs par le MCP. En général, les fonctions de CC RRC manuelles sont engagées au MCP et exécutées par le PAS ou le SAS. Manque de tension généralisé (MDTG) Le mode d exploitation de CC décrit ci-dessous concerne le scénario le plus défavorable de Manque de tension Généralisé (MDTG) assortie de la perte d un diesel d ultime secours. Le manque de tension externe (MDTE) est détecté par le PS qui déclenche l arrêt automatique du réacteur (par la chute des grappes) et le démarrage des diesels principaux. Si aucun diesel ne démarre, tous les systèmes et équipements de CC dans toutes les divisions sont alimentés par les batteries pendant 2 heures. Dans cette phase, il n y a pas de ventilation dans les divisions et dans la SdC et seuls quelques actionneurs, dont l alimentation est secourue par les batteries, sont alimentés. Le démarrage d un des diesels d ultime secours SBO est effectué en manuel au MCP et exécuté par les fonctions de CC de RRC dans le PAS. Les systèmes de CC sont conçus pour empêcher que des ordres 2. INSTALLATION DES EQUIPEMENTS 2.1. CONDITIONS D'AMBIANCE Les équipements de CC sont installés dans différents locaux (locaux d'armoires de CC dans les bâtiments BAS/BL, BLNC, BTE, locaux informatiques, Station de Repli, Salle de Commande principale, Local technique de crise...). Les conditions d'ambiance (température, hygrométrie) dans ces locaux sont définies au chapitre L éclairage normal et de secours ainsi que l éclairage des chemins d évacuation sont décrits au chapitre 9.5. Les principes de conception permettant d'assurer une protection efficace de ces locaux contre les interférences électromagnétiques (IEM) et la foudre sont définis au chapitre Les locaux IHM sont pourvus de plusieurs zones d éclairage qui peuvent être réglées manuellement pour fournir un éclairage suffisant aux opérateurs pour réaliser les tâches qui leur sont attribuées (cf. chapitre ) ALIMENTATION DU CC L alimentation électrique secourue de tranche, y compris l alimentation secourue en courant continu et courant alternatif pour les équipements de CC est décrite au chapitre 8. Alimentation des armoires de contrôle-commande L'alimentation secourue des armoires de CC est réalisée par des convertisseurs c.a./c.c. alimentés par quatre jeux de barres 400 V c.a. secourus par batterie. Ils sont installés dans les locaux d'armoires de CC [divisions 1 à 4] et dans les locaux de CC des bâtiments diesel [divisions 1 à 4]. En général, un ensemble d armoires de CC sera alimenté à partir de deux convertisseurs c.a./c.c. redondants, alimentés par deux jeux de barres redondants, dont un pouvant être alimenté par la même division ou la division voisine (c est à dire 1+2 et 3+4). Chacun des deux convertisseurs est capable d alimenter l ensemble complet d armoires de CC. Ils seront installés dans des armoires de priorité plus élevés (par exemple signal de délestage du diesel principal) verrouillent les actionneurs nécessaires dans cette situation. Lorsque le courant pour la batterie, l éclairage et la ventilation de la SdC et des locaux d'automatisme est fourni par le diesel d ultime secours, l alimentation de tous les équipements de CC dans les autres divisions non ventilées sera coupée par intervention locale au niveau des tableaux électriques avant d'atteindre une température trop élevée afin d éviter des ordres intempestifs ou des signaux erronés bloquant les fonctions de CC de RRC nécessaires. Les opérateurs surveillent et contrôlent la tranche depuis la SdC via la division du MCP alimentée grâce aux informations en provenance de l instrumentation allouée à cette division et traitées dans les parties restant opérationnelles du PS, SAS ou du PAS. Ils peuvent commander les actionneurs via le PAS dans la mesure où ceux-ci sont alimentés Accidents graves La gestion des accidents graves est assurée par : des armoires d automatismes dédiés, l instrumentation nécessaire découplée des autres systèmes de contrôle-commande, les moyens d information nécessaires en accident grave et installés au MCS, les moyens de commandes des 2 vannes de décharge Accident Grave, installés au MCS. Un schéma de principe d architecture est présenté en figure 7.2 FIG 11. Les équipements de contrôle-commande nécessaires à la gestion des accidents graves sont alimentés par une source électrique secourue par batterie pendant 12 heures. d alimentation séparées comprenant plusieurs convertisseurs. Ces armoires sont disposées à proximité des armoires de CC alimentées. Le second niveau de tension utilisé pour polariser les signaux d entrée/sortie est de 24 Vcc ou de 48 Vcc. Alimentation pour IHM L alimentation en c.a. sans coupure pour l IHM est fournie par quatre jeux de barres 400 V c.a. qui sont eux alimentés à partir des quatre jeux de barres 400 V c.a. secourus par batterie et en cas de défaillance des convertisseurs c.c./c.a. via une commutation électronique à partir des quatre jeux de barres 400V régulés. L alimentation en c.a. est fournie à partir des 4 divisions pour les équipements d IHM (Ecrans grand format (Synoptique), postes opérateur informatisés du MCP) en SdC, à partir des divisions 1, 3 et 4 pour les postes de repli informatisés en SdR et à partir des divisions 1 et 4 pour les unités de traitement du MCP dans les locaux d'armoires de CC IMPLANTATION ET INSTALLATION DES EQUIPEMENTS Affectation des systèmes de CC aux bâtiments de l EPR En raison des conditions ambiantes assurées dans les BAS/BL, les systèmes de CC de l îlot nucléaire sont principalement disposés dans quatre locaux situés dans des divisions distinctes et dans les locaux sur le même niveau que la SdC. Cependant, une partie des systèmes de CC, par exemple l'instrumentation, le CC pour les engins de manutention est installée dans le BR et le BK, dans le BAN ou le BTE. Les équipements de CC restent opérationnels même à la suite d une chute d avion. A l intérieur du bâtiment, les principales agressions qui pourraient endommager de manière conséquente une des divisions de CC sont : l incendie, la température, l inondation. Le cumul d'une agression interne et d'une défaillance unique, ne doit pas conduire à la perte de fonctions de CC classées F1 dans plus de deux divisions (en

10 particulier pour l'ihm du MCS). Ceci est réalisé soit, par une séparation physique dans des divisions distinctes soit, par des mesures conçues spécialement pour empêcher la propagation des agressions. Ainsi, une séparation spatiale en 4 divisions est requise pour les 4 trains du PS tandis que pour le SAS, cette séparation dépend des systèmes mécaniques commandés qui sont affectés aux 4 divisions. Les pupitres du MCS sont installés en SdC. Le MCP fournit l ensemble des moyens de conduite nécessaires pour l'exploitation de la tranche à partir de la SdC et en cas d indisponibilité de la SdC à partir de la Station de repli. Afin d assurer une indépendance suffisante par rapport à la SdC, les unités de traitements du MCP sont disposées dans les locaux d'armoires de CC des divisions 1 et 4. Dans les locaux d'armoires de CC, les armoires de CC pour les systèmes de CC classés F1 sont regroupées indépendamment des armoires de systèmes de CC classés F2/NC. L ensemble des systèmes d automatismes et d IHM (niveaux 0, 1, et 2) de l îlot nucléaire qui sont commandés à partir de la SdC via le MCP et le MCS sont disposés dans les locaux d'armoires de CC des divisions 1 à 4. Le PAS est installé principalement dans les locaux d'armoires de CC des divisions 1 et 4, mais certaines parties sont également installées dans les divisions 2 et 3 selon les équipements électriques et mécaniques commandés afin d éviter des interconnections électriques. Le SAS est réparti dans les locaux d'armoires de CC des divisions 1 à 4 selon l'allocation des équipements électriques et mécaniques correspondant. Le PS est installé dans les locaux d'armoires de CC des divisions 1 à 4. Le RCSL est installé dans les locaux d'armoires de CC des divisions 1 et 4. Il est prévu une réserve en terme d espace, d alimentation et de climatisation dans chaque local d'armoires de CC pour les éventuelles modifications. Ceci permet la préparation de la mise en œuvre des évolutions sans affecter l'exploitation de la tranche ou les systèmes de sûreté. Les unités de traitements du MCP sont installées dans les locaux d'armoires de CC des divisions 1 et 4. Les équipements de CC directement liés aux équipements d'ihm ou qui sont fréquemment utilisés par le personnel, sont installés principalement au niveau SdC, dans la SdC elle-même ou dans les locaux informatiques. Ceci concerne notamment les périphériques du MCP, mais également les équipements de contrôle d accès, la surveillance incendie, les systèmes vidéo et téléphoniques. Les périphériques pour les systèmes de surveillance c est à dire la surveillance des corps migrants, la surveillance des vibrations du GTA, l'oscillo-perturbographe, le système de calcul de cartographie des flux, une partie de la détection de la radioactivité seront installés dans le local de surveillance des systèmes périphériques. Les équipements de CC utilisés pour l îlot conventionnel (CI) ou le BOP (autres ouvrages de site) seront installés respectivement dans le local d'armoires de CC de l îlot conventionnel (BLNC) ou dans des locaux dédiés au BOP. Les outils de configuration et de diagnostic des équipements de contrôle-commande sont installés dans le local de maintenance CC, situé dans le BAS/BL au niveau SdC. Les équipements et systèmes de CC commandés en local seront installés à proximité des systèmes mécaniques associés (par ex. groupes électrogènes de secours et ventilation du bâtiment diesel). La surveillance de leurs principales fonctions et des dysfonctionnements sera réalisée à partir du MCP. Les équipements de CC des systèmes de manutention (par exemple machine de chargement combustible, pont roulant) seront intégrés aux systèmes mécaniques ou disposés à proximité. Salle de Commande Principale (SdC) La Salle de Commande principale (SdC) est située, pour une exploitation pratique dans toutes les conditions de tranche, dans une partie bunkerisée. Elle est ainsi protégée contre le rayonnement, les missiles externes et internes et les séismes. Tout équipement installé dans la SdC qui est appelé à fonctionner ou pas à la suite d un séisme sera conçu pour ne pas engendrer de situation préjudiciable aux opérateurs dans la réalisation de leurs tâches i.e garder leur stabilité (classe sismique 2 a minima). L indépendance fonctionnelle et la séparation physique sont prises en compte lorsque les équipements de classes de sûreté différentes sont à proximité les uns des autres en SdC conformément au chapitre 17. La ventilation et l alimentation sur quatre trains ainsi que l éclairage sont conçus pour maintenir les conditions opérationnelles de la SdC et la surveillance de la tranche dans toutes les conditions PCC et RRC. Les conditions d environnement en SdC sont de nature à permettre aux opérateurs de travailler efficacement et confortablement. L'aménagement du niveau SdC assure l accès des opérateurs en SdC dans toutes les conditions d exploitation de la tranche. L évacuation de la SdC est possible par des chemins courts vers le niveau inférieur où se trouve la Station de Repli. L espace en SdC est suffisant pour permettre à l'équipe de conduite de réaliser toutes les actions nécessaires. L'aménagement des différentes zones opérationnelles facilite la coordination et la communication entre les membres de l équipe de conduite. L'aménagement du niveau de la SdC prend en compte une limitation du besoin d accès à la SdC par d autres membres du personnel de la tranche tout en préservant la capacité nécessaire d'échange de l effectif de la SdC avec les rondiers et les équipes de maintenance ainsi qu avec d autres personnels se trouvant dans les autres locaux, tels que le bureau du Chef d'exploitation, le local de maintenance CC, le local de consignation et le local de surveillance des systèmes périphériques. Les postes opérateur informatisés, le synoptique, le MCS, les moyens de communication, et le moyen central de signalisation Incendie sont installés en Salle de Commande. Locaux annexes Le local technique de crise (LTC) se situe en dehors de la SdC et possède un accès indépendant. Les sanitaires et une cuisine sont également à proximité de la SdC. La documentation est disponible dans les bureaux, en SdC et dans le LTC. Des moyens de commande locaux seront installés si une des conditions suivantes est remplie : En raison de ses fonctions de sûreté, il doit être commandé indépendamment de la SdC ou de la Station de Repli, L'exploitation requiert une liaison directe entre le personnel et le procédé, par exemple des contacts visuels ou sonores, Le système fonctionne indépendamment et ne nécessite plus, au moins quotidiennement, d'action manuelle lors du fonctionnement spécifié une fois mis en service. Station de Repli (SdR) Les agressions internes conduisant à l indisponibilité de la SdC requièrent l utilisation du poste de repli (PdR) pour amener et maintenir la tranche en état d arrêt sûr. Par hypothèse de conception, il n y a pas de cumul d inhabitabilité de la SdC (due à un incendie par exemple) avec une situation incidentelle ou accidentelle, la seule exception prise en compte est la perte des sources externes. Afin d assurer l indépendance de la Station de Repli par rapport à la SdC, celle-ci est installée dans un secteur de feu différent avec un accès distinct. Les unités de traitement correspondantes sont situées dans les locaux d'armoires de CC distincts afin d empêcher la propagation d une agression interne. Les liaisons, par exemple les gaines de ventilation entre les secteurs de feu, sont conçues pour ne pas propager le feu. Les postes de repli informatisés et les équipements de communication (téléphone) sont installés dans la Station de Repli. Interconnexions de CC entre les différents locaux de CC Les interconnexions de CC entre les différents locaux de CC et à l intérieur d un local de CC seront isolées électriquement selon le principe suivant : L équipement de CC classé E1 représente un îlot basse tension dans chaque division, isolé électriquement de l équipement E1 des autres divisions et contre une surtension éventuelle de

11 l'installation, des tableaux électriques, des équipements de CC dans les autres bâtiments et des équipements de CC dans le même local mais de classement inférieur (E2/NC). L équipement de CC classé E2/NC représente un second îlot basse tension dans les mêmes locaux d'armoires de CC. La propagation de surtension d une autre division ou d un autre bâtiment sera évitée grâce à un isolement électrique. Cet isolement est réalisé par : L utilisation d opto-coupleurs, de modules d isolement ou de câble en fibres optiques dans le cas des connexions câblées, L utilisation de fibres optiques dans le cas des connexions par bus. Des barrières résistantes au feu pendant 120 minutes suivant l'etc- F seront installées entre les locaux d'armoires de CC des différents secteurs de feu et entre les gaines techniques et les traversées de câble des différentes divisions. Armoires de CC L'aménagement des locaux d'armoires de CC et des locaux informatiques du BAS prévoit suffisamment d espace pour l ensemble des armoires de CC à installer dans l îlot nucléaire. A l intérieur de ces locaux, les armoires de CC pour le même système de CC sont disposées côte à côte pour former un groupe d armoires. Les exigences concernant l indépendance des différentes lignes de défense et de contrôle d accès pour les différents équipements classés sont remplies. Lors de l installation des différents composants électroniques à l intérieur des armoires, les exigences suivantes concernant l IEM sont a minima prises en compte : Cage blindée et fermée constituée par l armoire elle-même (notamment les portes), Séparation suffisante entre les câbles de CC et les câbles d alimentation basse tension, Liaison du blindage des câbles directement à l entrée du câble dans l armoire sur une barre de blindage, Dispositifs de blindage supplémentaires pour les sources particulières d interférence électromagnétique. Toutes les armoires, pupitres de commandes et panneaux sont liés par leur châssis au ferraillage ou à la structure acier du bâtiment conformément à la chapitre Les armoires des équipements de CC classés E1 sont qualifiées séisme quant au spectre du sol associé. Les armoires des équipements de CC classés E2/NC n auront aucune influence sur les armoires E1 en cas de séisme (pas d'effet missile). Les équipements de CC seront conçus pour répondre aux exigences de dimensionnement suivant leur classement sismique. Cheminement des câbles de CC Le câblage de CC utilise plusieurs connexions réseau indépendantes en plus du câblage conventionnel, notamment pour l interconnexion des différents systèmes de CC. Elles peuvent être décrites comme suit : 1) Niveau 2 connexion réseau Niveau 2 du MCP aux écrans des postes opérateurs. 2) Niveau de communication principal (réseau de tranche) connexions réseau entre les quatre divisions du BAS/BL, les bâtiments diesel, l îlot conventionnel (BLNC), le BAN et le BTE. 3) Les connexions de réseau entre une division du BAS/BL et une autre division, 709 Par exemple, connexions point à point des équipements de CC classés E1 y compris entre les cartes d'e/s vers le panneau conventionnel du MCS. 4) Connexions réseau au sein d une division du BAS/BL. 5) Connexion éventuelle du niveau 0 sur des réseaux spécifiques (réseaux de maintenance par exemple) pour l'exploitation de fonctions hors temps réel en cas d utilisation de technologies "intelligente" pour les capteurs et actionneurs. Tous les câbles entre les armoires à l intérieur des locaux d'armoires de CC passent dans l entrepont de câblage sous ces locaux. Les câbles entre les locaux de CC de divisions différentes ou à partir des locaux de CC vers le procédé sont tirés dans des goulottes de divisions différentes. Les interconnexions de CC entre divisions font appel aux réseaux locaux en fibres optiques sans parties métalliques. Si des câbles en cuivre sont utilisés, il faut s assurer par le biais de dispositifs d isolement qu une agression interne associée à une défaillance unique ne puisse pas causer la perte du CC F1 sur plus de deux divisions. Les câbles de CC de contrôle et de mesure ainsi que les câbles réseau (fibre-optique ou coaxial) doivent être séparés des câbles de basse et moyenne tension conformément aux recommandations du chapitre Un cheminement séparé dans des goulottes ou des gaines métalliques sur des chemins de câble indépendants est requis uniquement pour les signaux de détection du flux neutronique et du rayonnement. Les signaux F1 alloués dans des divisions différentes, ne passent pas par le même câble, la même sous-distribution ou la même traversée électrique et sont protégés contre la propagation d une agression interne. Ils n'utilisent pas le même boîtier de raccordement ou le même câble que les signaux F2/NC ou sont distinctement séparés l un de l autre au moins sur les principaux cheminements. Le câblage vers la SdC concerne principalement les câbles de raccordement au panneau conventionnel du MCS qui cheminent par les locaux électroniques au travers de goulottes / Chemins de câbles dédiés à chaque division. Le câblage des unités de traitement du MCP (situés en divisions 1 et 4) vers la SdC et la Station de Repli est séparé par division grâce à des goulottes de câbles indépendantes afin de faire face aux agressions internes. Des câbles de CC conventionnels blindés mis à la terre sont utilisés entre le niveau 1 et le niveau 0. Le concept de mise à la terre, basé sur une boucle de terre autour de chaque bâtiment et un réseau maillé connecté aux équipements de CC entre les bâtiments comprend une protection contre la foudre conformément au chapitre Du câble à fibres optiques est utilisé comme moyen de transmission dans les applications où une insensibilité aux interférences électriques ou électromagnétiques, une isolation galvanique entre systèmes ou divisions et une longueur de bus jusqu à 2000 m sont requis. Grâce à l'utilisation de plusieurs réseaux les applications peuvent être raccordées par des passerelles, des routeurs ou des switches. Des moyens de séparation sont utilisés pour les réseaux locaux à fibres optiques d interconnexion traversant une division avec forte concentration de données (par exemple le réseau de tranche ou le réseau de niveau 2). Les réseaux locaux sont tolérants à une défaillance unique (réseau local redondant ou bus en anneau) afin d obtenir un haut niveau de fiabilité pour la transmission de données et seront disposés dans différents chemins de câble afin de faire face aux agressions internes. 3. PRINCIPES DE QUALIFICATION DES DIFFERENTS EQUIPEMENTS ET SYSTEMES DE CONTROLE-COMMANDE 3.1. INTRODUCTION Définition de l'appréciation Jugement basé sur la preuve de l aptitude des éléments de CC à remplir une mission particulière ou un type de missions. Définition de l Evaluation Attribution d une valeur qualitative ou quantitative aux caractéristiques d un système. Définition de la Qualification La qualification du CC est le processus par lequel on s'assure qu un élément de CC est capable de répondre en permanence aux exigences de conception en matière de performances requises pour la sûreté dans les conditions d environnement existantes au moment où l on en a besoin. 7.2

12 L élément de CC est défini comme étant un composant de CC unique ou un système de CC. La qualification de CC couvre à la fois les matériels et logiciels de CC. Le terme Elément de CC englobe à la fois : Les composants de CC pouvant être configurés sur un système de CC conformément aux spécifications du système de CC, Les systèmes de CC supportant les fonctions de CC tel que précisé dans spécifications fonctionnelles de CC. Selon la définition ci-dessus : La qualification ne concerne que les éléments de CC participant au support des fonctions classées de sûreté F1A, F1B et F2. La qualification nécessite une évaluation par étapes de l élément de CC suivant le classement du système ou de l équipement de CC. La qualification doit être maintenue sur toute la durée de vie de l élément de CC. Le cycle de vie : Démarre avec la spécification et la sélection des éléments de CC, Se poursuit avec l exploitation, la maintenance et éventuellement la modification et la rénovation de l élément de CC, Se termine lorsque la fonction sûreté à laquelle participe l élément de CC n est plus requise. La qualification nécessite : En donnée d'entrée, l appréciation et l évaluation de l aptitude de l élément de CC sélectionné. Ceci est basé sur la comparaison entre les caractéristiques de l élément de CC et le cahier des spécifications techniques de l élément de CC ; L évaluation et l'appréciation de la conformité de l élément de CC aux spécifications de l élément de CC ; Une appréciation finale pour assurer que les systèmes élémentaires sont à même de répondre aux exigences des fonctions de sûreté QUALIFICATION ET CYCLE DE VIE Une étude de la faisabilité de la qualification de l élément de CC définit les principaux concepts et étapes du processus de qualification et démontre que : La qualification est faisable dans le contexte des exigences du classement de l'équipement à laquelle appartient l élément de CC, Les exigences qui doivent être appréciées seront vérifiées par un processus limité d un bon rapport coût / efficacité par une personne ou une machine, Tout développement nouveau répond aux exigences de sûreté dès le départ, La qualification peut être maintenue aussi longtemps que la fonction de sûreté à laquelle participe l élément de CC est nécessaire. Un plan de qualification définit les principales étapes de la qualification de l élément de CC sur la base de la faisabilité de la qualification. Suivant le stade du cycle de vie de l élément de CC : Une appréciation de conformité garantit que l élément de CC répond aux spécifications des éléments de CC. Elle termine la phase de conception et permet l'implémentation de l élément de CC au niveau de la tranche ; Une appréciation finale garantit qu après son installation et sa mise en service, l élément de CC supportent les fonctions de sûreté comme requis par les exigences des fonctions de sûreté ; Lors de l exploitation et de la rénovation, l'élément de CC est maintenu en état qualifié pour poursuivre son exploitation (cf. 7.2 FIG 8) Qualification de l élément de CC lors de la spécification, de la conception et la mise en œuvre La spécification de l'élément de CC est évaluée et appréciée pour s'assurer qu'elle répond au cahier des charges. L évaluation et l'appréciation démontrent qu un élément de CC est conforme à son cahier des charges. Lors de la phase de spécification et de sélection d un élément de CC, le concepteur sélectionne soit un élément de CC pré-existant ou développe un nouvel élément de CC apte à assurer les fonctions de sûreté. L élément de CC peut être un composant de CC unique ou une famille d équipements dont les composants de CC peuvent être configurés pour réaliser les différents types de fonctions de CC (fonctions d application typiques). Données d entrée de l appréciation et l évaluation d aptitude Avant l acceptation de la spécification de l élément de CC, l étude d aptitude évalue et apprécie la conformité des spécifications de l élément de CC au cahier des charges. Si des éléments pré-existants sont choisis, la documentation d évaluation de la conformité des éléments pré-existants doit être prise en compte pour faciliter le processus de qualification. Appréciation et évaluation de conformité Sur la base de l appréciation d aptitude, un plan de qualification est établi et mis en oeuvre afin d apprécier et évaluer la conformité des caractéristiques de l élément de CC à sa spécification. La personne réalisant l évaluation ainsi que le concepteur doivent se mettre d accord sur les plans de qualification afin de limiter l analyse et les tests à mettre en œuvre à l étendue définie par les critères d acceptation pertinents. Le plan de qualification définit les sujets de la qualification relatifs à la sûreté pour les systèmes et composants de CC pour lesquels la conformité sera évaluée et appréciée. Il s agit : Des caractéristiques spécifiées des composants et configurations de l élément de CC (c est à dire : fonctionnalité, performance, fiabilité, tolérance aux pannes,..), Les facteurs d influence (conditions d environnement tels que température, champs électromagnétiques) sous lesquels la conformité devra être démontrée, Les caractéristiques du logiciel du système de CC (éléments informatiques), Les caractéristiques spécifiées des fonctions spécifiques à la tranche (c est à dire les fonctions d application de la tranche, les fonctions de service spécifiques,...). Le plan de qualification : Identifie la documentation de qualification pré-existante, Identifie les spécifications et la documentation de CC sur lesquels porte la qualification. Le plan de qualification établit : Les principes pour l'évaluation des caractéristiques des composants et configurations de l élément de contrôle-commande (essais types, analyse,...), L approche de l évaluation des caractéristiques du logiciel du système de CC, L approche de l évaluation des caractéristiques des fonctions spécifiques à la tranche (logiciel d application). Le plan de qualification : Définit les critères d acceptation des tests et séquences de test, Définit les critères d acceptation pour l'analyse, Indique si l acceptation sera basée sur des chiffres quantitatifs ou un jugement qualitatif, Définit la documentation à produire pour chaque caractéristique à qualifier. L appréciation de conformité est basée sur l analyse des résultats. Le plan de qualification comprend la qualification des équipements de CC (paragraphe 3.5) et la qualification spécifique de CC (paragraphe 3.6)

13 Appréciation finale Les contrôles d installation et essais de mise en service démontrent que l élément de CC s intègre de manière fonctionnelle au sein du système de CC et fonctionne avec l équipement contrôlé conformément aux exigences des fonctions de sûreté. L appréciation finale démontre que l ensemble des éléments de CC sont capables de répondre en permanence aux exigences de conception en matière de performances requises pour la tâche de sûreté dans les conditions d environnement existantes au moment où l on en a besoin Maintien de la qualification La qualification doit être maintenue pendant la durée de vie opérationnelle du système de CC dans les cas suivants : Modifications de la configuration matérielle du système de CC, Remplacement de matériel / logiciel du système de CC, Modifications et extensions du logiciel d application, Modifications des outils s ils sont utilisés pour les évaluations lors de la qualification, Modification des interfaces PROCESSUS DE QUALIFICATION Le système de CC de l EPR est composé de systèmes de CC faisant appel dans la mesure du possible à des familles d équipements configurables pré-existants. Le processus de qualification de ces systèmes de CC évalue et apprécie : Les caractéristiques générales (non spécifiques à la tranche) du système de CC, La majorité des caractéristiques générales du système de CC sont couvertes par les évaluations et les appréciations pré-existantes de la famille d équipements (cf. paragraphe 3.2.1). Les caractéristiques du système de CC spécifiques à la tranche. Si une famille d équipement est utilisée, et que ses caractéristiques ont été appréciées pour un fonctionnement dans des conditions identiques ou plus sévères, seules l appréciation et l évaluation des caractéristiques spécifiques à la tranche seront réalisées. La qualification est illustrée à la figure 7.2 FIG Analyse et évaluation non spécifique à la tranche Les appréciations et évaluations non spécifiques à la tranche concernent l utilisation des composants de CC et des configurations de base de la famille d équipements. Les configurations de base sont des systèmes de CC construits à partir de composants de CC d une famille d équipements qui fonctionnent ensemble dans des architectures pré-définies. Ces architectures sont représentatives de la configuration autorisée pouvant être construite avec la famille d équipements. L appréciation et l évaluation des : Caractéristiques des composants et des configurations de base de la famille d équipements, Caractéristiques du logiciel système de la famille d équipements (c est-à-dire l évaluation de l assurance que le système fonctionnera tel que spécifié), Caractéristiques des outils de la famille d équipements, donnent l assurance que les composants de la famille d équipements : Remplissent leur rôle tel que défini dans le cahier des charges des composants, Fonctionnent ensemble dans toutes les configurations autorisées tel que défini dans le cahier des charges de la famille d équipements Qualification spécifique à la tranche L appréciation et l évaluation spécifiques à la tranche donnent l assurance que les caractéristiques de la famille d équipements permettent de construire les systèmes de CC conformément à leurs spécifications, c est-à-dire les appréciations pré-existantes des caractéristiques générales de la famille d équipements donnent l assurance que : Les configurations envisagées des systèmes de CC font partie des configurations autorisées de la famille d équipements, Les composants de la famille d équipements fonctionnent ensemble dans les configurations autorisées tel que spécifié Documentation de la famille d équipements La documentation définit les caractéristiques de l ensemble des composants de CC et des configurations autorisées de la famille d équipements. Elle doit permettre de déterminer : L intégrité et de la performance de sûreté pouvant être atteints pour les fonctions d application de la tranche dans la(es) configuration(s) envisagée(s), le comportement fonctionnel et les performances lors de conditions pré-définies (normales et anormales), l influence de fonctions et de composants non soumis à la qualification. Les composants de CC et les configurations autorisées déjà soumis à la qualification doivent être identifiés de manière explicite par la documentation de la famille d équipements PRINCIPES DE QUALIFICATION La qualification d un élément de CC peut être réalisée au travers : D essais, D analyses, D expérience opérationnelle. Ces possibilités peuvent être utilisées individuellement ou en association selon les caractéristiques de l élément de CC concerné Essais Il existe deux sortes d essais : les essais types et les essais spécifiques à la tranche. Les essais types sont réalisés indépendamment de l utilisation envisagée de l élément de CC sur la tranche. Les essais spécifiques sont réalisés pour démontrer que les éléments de CC répondent aux caractéristiques spécifiques à la tranche. Essais Types Les essais types sont réalisés sur un échantillon d éléments de CC de même conception. Les essais types d équipements de CC mettant en oeuvre les conditions simulées de l environnement sont la méthode privilégiée pour démontrer que les caractéristiques de l échantillon sont conformes aux caractéristiques de l élément de CC même lorsque soumis aux facteurs d influence sous lesquels ceux-ci doivent pouvoir remplir leur rôle. Normalement les essais types sont réalisés lors d une qualification non spécifique à la tranche. Essais spécifiques à la tranche Les essais spécifiques sont réalisés en complément des essais types afin de couvrir l utilisation spécifique sur la tranche de l élément de CC. Les essais spécifiques peuvent être réalisés la plupart du temps dans l usine du fabricant et ils sont complétés par les essais de mise en service sur site Analyse L analyse intervient dans quasiment toutes les étapes du processus 7.2

14 de qualification. Ci-dessous quelques exemples d application de l analyse. L étude du cahier des charges de l élément de CC sert de base à la définition du plan de qualification. En particulier, l analyse est la méthode de base pour l évaluation du développement matériel et logiciel c est-à-dire que cette analyse évalue la conception matérielle et logicielle, les essais des composants, la vérification/validation et la documentation. L analyse (par exemple : analyse des effets de défaillances, analyse de charge critique ) est appropriée pour l évaluation des caractéristiques qui ne peuvent pas être évaluées par les essais. L étude des résultats des essais types et l analyse suivant les critères d acceptation entraîne l évaluation de conformité des caractéristiques soumis aux tests types Retour d expérience Un élément de CC conventionnel (par opposition à un élément informatisé) qui a déjà été mis en service avec succès peut être qualifié pour un service égal ou moins sévère (c est-à-dire avec des conditions de fonctionnement moins sévères pour l élément de CC avec un rôle fonctionnel similaire) sur la base de son retour d expérience opérationnel. Le retour d expérience opérationnel peut également participer à l évaluation de la qualité des éléments pré-existants y compris les logiciels. Le retour d expérience opérationnel sera évalué sur la base : Du temps de service cumulé de l élément de CC pré-existant, De l historique des rapports d erreur et des modifications de l élément de CC pré-existant. Le retour d expérience nécessite une collecte précise des données archivées ci-dessus y compris [les données concernant une] utilisation similaire. La traçabilité de documentation nécessite l intervention en amont des fournisseurs et utilisateurs QUALIFICATION DE L EQUIPEMENT La qualification de l équipement est de préférence réalisée par des essais. Les essais types doivent démontrer la conformité des composants et des configurations prévues au cahier des charges s ils sont soumis aux conditions d influence. Certaines caractéristiques des composants ne peuvent être appréciées et évaluées que si elles sont intégrées dans des configurations. Ainsi des configurations d essais des composants sont utilisées pour apprécier et évaluer les caractéristiques des composants. Des logiciels de test spécifiques peuvent être mis en oeuvre dans les configurations d essai afin de faciliter la démonstration que les éléments réalisent correctement leurs tâches lors de l essai (pour les tests d IEM et sismiques). Dans la plupart des cas, des appréciations et évaluations des composants et des configurations d essai de la famille d équipements sélectionnée existent déjà. Ces évaluations pré-existantes sont analysées pour déterminer si les configurations d essai couvrent les caractéristiques spécifiées des configurations autorisées de la famille d équipements (disposition de fixation, distribution de charge et de température à l intérieur des armoires, fonctions d application fonctionnant lors des essais d IEM et sismiques...). Des essais spécifiques à la tranche supplémentaires peuvent être nécessaires suivant les résultats de cette analyse QUALIFICATION SPECIFIQUE POUR SYSTEMES DE CC Cette partie couvre les appréciations et évaluations complémentaires à celles traitées au paragraphe 3.5. Elle concerne les systèmes de CC informatiques construits à partir de familles d équipements représentant les cas les plus complets et les plus répandus. La qualification des systèmes de CC conventionnels peut être déduite de cette partie. Le plan de qualification établit une distinction entre les différentes caractéristiques des systèmes, logiciels et outils (cf. 7.2 FIG 10). Le plan de qualification se réfère le plus possible aux évaluations préexistantes pouvant être appréciées lors d une étape de qualification non spécifique à la tranche. Les évaluations non spécifiques à la tranche concernent : 1) Les caractéristiques des composants et configurations envisagées, 2) Les caractéristiques du logiciel système, Elles couvrent par exemple : Les logiciels opérationnels, Les bibliothèques de logiciels d application, Les logiciels de test système, Les caractéristiques de fonctionnement (fonctions de service, autotest, modes de fonctionnement...). 3) Les caractéristiques des outils, utilisées, par exemple pour : La Configuration, La Mise en oeuvre. Cependant, des évaluations supplémentaires doivent être appréciées pour démontrer que le système de CC est conforme au cahier des charges du système de CC. Les analyses spécifiques à la tranche couvrent : 4) Les caractéristiques du logiciel d application, 5) Les caractéristiques du matériel et logiciel système intégrés et configurés, 6) Les caractéristiques du système de CC dans son ensemble. Les caractéristiques suivantes sont pris en compte lors de l établissement du plan de qualification et sont appréciées et évaluées pour assurer qu elles sont conformes aux spécifications du système de CC Caractéristiques des composants et configurations envisagées Si le plan de qualification exige l appréciation et l évaluation des caractéristiques des systèmes de CC, les évaluations pré-existantes des caractéristiques de la famille d équipements sont analysées pour déterminer si les composants et les configurations autorisées couvrent les caractéristiques spécifiques du système de CC. Le niveau d appréciation et d évaluation dépend de la classe de l équipement du système de CC : Les caractéristiques des fonctionnalités sont liées aux différents types de fonctions d application pouvant être remplies par le système de CC. Afin de démontrer que le système de CC est capable de remplir les fonctions d application spécifiées, les caractéristiques des fonctionnalités sont appréciées et évaluées. Les caractéristiques de performance sont liées à la vitesse et à la précision avec lesquelles le système de CC exécute les fonctions d application. Ces caractéristiques peuvent être évaluées en même temps que les caractéristiques des fonctionnalités puisqu une évaluation indépendante est dans de nombreux cas impossible. Les caractéristiques d intégrité de la sûreté sont liées à la fiabilité du système de CC. Ceci dépend de : - La fiabilité du matériel du système de CC qui peut être calculée sur la base des données relatives à la fiabilité des composants et de l architecture du système de CC, - L intégrité de la sûreté du logiciel pouvant être évaluée par une

15 analyse qualitative du processus de développement afin de démontrer un niveau suffisant de confiance dans le logiciel Caractéristiques du logiciel système L évaluation de la confiance dans le logiciel système est particulièrement importante pour l appréciation de l intégrité de sûreté atteignable pour les fonctions d application spécifiées. Le logiciel système doit être cohérent par rapport à l intégrité de sûreté estimée sur la base de la fiabilité du matériel système. L analyse de la confiance du logiciel système est fortement liée au processus de développement. Le développement suit des exigences par étapes pour les classes d équipement E1A, E1B et E2. Ces exigences concernent par exemple : La conception architecturale matérielle et logicielle, Le processus de développement, Le processus de vérification et de validation, L utilisation appropriée des composants du marché fournis par d autres fabricants (processeurs fabriqués par Intel, Motorola,...), Des tests de validation complémentaires. L évaluation de la confiance est basée sur une analyse de la documentation de développement. L analyse vérifie : Le contenu de la documentation, Que le processus de développement suit des phases bien définies, Que les résultats de chaque phase sont vérifiés par une analyse ou des essais, Que le logiciel est validé après intégration dans le matériel. Les systèmes de CC construits à partir de familles d équipement représentent les cas les plus complets et les plus courants. Ainsi, cette évaluation est réalisée en analysant la documentation de la famille d équipements. Les évaluations pré-existantes sont utilisées pour l appréciation de la confiance que l on peut avoir dans le logiciel système. Gradation des exigences L appréciation et l évaluation de la confiance dans les composants du logiciel système dépendent de la classe d équipements. Les critères de gradation pour les différentes classes d équipement individuelles suivent les différentes exigences du cahier des charges des exigences du système. Au sein du logiciel système, il existe des fonctions dont l importance en ce qui concerne l exécution des fonctions d application diffère. Un niveau de confiance gradué au sein de chaque classe d équipement est apprécié. Les critères peuvent se décliner comme suit : Le niveau de confiance le plus élevé est apprécié pour les fonctions dont le résultat affecte directement les fonctions d application (par exemple, bibliothèque de logiciels d application, traitement des exceptions dans le cas d erreurs,..). Un niveau de confiance réduit est apprécié pour : - Les fonctions conçues pour que leurs résultats soient vérifiés hors ligne, - Les fonctions opérationnelles dont le résultat n affecte pas les fonctions d application - Les fonctions opérationnelles dont le résultat n a qu une influence indirecte sur l exploitation de la tranche (c est-à-dire production de messages ou de signaux pour le diagnostic de l état des équipements, enregistrement des données, modification des paramètres, réalisation des essais périodiques), L appréciation de la confiance n est pas requise pour les fonctions qui ne sont pas utilisées dans la mesure où elles ne remettent pas en cause la confiance dans le logiciel système Appréciation et évaluation des outils de systèmes de CC L appréciation et l évaluation des outils dépendent : De la tâche supportée par l outil (transformation de code source en code exécutable, vérification et validation du logiciel d application, service, configuration matérielle), Des conséquences des erreurs éventuelles introduites par les outils, De ce que peuvent détecter les vérifications ou des erreurs introduites par un outil. Les outils qui ont une influence sur l intégrité de sûreté des fonctions de sûreté (notamment le code exécutable correspondant) sont identifiés par le plan de qualification. Une appréciation et une évaluation de ces outils sont nécessaires si toutes les conditions ci-dessous sont vraies : La sortie outil peut directement injecter, induire une erreur dans le code exécutable, La sortie outil n est pas systématiquement vérifiée, Un processus et des méthodes de développement alternatifs n existent pas pour atténuer les conséquences d erreurs induites par les outils, L outil ne possède pas un important retour d expérience opérationnel en conditions d utilisation similaires Appréciation et évaluation du logiciel d application L évaluation de la confiance que procure le logiciel d application vérifie : Que le logiciel d application est développé par étapes prédéfinies, Que les étapes de vérification et de validation sont intégrées au processus de développement du logiciel d application. Normalement, le logiciel d application est spécifié et développé à partir de diagrammes fonctionnels. Le code exécutable est généré automatiquement à partir de ces diagrammes. L ensemble du processus de développement est sous-tendu par des outils du système de CC. A partir du diagramme fonctionnel, la spécification du logiciel d application est réalisée sur la base de bibliothèques de logiciels d application réutilisables qualifiées. La représentation de la base de données du logiciel d application constitue le point de départ de la génération automatique du code du système de CC informatisé. Cette manière de spécifier le logiciel d application facilite l évaluation de la confiance puisque le cahier des charges du logiciel d application peut être vérifié par les ingénieurs processus. Cette manière de génération du logiciel d application est recommandée pour toutes les classes de système de CC Appréciation et évaluation des configurations spécifiques à la tranche De nombreuses caractéristiques du système de CC dépendent également des configurations, du fonctionnement et des procédures de maintenance spécifiques à la tranche. La conformité des configurations spécifiques à la tranche avec les exigences de conception générale du RCC-E (cf. chapitre 1.6) est appréciée et évaluée Intégration et validation du logiciel d application dans le système de CC Avant l installation du système de CC sur la tranche, le logiciel d application est validé après intégration du code exécutable dans le système de CC par l utilisation des installations d essais hors site. L appréciation et l évaluation démontrent que la validation est réalisée et documentée conformément au plan de validation du système de CC

16 Cliquez pour voir : 7.2 Tab 1 : Allocation des catégories de fonctions aux systèmes 7.2 Fig 1 : Architecture fonctionnelle de CC 7.2 Fig 2 : Allocation des fonctions du pacs 7.2 Fig 3 : Structure et communication au niveau Fig 4 : Exploitation normale 7.2 Fig 5 : Exploitation durant la mitigation d accident avec l'ensemble des systèmes de CC disponibles 7.2 Fig 6 : Exploitation avec systèmes de CC de sureté f1 uniquement 7.2 Fig 7 : Conduite à la station de repli 7.2 Fig 8 : Qualification et cycle de vie de l élément de CC 7.2 Fig 10 : Principes de contrôle commande accidents graves

17 sous chapitre EXIGENCES DE SURETE Fonctions de sûreté Le système de protection doit contribuer aux fonctions de sûreté suivantes : Maîtrise de la réactivité, Evacuation de la puissance résiduelle, Limitation des rejets radioactifs à la limite du site à un niveau acceptable. En contrôlant, après un événement PCC-2, 3 ou 4 ainsi que RRC-A, l'arrêt automatique du réacteur et le démarrage des systèmes de sauvegarde. De plus le PS contribue au maintien de l intégrité du circuit de refroidissement primaire Critères fonctionnels Le système de protection doit mettre en œuvre la sollicitation à court terme des système de sûreté qui sont nécessaire pour limiter les conséquences des accidents de condition PCC-2, 3 ou 4. Le PS doit être conçu de telle sorte que : Il permette de vérifier les critères de sûreté des transitoires Il permette d'atteindre l'état contrôlé Ce système doit également remplir des fonctions similaires en cas d'événement RRC-A Maîtrise de la réactivité L arrêt automatique du réacteur (chute des grappes de commande), ainsi que le circuit d injection de sécurité doivent, le cas échéant, permettre au réacteur d'atteindre la sous criticité requise dans les états contrôlés pour les conditions d accident PCC 2 à 4. Pour les événements RRC-A, le PS doit accomplir toutes les fonctions de sûreté à court terme requises dans la définition du transitoire Evacuation de la puissance résiduelle Si les conditions thermohydrauliques l exigent, le système de protection doit permettre le déclenchement des systèmes de sauvegarde (soit par injection de sécurité basse pression dans le circuit primaire, soit par refroidissement partiel du circuit secondaire ou par démarrage de l'asg) Confinement des substances radioactives Le système de protection doit démarrer en temps voulu les systèmes destinés à éviter de dépasser les limites de spécification du combustible, pour n'importe quel événement PCC 2 à 4 et RRC-A. Le système de protection doit permettre de détecter les situations accidentelles susceptibles de mettre en péril l'intégrité du circuit primaire. Dans la plupart des cas, l'arrêt automatique du réacteur, associé à des dispositifs de sauvegarde agissant par limitation directe de la pression permet de garantir cette intégrité. S'il y a un risque de rupture fragile de la cuve, le système de protection doit limiter l'accroissement de pression dans le circuit primaire. Par ailleurs, le système d isolement de l enceinte devra maintenir à un niveau acceptable les rejets radioactifs consécutifs à des accidents où l intégrité du circuit de refroidissement primaire est perdue Exigences de conception LES SYSTÈMES DE CONTROLE COMMANDE CLASSES F1 1. ARCHITECTURE DU SYSTEME DE PROTECTION (PS) Exigences résultant du classement sûreté Classement sûreté Le système de protection doit faire l objet d un classement de sûreté conformément aux principes présentés au chapitre Critère de défaillance unique (active et passive) La défaillance unique doit s'appliquer au niveau du système. En conséquence le système de protection doit être constitué de trains redondants susceptibles d'assurer les fonctions de sûreté malgré la perte d'un train. Les trains de protection redondants doivent être localisées dans des divisions séparées de manière à prévenir une défaillance de cause commune en cas d'agression interne ou externe affectant une division. Le découplage électrique doit être assuré entre les trains redondants. Les fonctions support doivent être autant que possible indépendantes. Chaque train redondant est alimenté électriquement par sa propre source secourue. Les fonctions F1A doivent être assurées malgré l'application du critère de défaillance unique cumulée à la maintenance préventive ou aux tests périodiques Alimentations électriques secourues Comme pour les autres systèmes de sûreté, l alimentation électrique des équipements redondants du système de protection doit être secourue par diesels, de façon à ce que leur fonction de sûreté soit assurée même en cas de perte de tension réseau. De plus, le système de protection doit être alimenté par une alimentation électrique de tension adéquate et non interruptible afin de garantir la continuité des fonctions de sûreté en cas de perte de tension réseau Qualification aux conditions de fonctionnement Les équipements assurant les fonctions de sûreté du PS doivent être qualifiés aux conditions d'ambiance pour lesquelles leur fonctionnement est requis. Les composants assurant des fonctions F1 doivent être qualifiés selon les règles présentées au chapitre Classement des équipements mécaniques, électriques et de contrôle-commande Le classement mécanique n'est pas applicable au système de protection. Les équipements électriques et de contrôle commande doivent être classés conformément aux principes de classement présentés au chapitre Classement sismique Le système de protection doit faire l objet d un classement sismique conformément aux principes de classement présentés au chapitre 3.2. Le dimensionnement est défini de manière à garantir que les fonctions de sûreté des systèmes et composants nécessaires à l'atteinte d'un état sûr ne sont pas affectées par un séisme de dimensionnement Autres exigences réglementaires Textes officiels Le document général "Options de Sûreté du projet de réacteur EPR" (lettre DGSNR/SD2/0729/2004) est applicable au système de protection Règle fondamentale de sûreté L'application des RFS est présentée au chapitre 1.7. Les Règles fondamentales de sûreté suivantes sont applicables au système de protection de l EPR. II.4.1.a "Logiciel des systèmes électriques classés de sûreté" IV.2.b "Exigences à prendre en compte dans la conception, la qualification, la mise en œuvre et l'exploitation des matériels

18 électriques appartenant aux systèmes électriques classés de sûreté" Directives techniques En plus des exigences générales indiquées au chapitre A.1 "approche générale de la sûreté", les exigences applicables au PS sont présentées aux sections A.2.2 (redondance et diversité dans les systèmes de sûreté), B (systèmes de sûreté informatisés) et G3 (conception des dispositifs de contrôle-commande), cf. chapitre Règles de conception électriques Les règles de conception pour les équipements électriques ainsi que les règles spécifiques à appliquer à l'ensemble contrôle-commande sont fournies dans le RCC-E (cf. chapitre 1.6) Agressions Le système de protection doit être protégé contre les risques de défaillance de mode commun résultant d'agression d origine interne ou externe à la centrale Agressions internes Le système de protection doit être protégé contre les agressions internes, conformément au chapitre 3.4. Les systèmes et équipements de Contrôle Commande doivent être conçus de telle manière que : Les fonctions de Contrôle-Commande nécessaires pour atteindre l'état sûr soient disponibles même en cas de défaillance unique et de maintenance préventive dans le système nécessaire, en cas d'une agression interne indépendante des événements PCC-2 à PCC-4 ou RRC ; Les fonctions de Contrôle-Commande F1 nécessaires à la maîtrise des événements PCC-2 soient disponibles même en cas de défaillance unique et de maintenance préventive dans le système nécessaire, en cas d'une agression interne qui peut engendrer un événement PCC Agressions externes Le PS doit être protégé contre les agressions externes, conformément au chapitre 3.3. Pour assurer la protection contre les chutes d avions, deux divisions seront installées dans un bâtiment protégé et les deux autres seront géographiquement séparées afin de limiter les conséquences d une chute à une seule division. Les trains du PS des divisions non détruites doivent être protégés contre tout impact provenant des équipements de la division détruite Essais Essais pré-opérationnels Les essais pré-opérationnels doivent prouver l adéquation de la conception et les performances du système de protection Essais périodiques et inspection en service Les durées de fonctionnement durant lesquelles une dégradation potentielle de la configuration du contrôle commande pourrait survenir (cumul de défaillances), ce qui pourrait conduire à la perte de fonctions de sûreté, sont réduites par la mise en œuvre d'essais périodiques. On procède à des auto-tests et des essais périodiques des fonctions F1 de manière à détecter d'éventuelles défaillances. La fréquence de ces essais est calculée sur la base de la fiabilité attendue des composants testés. Le PS est conçu de manière à permettre les essais périodiques. L implantation et la conception des équipements du système de protection doivent permettre d'assurer les essais du contrôlecommande. Des techniques appropriées doivent être mises en œuvre durant ces essais, de manière à réduire le risque d'action intempestive MISSIONS Le système de protection met en œuvre les fonctions automatiques, manuelle et de surveillances classées F1A. Il met en œuvre également certaines des fonctions F1B, ainsi que certaines fonctions F2 spécifiques au PS. Les fonctions F1A qui sont utilisées après un événement initiateur (PCC 2, 3, 4) pour atteindre l'état contrôlé sont principalement : Le déclenchement automatique de l arrêt automatique du réacteur, La commande automatique des systèmes de sauvegarde et des systèmes auxiliaires associés, La génération de signaux en cas de détection de situations exigeant une action manuelle des opérateurs, Le déclenchement des fonctions de contrôle-commande manuel F1A FONCTIONS SUPPORTEES Fonctions d arrêt automatique du réacteur et de la turbine F Le tableau 7.3 TAB 3 liste les fonctions d arrêt automatique (réacteur et turbine) qui peuvent être exécutées par le système de protection Fonctions de sauvegarde Les tableaux 7.3 TAB 4 et TAB 5 listent les fonctions de sauvegarde qui peuvent être exécutées par le système de protection Fonction des systèmes support aux fonctions de sauvegarde Les tableaux 7.3 TAB 6 et TAB 7 listent les fonctions des systèmes support aux fonctions de sauvegarde BASE DE CONCEPTION Critères de conception Redondance Quand deux fonctions de contrôle-commande classées F1A ont des actions antagonistes sur le même matériel, celle qui a la priorité sur l autre est dite "non explicitement orientée sûreté" (NUSO). Toutes les autres fonctions de contrôle-commande de sûreté sont dites "explicitement orientées sûreté" (USO). La partie F1 du système de protection est conçue de manière à résister à une simple défaillance même pendant la maintenance ou un test périodique. Afin de tolérer une défaillance unique ainsi que la maintenance tout en limitant le plus possible les déclenchements intempestifs, une redondance d'ordre quatre est nécessaire. De plus, les quatre trains de protection doivent être implantés dans des divisons distinctes pour éviter les défaillances dites de mode commun en cas d'agression interne touchant l une des fonctions (une défaillance unique doit être tolérée en plus d'une agression interne). Le degré de redondance des fonctions et des matériels correspondants appartenant aux systèmes mécanique/fluide doit être préservé dans l'association avec le contrôle-commande (par ex. quatre lignes d injection moyenne pression nécessitent quatre trains de contrôle-commande dédiés). Actuellement, le niveau de fiabilité/disponibilité en termes de nondéclenchement à la sollicitation est défini au chapitre Indépendance Selon le RCC-E (cf. chapitre 1.6), trois sortes d indépendance sont prises en compte dans un système de contrôle-commande. L indépendance entre les trains du système de contrôlecommande, L indépendance entre les matériels de classes de sûreté différentes, L indépendance entre les fonctions diversifiées. En plus des exigences relatives aux différentes sortes d indépendance à l intérieur du système de protection, il faut également tenir compte

19 de l indépendance entre le système de protection et les autres systèmes de contrôle-commande Indépendance des quatre trains du système de protection Selon le RCC-E (cf. chapitre 1.6) et pour limiter les conséquences d une défaillance unique sur une fonction redondante touchée, les fonctions redondantes et les matériels associés, y compris leurs systèmes supports (alimentation électrique, par ex.) doivent être indépendants les uns des autres. Cette exigence suppose le respect, au minimum, des mesures suivantes : Le matériel redondant du système de protection doit être physiquement placé dans des divisions différentes ; Des mesures de protection spécifiques doivent être prévues (par ex. mur de protection ou tubage de protection) pour assurer la séparation physique des points de mesure proches les uns des autres ; Pour éviter la propagation des conséquences de l'agression interne d une division à une autre et pour limiter les effets d une défaillance simple aux fonctions redondantes touchées, les interconnexions entre divisions seront limitées le plus possible ; Quand les connexions entre fonctions séparées par les divisions sont nécessaires (par ex. vote majoritaire), la communication des données entre divisions sera découplée électriquement (par ex. fibre optique) et physiquement (par ex. barrières anti-feu) ; Les commandes et informations erronées en provenance d une division perturbée seront ignorées par les divisions non perturbées (par ex. par vote majoritaire) Indépendance entre matériels de différentes classes de sûreté Selon le RCC-E (cf. chapitre 1.6), les matériels de classes de sûreté différentes dans le système de protection doivent être indépendants, de telle sorte qu une défaillance d un équipement de classe inférieure ne perturbe pas les fonctions du matériel de classe supérieure. Cette exigence suppose le respect des mesures suivantes (au minimum) : Pour le système de protection, les connexions entre matériels de classes de sûreté différentes doivent être limitées le plus possible (par ex. limiter l'utilisation commune de mesures et composants) ; L utilisation commune de composants doit autant que possible être évitée. A défaut, le matériel d utilisation commune doit être affecté, classé et conçu en fonction des exigences de la classe la plus élevée ; Les connexions entre matériels E1 et matériels E2 ou NC doivent être électriquement découplées Indépendance entre fonctions diverses Quand la diversité fonctionnelle est requise, un degré d indépendance suffisant doit être atteint. Cette exigence suppose le respect des mesures de conception suivantes : L instrumentation, les unités de traitement et le câblage de chacune des fonctions doivent être séparés ; La diversité du matériel d instrumentation peut être envisagée quand les fonctions diverses utilisent la même grandeur physique (décision au cas par cas) Indépendance entre le système de protection et les autres systèmes de contrôle-commande Le système de protection appartient à la ligne de défense principale. Une indépendance suffisante par rapport aux autres lignes de défense doit être assurée du fait de cette appartenance. Cette exigence suppose le respect des mesures de conception suivantes : Des dispositions doivent être prises pour découpler les connexions entre le système de protection et les systèmes de contrôlecommande classés F2 ou NC. Si des grandeurs physiques communes sont partagées par le système de protection et d autres systèmes de contrôle-commande, des dispositions doivent être prises pour découpler les connexions ; Quand un capteur est utilisé à la fois pour des fonctions de protection et pour des fonctions de régulation, sa défaillance ne doit pas générer de transitoire pour lequel la fonction de protection utilisant ledit capteur doit agir, sauf si cette fonction reste disponible malgré une défaillance supplémentaire combinée à une intervention de maintenance préventive ou un essai périodique (critère de défaillance unique). Dans la pratique, quand un capteur est utilisé pour des fonctions de protection et de régulation, les quatre mesures sont transmises au matériel qui assure les fonctions de régulation et un vote est utilisé pour éliminer le signal défaillant Détection des états dégradés Des mesures appropriées doivent être prises pour détecter et identifier les défaillances qui se produisent, ceci afin d éviter les longues périodes d exploitation dans une configuration de contrôlecommande dégradée qui risque d aboutir à une perte de fonction à la suite d une accumulation de défaillances. C est pourquoi des autotests et des essais périodiques du matériel chargé des fonctions F1 doivent être prévus pour détecter toute défaillance susceptible d empêcher la fonction F1 concernée de jouer son rôle Exigences de disponibilité Déclenchement intempestif en amont du dernier voteur Pour les fonctions F1A, toute défaillance en tout endroit du système de protection en amont du dernier voteur ne doit pas générer d ordre intempestif qui conduirait à un déclenchement intempestif, même pendant une intervention de maintenance ou un essai périodique Déclenchement intempestif en aval du dernier voteur Pour les fonctions F1A, le risque de déclenchement intempestif des actionneurs correspondants à cause des matériels en aval du dernier voteur (celui-ci compris) doit être réduit le plus possible Performances requises Les performances en termes de précision et de temps de réponse découlent des exigences fonctionnelles. Ces performances sont garanties par les principes ci-après Répartition des fonctions Pour respecter la norme CEI 60880, Annexe B, des tâches applicatives ayant des temps de réponse différents ne doivent pas être confiées à la même unité de traitement. Pour limiter la complexité du logiciel, les fonctions doivent être réparties entre plusieurs unités de traitement. S il apparaît que, pour un accident spécifique, deux signaux existants peuvent déclencher l action de protection requise (diversité fonctionnelle), la structure du système de protection doit en tenir compte afin de prévoir des matériels distincts pour la mise en œuvre des différentes chaînes d initiation Communication Selon le RCC-E (cf. chapitre 1.6) C5000, le comportement du système de protection qui supporte les fonctions F1A doit être déterministe. Un système de contrôle-commande est dit déterministe si on peut connaître, par analyse de sa conception, de son architecture et de son implémentation, et avec un grand degré de précision et de certitude, son comportement dans tous les modes d exploitation requis. Le système de transmission de données utilisé dans la partie F1A du système de protection doit avoir un comportement déterministe. Voici une liste de quelques caractéristiques relatives au comportement déterministe d un système : Temps de réponse prédéterminé,

20 Testabilité simple et diagnostic simple des défaillances, Validation simple du logiciel Exigences relatives aux conditions d ambiance Conditions normales Le matériel doit pouvoir fonctionner dans les conditions ambiantes données au chapitre Conditions accidentelles Comme prescrit par le paragraphe , les matériels qui assurent une fonction F1 doivent pouvoir rester opérationnels dans des conditions post-accidentelles. De même, un matériel assurant une fonction F2 doit pouvoir rester opérationnel dans des conditions post-accidentelles Exigences relatives à l interface homme-machine L accès aux unités d affichage vidéo, ordinateurs, claviers, souris, lecteurs de disquettes ou de CD-ROM, disques durs, imprimantes, etc. ayant un lien avec le matériel du système de protection doit être contrôlé par des moyens physiques tels que clés, cartes magnétiques ou à puce, etc. Chaque fois que le travail sur l un de ces matériels est interrompu, le matériel doit être verrouillé de nouveau. Aucun accès immédiat au logiciel du système de protection proprement dit n est possible. Cela signifie que l accès n est possible que par l intermédiaire du matériel d interface utilisé pour les essais, la configuration ou la consultation des données et que le matériel d interface est connecté au système de protection sans qu il soit nécessaire d ouvrir les armoires de contrôle-commande. Le but de cette restriction est de limiter le nombre total d accès physiques nécessaires aux modules électroniques du système de protection. Le matériel d interface est dédié au système de protection auquel il est exclusivement connecté. La déconnexion du matériel d interface n est possible qu après avoir déverrouillé un dispositif de verrouillage spécifique. L accès au logiciel du système de protection est protégé par l intermédiaire d un module de filtrage installé dans le matériel d interface. La gestion des accès est effectuée au niveau du matériel d interface. Elle permet : Le contrôle du nom et du mot de passe personnel des opérateurs, L accès à certaines zones du logiciel du système de protection en fonction du nom de l utilisateur. Il inclut les autorisations de lecture et d écriture, L accès à une ligne unique, Le contrôle des traces automatiques des opérations (traces de l accès et des opérations quand l accès est accordé), Etc. Le logiciel et le matériel du système de protection doivent être conçues de façon à interdire l accès aux zones du logiciel autres que celles nécessaires pour les essais, la configuration et la consultation des données ARCHITECTURE Structure et composition Généralités Le système de protection doit être conçu pour : Limiter la quantité de matériel (cartes électroniques,...) et le nombre de connexions réseau, Garantir le respect des exigences globales de temps de réponse des fonctions, par ex. en limitant la charge des réseaux Structure fonctionnelle Pour ce chapitre, se reporter aux figures 7.3 FIG 2 et FIG 3. Le système de protection exécute quatre types de fonctions F1A : Le déclenchement automatique de l arrêt automatique du réacteur, La commande automatique des fonctions de sauvegarde, La commande des systèmes support Les commandes manuelles F1A (commandes manuelles d AAR). Il accomplit également quelques fonctions F1B, qui sont principalement : Le calcul de la marge de Tsat, Une partie de la surveillance post-accidentelle, avec possibilité de faire la synthèse des informations (réduction de la redondance), La surveillance des valeurs votées dans la partie F1A du PS, La gestion des alarmes relatives au PS, La gestion des commandes manuelles F1B qui agissent sur les dispositifs F1A du PS, La gestion des commandes groupées F1B manuelles, Etc. Les explications qui suivent s appliquent aux quatre divisions de la centrale et aux quatre trains du système de protection Capteur(s) et transmetteur(s) Selon le type de capteurs, les armoires de contrôle-commande assurent l alimentation électrique des capteurs et des modules de découplage si nécessaire, ainsi que le conditionnement requis pour fournir les différents types de signaux normalisés qui peuvent être utilisés par les convertisseurs analogique/numérique (A/N) Acquisition des mesures Convertisseurs A/N : Le système de protection convertit les mesures analogiques en valeurs numériques. Transmission des données : Dans la plupart des cas, après la conversion analogique/numérique, il n y a pas d échange de données entre les quatre trains du système de protection (cf. 7.3 FIG 2). Toutefois, certaines fonctions spécifiques (par ex. fonction de surveillance de la distribution de la puissance à l intérieur du cœur) ont besoin d échanger des valeurs numériques entre les divisions à ce niveau (cf. 7.3 FIG 3). Premier niveau de traitement : Chaque signal est vérifié. En cas de violation de la gamme de mesure ou en cas de détection d une anomalie dans l acquisition, le signal est invalidé pour le traitement. Chaque entrée numérisée est traitée pour produire la valeur physique de la mesure utilisée par le traitement. Les résultats de la numérisation et de la conversion en valeurs physiques sont également transmis à d autres systèmes (cf. 7.3 TAB 4 et TAB 5) et aux équipement de maintenance Traitement des signaux de déclenchement La première étape est la collecte des données provenant du module d acquisition de la division concernée ou, dans certains cas spéciaux, provenant également des trois autres divisions (certaines fonctions ayant besoin des informations des quatre trains, voir le point Transmission des données ci-dessus). Les données numériques sont

21 traitées en fonction des exigences fonctionnelles. La dernière étape du traitement des signaux de déclenchement est la comparaison avec un seuil pour produire une information binaire, appelée signal de déclenchement dans la suite du document, qui indique si le seuil est atteint ou non. Si une anomalie est détectée dans le traitement des signaux de déclenchement, le signal de déclenchement doit être invalidé Traitement des signaux d activation Chaque division collecte les signaux de déclenchement redondants des quatre divisions. Ces signaux sont traités par une logique de vote 2/4 pour produire des ordres de déclenchement. Différents cas sont possibles et sont représentés en 7.3 FIG 5. Cette logique de vote 2/4 doit être conçue pour être dégradée de façon appropriée si un ou plusieurs signaux sont invalidés. Tous les ordres de déclenchement élaborés par les différentes voies de déclenchement sont traités avec les signaux permissifs/verrouillage pour élaborer un signal d activation. Les résultats du votre majoritaire (c est-à-dire l ordre de déclenchement), ainsi que le signal d activation sont également transmis aux autres systèmes (cf. 7.3 TAB 2) et aux équipements de maintenance Traitement des boucles de régulation Cette fonction est spécifique au traitement des boucles de régulation (n'est pas décrit en 7.3 FIG 2), la grandeur physique régulée est acquise par un module d acquisition dans les quatre divisions, puis les valeurs analogiques sont transmises dans une division aux unités dédiées au traitement des boucles de régulation Composition Pour ce chapitre, se reporter aux figures 7.3 FIG 3, FIG 4, et FIG 8. Les figures 7.3 FIG 3, FIG 4, et FIG 8 donnent une idée de "l architecture matérielle". La figure 7.3 FIG 6 donne une idée de la relation entre la "structure fonctionnelle" et "l architecture matérielle" du système de protection. Cette architecture est valable pour les quatre divisions de la centrale. Elle peut être divisée en plusieurs unités, décrites ci-après Unités d acquisition déportées (RAU) Ce type d unité est réservé à l acquisition des mesures et à la transmission de ces mesures aux unités dédiées aux fonctions de traitement dans toutes les divisions. Ces unités assurent la partie acquisition des données de mesure de l architecture fonctionnelle Unités d acquisition et de traitement (APU) Ces unités sont dédiées à la tâche fonctionnelle de traitement des signaux de déclenchement, mais elles sont aussi capables d assurer les tâches fonctionnelles d acquisition des mesures Unités logiques des actionneurs (ALU) Ces unités sont dédiées au traitement des signaux d activation Unités de commande (CU) Ces unités sont dédiées au traitement des boucles de régulation Répartition fonctionnelle Le système de protection met en œuvre deux sortes de fonctions : Des fonctions à trois niveaux qui exigent des échanges de données entre les divisions immédiatement après leur acquisition ; Des fonctions à deux niveaux qui n exigent pas d échange des données des mesures acquises. Dans le cas des fonctions à trois niveaux, la structure fonctionnelle sera implémentée dans les unités suivantes : Acquisition des mesures assurée par l unité d acquisition ; Traitement des signaux de déclenchement assuré par les unités d acquisition et de traitement ; Traitement des signaux d activation assuré par les unités logiques des actionneurs. Dans le cas des fonctions à deux niveaux, la structure fonctionnelle sera implémentée dans les unités suivantes : Acquisition des mesures assurée par les unités d acquisition et de traitement ; Traitement des signaux de déclenchement assuré par les unités d acquisition et de traitement ; Traitement des signaux d activation assuré par les unités logiques des actionneurs. Dans le cas des fonctions NUSO des systèmes support (par ex. séquence de délestage), la totalité de la structure fonctionnelle décrite en 7.3 FIG 2 doit être implémentée dans l APU. Pour des raisons de sûreté et de disponibilité, le traitement sera effectué trois fois dans trois APU de chaque division (cf. 7.3 FIG 6). L ordre sera ensuite transmis au PACS par un module de vote câblé en 2 sur 3. Les autres fonctions du système support doivent être conçues comme des fonctions classiques de système de sauvegarde (cf. 7.3 FIG 6). Dans le cas de fonctions de régulation, la partie acquisition des données de mesure est assurée par une APU dans chaque soussystème. Tout le reste de la structure fonctionnelle est implémenté dans la CU (cf. 7.3 FIG 6). La vanne réglante est pilotée par un dispositif dit "Maître / esclave" qui intègre les deux CU Description générale Pour tirer parti de l existence de deux signaux pour une action de sûreté donnée, la partie F1A du système de protection est organisée en deux sous-systèmes indépendants (cf. 7.3 FIG 3). Les données des capteurs seront acquises par la RAU ou l APU du sous-système A ou B. Pour certains cas spéciaux, les données d un capteur peuvent être acquises par les deux sous-systèmes (cf. 7.3 FIG 4). Les actionneurs peuvent être commandés soit par le sous-système A, soit par le sous-système B, soit par les deux (cf. 7.3 FIG 4). L arrêt automatique du réacteur : est commandé au niveau de l ALU du sous-système A, est commandé au niveau de l ALU du sous-système B. Les systèmes de sauvegarde sont commandés au niveau de l ALU du sous-système A ou B. Les fonctions NUSO des systèmes support sont commandées au niveau de l APU des sous-systèmes A et B. Les fonctions USO des systèmes support sont commandées au niveau de l ALU du sous-système B. La partie F1B du système de protection est composée de plusieurs unités dédiées à : La gestion du MCS (unité appelée moyen de conduite de secours), La gestion du transfert des informations (unité appelée MSI),. Dans chaque division, ces trois types d unités sont connectés les unes aux autres par réseaux. De plus, les panneaux d interface des divisions 2 et 3 doivent être connectés aux quatre unités MSI pour permettre la synthèse des informations. Les unités qui assurent la gestion du transfert des informations (MSI) assureront l interface avec les matériels moins classés : Interface avec le RCSL dans les quatre divisions, Passerelles situées dans les divisions 1 et 4, Unité de maintenance qui supporte l'ihm du PS pour les essais, le diagnostic et la maintenance Implantation Afin de respecter les exigences de séparation géographique, les quatre trains du système de protection et le matériel électrique de contrôle-commande sont installés à l intérieur des quatre bâtiments de sauvegarde. Par conséquent, le matériel de contrôle-commande du système de protection est disposé dans les locaux des armoires de contrôle-commande des bâtiments de sauvegarde BAS1 à BAS

22 Interface avec le reste du contrôlecommande Le système de protection est implémenté au niveau 1 de la structure des automatismes. Ses interfaces et ses liens avec les autres systèmes des niveaux 0, 1 et 2 sont représentés dans la figure 7.3 FIG 1. La description qui suit se rapporte à cette figure ENTREE Le système de protection reçoit des commandes manuelles du MCP, ainsi que du MCS pour reseter certaines actions déclenchées automatiquement par le système de protection ou pour démarrer certaines actions de protection. Le système de protection acquiert des données (analogiques, binaires, ) issues de signaux émis par les systèmes d instrumentation ou issues de fin de course. Le système de protection échange les informations nécessaires pour la mise en service, la maintenance et les essais périodiques avec le local de maintenance. Le tableau 7.3 TAB 1 donne un aperçu des informations fournies par les autres systèmes de contrôle-commande au système de protection (PS) SORTIE Le système de protection (PS) fournit des informations au MCS et au MCP. Le système de protection (PS) fournit au système de gestion des priorités des commandes des actionneurs (PACS) les signaux de commande visant à modifier la position des actionneurs. Le système de protection PS transmet des ordres aux actionneurs d arrêt automatique du réacteur (disjoncteurs et contacteurs) pour la réalisation de l AAR. Le système de protection fournit des informations au système de contrôle, de surveillance, et de limitation du réacteur (RCSL), à l'automate de tranche (PAS), et à l'automate de sûreté (SAS). Le tableau 7.3 TAB 2 donne un aperçu des données du système de protection à destination des autres systèmes de contrôle-commande MODES DE FONCTIONNEMENT Le système de protection (PS) est composé d un ensemble d unités (APU, ALU, etc.) dont l élément principal est une CPU. La description suivante concerne le mode de fonctionnement des unités. La figure 7.3 FIG 7 donne des détails sur les modes de fonctionnement et leurs interactions. Les modes de fonctionnement d une unité sont les suivants : Démarrage : au démarrage du processeur, les multiples étapes d une routine d initialisation sont exécutées. Dans un premier temps, un contrôleur d'amorçage bas niveau commande l initialisation du matériel et déclenche une série complète d autotests de démarrage. Après un démarrage réussi du noyau du système d exploitation, le module INIT de l environnement d'exploitation (RTE) prend le contrôle de la CPU pour terminer la phase d initialisation du RTE. Si l initialisation venait à échouer, le fonctionnement cyclique ne démarre pas et le module INIT effectue une boucle sans fin sans activer les signaux de sortie. Une fois l initialisation réussie, le processeur de fonctions bascule en mode de fonctionnement normal. Fonctionnement cyclique : le fonctionnement cyclique est le mode normal d un processeur de fonctions. Il reste dans cet état tant qu il n est pas remis à zéro, soit manuellement, soit à la suite d'une exception causée par une défaillance matérielle aléatoire ou une coupure de courant. Le passage aux autres modes de fonctionnement ne peut être déclenché que par l unité de maintenance (Service Unit). Mode trace : Dans ce mode, il n y a aucune possibilité pour l unité de maintenance (Service Unit) d agir sur le fonctionnement cyclique du processeur de fonctions. La fonctionnalité permettant de suivre un ensemble spécifié de données depuis l unité de maintenance (Service Unit) est déjà incluse dans ce mode de fonctionnement du CPU. Le suivi peut être initié pour n importe quel signal sélectionné dans les diagrammes de programmation affichés sur l unité de maintenance (Service Unit). Paramétrage : Une validation spécifique est un préalable au passage en mode Paramétrage. Dans ce mode, le logiciel applicatif (les modules des diagrammes de fonctions) continue à être traité de la même manière qu en fonctionnement cyclique. La raison pour laquelle cette validation est nécessaire avant de passer en mode Paramétrage est l instauration d une barrière administrative avant que certaines valeurs de consigne ne puissent pas être changées. Un retour au mode normal de fonctionnement cyclique est possible à tout moment sans condition supplémentaire. Pendant le fonctionnement du système de contrôle-commande, seuls les paramètres désignés au préalable comme étant modifiables peuvent être changés par l unité de maintenance (Service Unit) en fonctionnement cyclique, par ex. pour optimiser une boucle de régulation ou adapter les paramètres en cas d exploitation en prolongation de cycle. Test Fonctionnel : ce mode est utilisé pour le dépannage. Une validation spécifique est une condition préalable pour passer en mode Test tout en tenant compte : des conditions de fonctionnement de la centrale (décision de l équipe de quart) des modes de fonctionnement du système Teleperm XS dans les autres trains. Si un processeur d'un autre train est déjà en mode test ou est identifié comme n étant pas en fonctionnement normal, l autorisation pour mettre un autre processeur en mode test est inhibée. Lorsqu on passe en mode Test, le traitement cyclique des fonctions applicatives est interrompu. Les fonctions de traitement sont activées selon les conditions du test à l aide de commandes supplémentaires envoyées par l unité de maintenance (service unit) : Activation / désactivation des drivers d entrée / sortie Activation / désactivation des fonctions d envoi et de réception de messages Activation / désactivation du traitement de certains modules des diagrammes de fonctions Prépositionnement des données dans les mémoires d entrée et de sortie Suivi des signaux La sortie du mode de fonctionnement Test Fonctionnel s effectue toujours par une réinitialisation du processeur et un redémarrage automatique. Après un temps de démarrage d environ 10 secondes, le traitement se poursuit en mode de fonctionnement cyclique. Diagnostic : Une validation spécifique est un préalable pour passer en mode diagnostic. L autorisation dépend de la décision de l équipe de maintenance et du mode de fonctionnement des systèmes TELEPERM XS dans les autres trains du système de protection (PS). En mode "Diagnostic", toutes les fonctions du mode "Test fonctionnel" sont accessibles. Les fonctions supplémentaires sont principalement relatives au chargement logiciel. Dans des cas très exceptionnels des routines de test spécifiques peuvent être chargées et exécutées. La sortie du mode Diagnostic se fait toujours par réinitialisation du processeur, suivie d un redémarrage automatique TECHNOLOGIE UTILISEE Le matériel utilisé pour implémenter le système de protection est la plate-forme de contrôle-commande numérique TELEPERM XS. Le système numérique de contrôle-commande TELEPERM XS est

23 destiné aux applications relatives à la sûreté des centrales nucléaires. Il a été mis au point pour l'équipement des nouvelles centrales nucléaires, ainsi que pour la modernisation des systèmes de contrôle-commande des centrales existantes. Les avantages majeurs de l emploi de processeurs numériques dans les systèmes de sûreté sont : La détection précoce des anomalies par des autocontrôles cycliques, La détection précoce des anomalies par un meilleur contrôle des périphériques (transducteurs, interfaces périphériques), La protection contre les signaux erronés par des moyens de détection des anomalies pour la transmission série des données, Une plus grande tolérance aux anomalies que les systèmes câblés, grâce à une fonction de détermination de l état des signaux pour repérer les signaux erronés, Le traitement numérique des signaux, insensible à la dérive ou aux interférences électromagnétiques, Le découplage galvanique par l utilisation de la fibre optique pour la transmission série des données, L automatisation de l ingénierie et de la documentation de la centrale, garantissant une homogénéité maximale de la documentation ALIMENTATION ELECTRIQUE Le système de protection doit être alimenté par une alimentation ininterruptible de tension adéquate (24 V DC). Chaque armoire doit être connectée à deux alimentations continue redondantes. Les arrivées de ces alimentations doivent être isolées les unes des autres, par exemple à l aide de diodes. En fonctionnement normal, les deux alimentations doivent être alimentées par l alimentation ininterruptible (UPS) de la division correspondante. En cas d indisponibilité de l alimentation ininterruptible d'une division, l une des deux alimentations peut être connectée à l alimentation ininterruptible (UPS) de la division voisine. Pour permettre un conditionnement normalisé des signaux, l alimentation et la sortie des signaux de télémesures doivent être normalisées ESSAIS DU CONTROLE-COMMANDE Les principes majeurs sur lesquels reposent les exigences relatives aux essais du contrôle-commande sont les suivants : Matériel d essai indépendant du matériel testé, "Transparence" des essais du contrôle-commande : pour l unité testée, il n y a aucune différence entre le fonctionnement normal et la période d'essai du contrôle-commande, Essais du contrôle-commande en majeure partie automatisés, Matériel d essai classé NC 2. ARCHITECTURE DU SYSTEME D'AUTOMATISME DE SURETE (SAS) 2.0. EXIGENCES DE SURETE Le système de contrôle-commande SAS est assujetti aux exigences de sûreté applicables aux systèmes de contrôle commande F1B, du fait de sa gestion du contrôle-commande associé aux fonctions de sûreté F1B (non gérées par le PS). Le système SAS assure le traitement des actions automatiques et manuelles, et la surveillance associée, nécessaires à l'accomplissement des fonctions de sûreté énoncées ci-dessous Fonctions de sûreté Le SAS participe aux trois fonctions fondamentales de sûreté (maîtrise de la réactivité, évacuation de la puissance résiduelle et confinement des substances radioactives) au titre de la gestion des traitements de contrôle-commande associés aux fonctions suivantes : Fonctions F1B, Fonctions de CC F2 classées séisme (F2E) Exigences relatives à la conception Au titre des fonctions F1B dont il assure les traitements des automatismes et des commandes manuelles, et la surveillance liée, le système SAS doit satisfaire aux exigences énoncées ci-après. Ces exigences doivent être respectées pour l'ensemble des fonctions gérées par le système SAS (comprenant la partie des fonctions PACS traitées par les équipements SAS, selon le paragraphe 4.0.1) Exigences issues des classements fonctionnel et mécanique Classement fonctionnel du système Le système SAS doit être classé de sûreté, conformément au classement indiqué au chapitre Critère de défaillance unique (active et passive) Le critère de défaillance unique doit s'appliquer au système SAS sur un plan fonctionnel (cf. chapitre 3.2.1), par l'intégration d'un degré de redondance suffisant, d'une structure et de dispositions adéquates. D'autre part, si les essais périodiques du système sont possibles et réalisés (selon principes définis au chapitre 3.1, et déclinés au paragraphe 2 sous section "Essais périodiques") alors que le système doit pouvoir être sollicité au titre du traitement de fonctions de sûreté F1B, ils doivent être combinés avec l'application du critère de défaillance unique (au niveau de la fonction pour les systèmes F1B) pour définir la redondance à mettre en oeuvre. Indépendance et séparation physique : le système SAS est assujetti à ces exigences, qui conduisent concernant ses équipements matériels, à une indépendance physique et électrique des quatre divisions de contrôle-commande dont ils dépendent Alimentations électriques secourues L'alimentation électrique des équipements SAS doit être secourue par les groupes diesels principaux. Par ailleurs, cette alimentation doit être du type "sans coupure", garantissant une alimentation même pendant le basculement alimentation normale / alimentation par diesel. De sorte que les fonctions de sûreté dont le système SAS gère les automatismes et la surveillance puissent être assurées sans discontinuité de service. Le système SAS doit être alimenté par la même division que celle du procédé dont il assure le pilotage, chaque division étant indépendante électriquement et physiquement des trois autres de façon à garantir une absence de mode commun entre divisions Qualification aux conditions de fonctionnement Les équipements SAS doivent rester opérationnels en conditions post-accidentelles, et doivent en conséquence respecter les exigences de qualification définies au chapitre 3.7. Par ailleurs, ces équipements doivent être opérationnels pour les conditions environnementales normales et extrêmes des locaux automates dans lesquels ils sont implantés. Ces conditions sont définies au chapitre Classement mécanique, électrique, contrôle-commande Les classements mécanique et électrique ne s'appliquent pas aux équipements de contrôle-commande. Le classement de contrôle-commande des équipements SAS doit être le suivant, conformément aux principes définis au chapitre 3.2 : Classement E1B pour les équipements SAS assurant le traitement des fonctions de sûreté F1B, Classement E2 pour les équipements SAS assurant le traitement des fonctions de sûreté F2E Classement sismique Les équipements SAS doivent être classés séisme 1 (SC1), en regard

24 de leur gestion des fonctions F1B et F2E Essais périodiques Les fonctions de contrôle-commande gérées par le SAS doivent faire l'objet d'essais périodiques (tel que défini au chapitre 3.2.1) : Pour les traitements de contrôle-commande associés aux fonctions F1B, Pour les traitements de contrôle-commande associés aux fonctions F2E, lorsque ceux-ci ne sont pas sollicités en fonctionnement continu. Le système SAS doit être conçu pour permettre la réalisation d'essais périodiques Exigence supplémentaire Sans objet Autres exigences réglementaires Règles fondamentales de sûreté La règle fondamentale de sûreté RFS II.4.1.a "Logiciels des systèmes électriques classés de sûreté", et plus spécialement sa partie "Logiciels des systèmes programmés classés de sûreté et non classés 1E" doit être prise en compte dans la conception et la réalisation du système SAS. La règle fondamentale de sûreté RFS II.2.b "Exigences à prendre en compte dans la conception, la qualification, la mise en œuvre et l'exploitation des matériels électriques appartenant aux systèmes électriques classés de sûreté", et plus spécialement sa partie "matériels électriques classés de sûreté et non classés 1E" doit être prise en compte dans la conception et la réalisation du système SAS Directives techniques Les directives techniques énoncées dans le document DGSNR/SD2/0729/2004 du 28/09/04 "Options de sûreté du projet de réacteur EPR" (et plus spécifiquement G3.4 et G3.7) doivent être prises en compte à la conception du système SAS Textes spécifiques EPR Les matériels SAS doivent être conformes aux exigences énoncées dans le RCC-E (cf. chapitre 1.6) Agressions a) Exigences pour lesquelles les dispositions générales d'installation permettent de protéger le système vis à vis des agressions : Le système SAS doit être protégé contre les défaillances de mode commun pouvant être générées par des agressions internes ou externes selon exigences définies aux chapitres 3.3 (agressions externes) et 3.4.(agressions internes) Cela conduit à une indépendance (physique et électrique) entre les quatre divisions abritant les équipements SAS. b) Exigences de protection du système vis à vis d'agressions particulières Sans objet c) Agressions ne concernant pas le système Sans objet Essais Le système SAS doit faire l'objet d'essais pré-opérationnels, permettant de vérifier après montage la conformité des performances du système avec les exigences de conception. L'exigence liée aux essais périodiques est exprimée au paragraphe 2 sous section "Essais périodiques" MISSIONS La mission du SAS est d'assurer la gestion des fonctions d'automatisme, des commandes manuelles, et de surveillance liée, requises F1B et F2E (définies au paragraphe 2.0.1) des îlots nucléaire et conventionnel FONCTIONS ASSUREES Les fonctions de contrôle commande traitées par le SAS sont les suivantes : Traitements des données : acquisition, conditionnement et mise à disposition, Traitements de calculs applicatifs : régulations, élaboration de commandes individuelles et groupées (simultanées ou séquentielles), hiérarchisation des priorités de commande, élaboration d'informations diverses à destination des autres unités de contrôle-commande, etc. Traitements de surveillance : traitement des comptes-rendus d'état et de défauts, élaboration des alarmes et signalisations BASE DE CONCEPTION Exigence de disponibilité Les principales exigences conditionnant la disponibilité du SAS sont liées à la fiabilité et à la maintenabililté du système, qui se traduisent par : Limiter les pertes du SAS dues à la panne de l'un de ses composants (par la redondance de ses composants notamment), Faciliter l'entretien et la réparation du SAS pour réduire au minimum sa période d'indisponibilité Performances requises Le SAS est soumis à des exigences de performance : Exigences de temps de réponse : Temps maximum entre la variation d'une entrée (logique ou analogique) et la transmission à l'interface de sortie, Temps maximum entre la réception d'une commande manuelle et sa transmission à l'interface de sortie. Ces critères globaux sont déclinés au niveau du SAS de la façon suivante : Pour une commande manuelle, voir le paragraphe 3 sous section "Performances requises". Pour une commande automatique : Acquisition d'une entrée logique, traitement de la commande logique, et transmission à une interface de sortie, Acquisition d'une entrée analogique, traitement d'une commande logique ou analogique, et transmission à une interface de sortie. Le SAS doit contribuer à remplir les critères globaux décrits avant et dans la sous section "Performances requises" du paragraphe 3. Notamment, les tâches de transits et de traitements assurées par le SAS doivent participer au respect des temps de réponse globaux (comprenant les échanges MCS, SAS et le niveau 0). Exigences de dimensionnement : - Respect du dimensionnement statique défini par le nombre d'entrées / sorties (actionneurs, capteurs, etc.) que le SAS doit gérer, - Respect du dimensionnement dynamique défini par les temps de traitements, tenant compte du type d'exécution du programme (périodique ou événementiel) que le SAS doit gérer Exigences relatives à l environnement Les conditions environnementales que les équipements SAS devront supporter sont liées à la température et à l'humidité relative des locaux abritant ces matériels. Ces caractéristiques environnementales sont définies au chapitre 9.4.1, autant pour les conditions normales que pour les conditions extrêmes

25 Exigence relative à l interface homme-machine SAS non concerné ARCHITECTURE Structure et composition La structure et la composition du SAS sont dictées par des exigences fonctionnelles. L'ensemble de ces exigences conditionnent l'allocation des traitements de contrôle commande dans les différentes entités matérielles du SAS. Ces exigences fonctionnelles portent sur : Le classement fonctionnel des traitements (typiquement : F1B et F2 pour le SAS). Pour autant, du fait d'un éventuel requis de regroupement (voir ci après) le SAS pourra être amené à gérer certains traitements non classés, La division électrique (en correspondance avec celle du procédé, actionneurs et capteurs, à gérer), La typologie des traitements à effectuer (pouvant conditionner le choix du type de cartes d'entrée/sorties par exemple), La performance requise des traitements (temps de réaction, temps de propagation, précision), Les regroupements / exclusions de traitement, qui requièrent que certains traitements soient groupés (en regard d'un requis de perte simultanée de ces traitements lors d'un dysfonctionnement de la partie du système de CC qui les gèrent), ou inversement, que certains groupes de traitement soient gérés par des unités matérielles SAS différentes (en regard d'un requis de maintien en service d'un groupe de traitements, malgré la perte de certains autres lors du dysfonctionnement). Par ailleurs, la structure du SAS prend en compte la segmentation du procédé piloté, dicté par le nombre, l'emplacement géographique et la typologie des interfaces des actionneurs et capteurs à gérer. Pour une fonction de sûreté donnée, différentes combinaisons sont possibles, par exemple : 4 x 100 %: 1 train mécanique avec son CC associé, parmi 4, est nécessaire pour accomplir la fonction de sûreté, 4 x 50 %: 2 trains mécaniques avec leur CC associé, parmi 4, sont nécessaires pour accomplir la fonction de sûreté, 2 x 100 %: 1 train mécanique avec son CC associé, parmi 2, est nécessaire pour accomplir la fonction de sûreté. Afin d'éviter qu'une défaillance interne au SAS ait un effet sur plus d un train mécanique, chaque train mécanique est commandé par un sous-ensemble du SAS situé dans la même division que le train mécanique Installation Les équipements SAS sont répartis dans les 4 divisions. Ils sont installés dans les locaux CC des divisions 1 à 4 du bâtiment BAS-BL, et dans les locaux CC des bâtiments diesel. Les équipements SAS sont répartis : En correspondance avec l emplacement et la division des organes (actionneurs et capteurs) gérés, Selon l'espace disponible pour leur implantation, En correspondance avec les alimentations électriques des quatre divisions Interface avec les autres fonctions de contrôle-commande Le SAS échange des informations avec : Les IHM : MCS, et MCP/PdR : échanges liés à la conduite opérateur, Les systèmes PAS, RCSL (à confirmer) et PS : échanges liés à la gestion des automatismes de la tranche, L'instrumentation procédé : échanges liés à l'acquisition des mesures et états, Les cellules électriques (tableaux électriques) et les organes de commande réglants (électro-positionneurs, etc.) : échanges liés à la commande des actionneurs, Les systèmes "externes" (armoires de CC des diesels, etc.) : échanges liés à la gestion des automatismes de la tranche CONFIGURATIONS OPERATIONNELLES La configuration (d un point de vue matériel et fonctionnel) du SAS est indépendante de l'état de la tranche. L allocation des traitements dépend seulement des critères fonctionnels et des principes d'allocation des traitements du système de CC. La configuration du SAS est, de ce point de vue, constante. La configuration du SAS n'est dépendante que du dispositif suivant: en cas de défaut de fonctionnement d'une carte active, le système commute automatiquement sur la seconde carte, qui était en attente. Ce principe s'applique à toute carte redondée du SAS (cartes CPU et cartes de gestion de la communication) TECHNOLOGIE Ce chapitre sera détaillé lorsque le système de contrôle-commande standard aura été choisi ALIMENTATION ELECTRIQUE A l'intérieur d'une division, le SAS est alimenté en 230V alternatif, par une double alimentation secourue. La première source électrique est fournie par le tableau de distribution principal, la seconde est fournie par le tableau de sous-distribution. Chaque train mécanique est contrôlé par un sous-ensemble du SAS situé et alimenté par la même division que le train mécanique. Le réglage à la tension exigée par les armoires SAS sera effectué en interne aux armoires dédiées à leur alimentation. Ces armoires d'alimentation sont situées dans les mêmes locaux que les armoires SAS DISPOSITIONS PRISES POUR REALISER LES TESTS PERIODIQUES Conformément au RCC-E (cf. chapitre 1.6), les fonctions de sûreté F1B doivent subir des tests périodiques. Les fonctions F2E y sont aussi assujetties dès lors qu'elles ne sont pas sollicitées en fonctionnement continu. Le test de la fonction de sûreté permettra de vérifier la chaîne complète de commande, du capteur (commande automatique), ou du MCS (commande manuelle), via le SAS, jusqu'au changement d'état de l actionneur. Toutefois si la mise en configuration de l actionneur concerné ne peut pas être effectuée (par exemple lors du fonctionnement de la tranche) des dispositions sont prises pour bloquer les signaux de commande pendant le test, de façon à tester la ligne de commande de l'actionneur, sans commander physiquement ce dernier

26 3. ARCHITECTURE DU MOYEN DE CONDUITE DE SECOURS (MCS) 3.0. EXIGENCES DE SURETE Fonctions de sûreté Le MCS contribue aux fonctions de sûreté supportées par le Contrôle-Commande (cf. chapitre ). Ainsi, concernant l'analyse de sûreté, le système MCS doit fournir à l'équipe de conduite les informations et commandes nécessaires à la réalisation des actions F1B manuelles. Par conséquent, le MCS est le moyen de conduite utilisé pour la démonstration de sûreté relative à la situation PCC 2 à Exigences de conception Exigences issues des classements fonctionnel et mécanique Classement fonctionnel du système Le MCS supporte des fonctions de conduite et contrôle de la tranche de différents classements : Non Classées F2 F1B Le MCS est donc, selon les chapitres 3.2 et 7.1, classé de sûreté F1B et doit donc satisfaire aux exigences de sûreté des paragraphes ciaprès Critère de défaillance unique (active et passive) a) Fonctions supportées par le MCS Fonctions F1B : La partie du MCS assurant des fonctions F1B doit être conçue pour respecter le critère de défaillance unique, au niveau fonctionnel, par l intégration d un degré de redondance suffisant, d une structure et de dispositions adéquates. Cette partie du MCS doit ainsi rester opérationnelle en cas de cumul d une défaillance unique sur l une de ses divisions, et d indisponibilité d une de ses divisions pour maintenance. Les moyens de commandes et de signalisations E1B du MCS sont assujettis aux exigences d indépendance, de séparation physique et électrique entre les différentes divisions de contrôle-commande dont ils dépendent. Fonctions F2 : Le critère de défaillance unique n est pas applicable pour les fonctions F2 du MCS. Fonctions NC : Le critère de défaillance unique n est pas applicable pour les fonctions NC du MCS. De plus, les commandes du MCS sont activées par les commandes de transfert MCP-MCS, qui sont indépendantes et séparées des moyens de commande, afin d exclure qu une défaillance unique ou un risque interne puisse générer des signaux et des ordres intempestifs Alimentations électriques secourues L'alimentation électrique des équipements MCS doit être secourue par les groupes de diesels principaux. Par ailleurs, cette alimentation doit être du type "sans coupure", garantissant une alimentation même pendant le basculement alimentation normale / alimentation par diesel. De sorte que les fonctions de sûreté accomplies par le MCS puissent être assurées sans discontinuité de service. Les équipements du MCS doivent être alimentés par la même division électrique que la division de contrôle-commande dont ils dépendent, chaque division étant indépendante électriquement et physiquement des autres de façon à garantir une absence de mode commun entre divisions Qualification aux conditions de fonctionnement Les matériels supportant les fonctions du MCS doivent être qualifiés en fonction de leur classement de sûreté, selon le chapitre 3.7, et en fonction des conditions d ambiance normales et extrêmes auxquelles il sont soumis lors de l accomplissement de leur mission, selon le chapitre Classement mécanique, électrique, contrôle-commande Le MCS n est pas concerné par le classement mécanique. Le MCS n est pas concerné par le classement électrique. Selon le chapitre 7.1 concernant le classement contrôle-commande : le matériel constitutif du MCS assurant des fonctions F1B doit être classé E1B, le matériel constitutif du MCS assurant des fonctions F2 doit être classé E2, le matériel constitutif du MCS assurant des fonctions NC doit être NC. Le MCS, en temps que matériel, est donc globalement classé E1B Classement sismique Du fait de ce son classement F1B, le système MCS doit appartenir à la classe sismique 1 et remplir les exigences correspondantes, selon le chapitre Essais périodiques La partie du MCS assurant des fonctions F1B doit faire l objet d essais périodiques. La partie du MCS assurant des fonctions F2 qui ne sont pas sollicitées en continu doit faire l objet d essais périodiques. La partie du MCS assurant des fonctions F2 qui sont sollicitées en continu et celle assurant des fonctions NC ne requièrent pas d essais périodiques Autres exigences réglementaires Règles Fondamentales de Sûreté La Règle Fondamentale de Sûreté RFS IV.2.b "Exigences à prendre en compte dans la conception, la qualification, la mise en œuvre et l exploitation des matériels électriques appartenant aux systèmes électriques classés de sûreté" doit être prise en compte dans la conception et la réalisation du MCS Directives Techniques Les Directives Techniques (cf. chapitre 3.1.2) doivent être prises en compte à la conception du MCS. En particulier, la recommandation G3.5 des Directives Techniques indique que le MCS est le moyen de conduite utilisé pour la démonstration de sûreté Textes spécifiques EPR Les matériels du MCS doivent être conformes aux exigences énoncées dans le RCC-E (cf. chapitre 1.6) Agressions a) Exigences pour lesquelles les dispositions générales d installation permettent de protéger le système vis-à-vis des agressions : Le MCS doit être protégé contre les défaillances de mode commun pouvant résulter des agressions internes ou externes en suivant les exigences définies aux chapitres 3.3 (agressions externes) et 3.4 (agressions internes). b) Exigences de protection du système vis-à-vis d agressions particulières : Sans objet. c) Agressions ne concernant pas le système Sans objet

27 Essais Essais pré-opérationnels Le MCS doit faire l'objet d'essais pré-opérationnels, permettant de vérifier après montage la conformité des performances du système avec les exigences de conception Surveillance en exploitation Sans objet Essais périodiques Les parties du MCS nécessitant des essais périodiques selon le paragraphe doivent être conçues de manière à permettre la réalisation de ceux-ci Exigence de conception du contrôlecommande Pas de contrainte particulière en dehors de celles énumérées dans le tableau 7.1 TAB MISSIONS Le Moyen de Conduite de Secours (MCS) est le système de CC en charge de fournir les moyens de surveillance et de commande nécessaires pour pallier toute indisponibilité du MCP ou des moyens de conduite du MCP en Salle de Commande Principale. Les moyens de surveillance et conduite supportés par le MCS ne sont pas les moyens privilégiés par l'équipe de conduite pour surveiller et conduire la tranche. En outre, le MCS est le moyen de conduite classé de sûreté utilisé pour la démonstration de sûreté, il doit par conséquent disposer des moyens nécessaires à la conduite des situations de référence PCC-2 à PCC-4. La mission principale du MCS est par conséquent de fournir à l équipe de conduite les commandes et informations nécessaires pour faire face aux situations suivantes : En cas de courte période d'indisponibilité des moyens de conduite du MCP en Salle de Commande Principale, voire d indisponibilité totale du MCP en situation normale (PCC-1) : surveiller et conduire l installation en maintenant le niveau de puissance constant, En cas de plus longue période d'indisponibilité des moyens de conduite du MCP en Salle de Commande Principale, voire d indisponibilité totale du MCP en situation normale (PCC-1) : atteindre et maintenir un état sûr de l installation et permettre la mise à l arrêt de l îlot conventionnel, En cas d'indisponibilité des moyens de conduite du MCP en Salle de Commande Principale, voire d indisponibilité totale du MCP en situation PCC 2 à 4 : surveiller et initier les fonctions postaccidentelles appropriées pour passer de l état contrôlé à l état sûr et maintenir cet état sûr. En cas d incendie, si l équipe de conduite conduit au MCS, les fonctions de lutte contre l incendie peuvent être initiées depuis le MCS. Lorsque le MCP est disponible en Salle de Commande Principale, le MCS est sollicité dans les cas suivants : Essais périodiques liés au MCS, En situation accidentelle, surveillance des principaux paramètres de sûreté et de l état des systèmes de sûreté (recherche d informations sur un support diversifié par rapport au MCP) FONCTIONS SUPPORTEES Le MCS supporte les fonctions de commande et de surveillance suivantes : Affichage des informations sur le procédé, Fonctions de commande, Affichage et gestion des alarmes, Enregistrement de données analogiques, Fonctions d'interface (filtrage, transmission de données), Fonction de test PRINCIPES DE CONCEPTION Dispositions particulières Les dispositions de conception particulières qui doivent être prises en compte pour le MCS sont les suivantes : Le MCS doit être indépendant du MCP de sorte qu'aucun dysfonctionnement du MCP ne puisse avoir de conséquence sur le MCS, Lorsque le MCS est en service (cf. "état 3" du paragraphe 3.5), les commandes du MCP doivent être désactivées, La perte du MCS suite à perte d habitabilité de la Salle de Commande principale ne mène pas à la perte des postes opérateurs de la Station de Repli, Le MCS doit respecter les exigences d interface homme-machine décrites au chapitre 17 et au paragraphe Exigence de disponibilité Le MCS est conçu comme un système de CC indépendant du MCP, afin de pouvoir être disponible en cas de perte du MCP. Les moyens de surveillance et conduite supportés par le MCS ne sont pas les moyens privilégiés par l'équipe de conduite pour conduire la tranche Performances requises Le MCS est soumis à des conditions de performances : Exigences de temps de réponse : comme le MCP (cf. chapitre ), le MCS est assujetti à des exigences de temps de réponse. On peut noter que l'utilisation des liaisons câblées pour la transmission des données, ainsi que l'absence de traitement de données, assure des performances de temps de réponse au moins aussi bonnes que celles du MCP, Exigences de dimensionnement : le MCS doit comporter tous les dispositifs de commande et de supervision nécessaires à l'opérateur pour accomplir les tâches décrites dans le paragraphe 3.1, et ce sans se référer à un autre moyen que le MCS. Notamment, la conduite au MCS doit être possible sans l utilisation du synoptique Exigences d envirronnement Les pupitres du MCS sont installés dans la Salle de Commande Principale, les conditions d environnement auxquelles il est soumis sont donc celles de ce local. Elles peuvent être classées selon deux catégories : Les conditions environnementales que les équipements doivent supporter. Cela inclut la température et l'humidité relative de la pièce, La contribution de l'équipement aux conditions ambiantes. Cette catégorie inclut le niveau de bruit et la chaleur dissipée Exigences liées à l interface homme-machine L aménagement du MCS en pupitres doit prendre en compte les critères ergonomiques (compatibilité avec les tâches de l'opérateur) ainsi que les contraintes d'indépendance (principalement séparation physique) des équipements appartenant à et alimentés par des divisions différentes et soumis à des niveaux de qualification différents. En conséquence, la liste détaillée des différentes informations et commandes qui doivent être implantées au MCS est déterminée en analysant les tâches qui doivent être accomplies sur ce moyen de conduite. Des éléments liés aux moyens situés au MCS peuvent être trouvés dans les chapitres 13 et

28 3.4. ARCHITECTURE Structure et composition Le MCS se compose d'un ensemble de dispositifs de commande et de signalisation conventionnels (boutons poussoirs, indicateurs lumineux, afficheurs analogiques, enregistreurs ) qui sont directement reliés au niveau approprié de l'architecture de CC (PS, SAS ou PAS) et disposés en pupitres. De par sa fonction, le MCS ne réalise aucun traitement de données et reçoit ses informations directement des systèmes de niveau Installation Les pupitres du MCS sont installés dans la Salle de Commande Principale Interfaces avec les autres systèmes de CC Le MCS présente 2 types d'interfaces : L'interface avec l'opérateur dans la Salle de Commande Principale, L'interface avec le niveau d'automatisme (PAS, SAS, PS) MODES DE FONCTIONNEMENT Le MCP, en Salle de Commande Principale, est le moyen de conduite privilégié de la tranche. L équipe de conduite opère depuis le MCS en cas d indisponibilité des postes opérateurs en Salle de Commande Principale ou en cas d indisponibilité globale du MCP. En cas de perte de la Salle de Commande Principale due à un événement interne (comme le feu), le MCS et les moyens de commande du MCP en Salle de Commande ne sont plus disponibles. Dans cette situation, l'équipe de conduite utilise les moyens de commande MCP de la Station de Repli. Les principes de transfert entre ces différents moyens de commande sont régis par des procédures de conduite. Les modes de fonctionnement du MCS sont les suivants : Etat 1 : état passif ; les commandes du MCS sont désactivées, la signalisation est opérationnelle, Etat 2 : état intermédiaire ; le MCS n'est pas en service mais les tests périodiques peuvent être effectués, Etat 3 : état actif ; le MCS est en service, les fonctions du MCS sont disponibles, les commandes du MCP sont désactivées TECHNOLOGIE La solution technique de référence pour le MCS est basée sur l'utilisation d'une technologie conventionnelle. Le choix de matériels conformes aux exigences énumérées dans ce chapitre sera fait lors des études détaillées ALIMENTATION ELECTRIQUE Le MCS est alimenté par des sources 230 V alternatif issues des 4 divisions de sorte que la perte d'une division électrique ne mène pas à la perte totale du MCS. Des équipements supplémentaires permettent d adapter les niveaux de tension aux matériels composant le MCS. Chaque moyen de commande est alimenté par sa propre division électrique qui est secourue et sans coupure. Les commandes et signalisations propres à l îlot conventionnel sont alimentées par les équipements du BLNC. Des dispositions d isolement sont prises pour maintenir la séparation électrique des équipements du MCS appartenant à des divisions différentes DISPOSITIONS PRISES POUR LA REALISATION D ESSAIS PERIODIQUES Le MCS doit faire l objet d essais périodiques, selon le paragraphe La configuration du MCS (en particulier l état n 2 décrit au paragraphe 3.5) doit donc permettre de les réaliser. Le test de chacune des fonctions de sûreté devant faire l objet d essais périodiques permettra de vérifier la chaîne complète de commande, du capteur (commande automatique), ou du MCS (commande manuelle), via les équipements de traitement du Contrôle-Commande, jusqu'au changement d'état de l actionneur. Toutefois si la mise en configuration de l actionneur concerné ne peut pas être effectuée (par exemple lors du fonctionnement de la tranche) des dispositions sont prises pour bloquer les signaux de commande pendant le test, de façon à tester la ligne de commande de l'actionneur, sans commander physiquement ce dernier. 4. FONCTION DE GESTION DE PRIORITES ET DE CONTROLE DE L'ACTIONNEMENT (PACS) 4.0. EXIGENCES DE SURETE Le PACS est l'entité fonctionnelle chargée de la commande et de la surveillance de chaque actionneur, pour toutes les situations de tranche. En regard de la sûreté, le PACS doit assurer les fonctions d'automatisation liées à la commande et à la surveillance de l'actionneur assurant une fonction de sûreté. Les fonctions du PACS sont les suivantes (voir détail de ces fonctions et de leur répartition au paragraphe 4.2) : Gestion de priorité des commandes, qui se décline en deux sousfonctions : l'une hiérarchisant les commandes reçues par le PAS ou le SAS, et l'autre hiérarchisant les commandes reçues par la cellule électrique alimentant l'actionneur en énergie, Commande de l'organe de coupure, Surveillance de l'actionneur, Protection essentielle des composants. Ces fonctions sont gérées par deux équipements, comme suit : PAS (ou SAS, selon requis fonctionnel) : assure une partie de la gestion de la fonction "Gestion de priorité des commandes", et la gestion de la fonction "surveillance de l'actionneur", Cellule électrique : assure l'autre partie de la gestion de la fonction "Gestion de priorité des commandes", et la gestion de la fonction "Commande de l'organe de coupure" et de la fonction " Protection essentielle des composants". Au titre des fonctions que gère le PACS, il est requis du même niveau de classement fonctionnel que celui de l'actionneur qu'il pilote (soit PACS F2 pour un actionneur F2, PACS F1B pour un actionneur F1B et PACS F1A pour un actionneur F1A). Les exigences de sûreté assujettissant le PACS s'appliquent conjointement au PAS / SAS et à la cellule électrique, comme suit : PACS F2 : exigences identiques à celles définies en sous section "Exigences de sûreté", autant pour les fonctions PACS gérées par le PAS que pour celles gérées par la cellule (hormis exigences de classement détaillées aux paragraphes et applicables uniquement aux cellules), PACS F1B : exigences identiques à celles définies au paragraphe 2 sous section "Exigences de sûreté", autant pour les fonctions PACS gérées par le SAS que pour celles gérées par la cellule (hormis exigences de classement détaillées aux paragraphes et applicables uniquement aux cellules), PACS F1A : - pour les fonctions PACS gérées par le PAS ( actionneur non assujetti à des automatismes et commandes F1B ou F2E) : exigences définies en sous section "Exigences de sûreté",

29 - pour les fonctions PACS gérées par le SAS ( actionneur assujetti à des automatismes et commandes F1B ou F2E) : exigences définies au paragraphe 2 sous section "Exigences de sûreté", - pour les fonctions PACS gérées par la cellule (fonctions F1A) : selon présente sous section (voir "Important" ci dessous), PACS NC (actionneur NC) : pas d'exigence de sûreté. Important : pour alléger la lecture, on ne définit dans le présent paragraphe 4.0 que les exigences de sûreté applicables aux fonctions PACS F1A que gèrent la cellule électrique. Les exigences applicables aux PACS F2 et F1B sont définies par ailleurs (selon ci-dessus) Fonctions de sûreté Le PACS participe aux trois fonctions fondamentales de sûreté (maîtrise de la réactivité, évacuation de la puissance résiduelle et confinement des substances radioactives) au titre de la gestion des traitements de contrôle-commande associés aux fonctions suivantes: Fonctions F1A. Le PACS doit assurer les fonctions d'automatisme F1A (pour les fonctions non gérées par le PS), et à ce titre est classé E1A Exigences relatives à la conception Au titre des fonctions F1A dont il gère les traitements d'automatisme, le PACS doit satisfaire aux exigences suivantes Exigences issues des classements fonctionnel et mécanique Classement fonctionnel du système Le PACS doit être classé de sûreté, conformément au classement indiqué au chapitre Critère de défaillance unique (active et passive) Le critère de défaillance unique doit s'appliquer au PACS, afin de garantir un degré de redondance adéquat. D'autre part, si les essais périodiques des fonctions PACS sont possibles et réalisés (selon principes définis au chapitre 3.1, et déclinés au paragraphe 4 sous section "Dispositions prises pour réaliser les essais périodiques") alors que le PACS doit pouvoir être sollicité au titre du traitement de fonctions de sûreté F1A, ils doivent être combinés avec l'application du critère de défaillance unique pour définir la redondance à mettre en œuvre. Indépendance et séparation physique : le PACS doit être assujetti à ces exigences, qui conduisent concernant ses équipements matériels, à une indépendance physique et électrique des quatre divisions de contrôle-commande dont ils dépendent. Chaque PACS, propre à un actionneur, doit être indépendant des autres PACS : il n'y a aucun échange entre eux. Des dispositions doivent être prises pour découpler les différents équipements matériels mis en œuvre pour assurer les fonctions PACS et éviter les défaillances de cause commune. Ainsi, les liaisons entre l'automate (PAS ou SAS), automate de protection (PS) et cellule électrique sont assurées par fil Alimentations électriques secourues L'alimentation électrique du contrôle-commande intégré à la cellule électrique doit être secourue par les groupes diesels principaux. Par ailleurs, cette alimentation doit être du type "sans coupure", garantissant une alimentation même pendant le basculement alimentation normale / alimentation par diesel. De sorte que les fonctions de sûreté dont le PACS gère l'automatisation puissent être assurées sans discontinuité de service. Le PACS doit être alimenté par la même division que celle de l'actionneur dont il assure le pilotage, chaque division étant indépendante électriquement et physiquement des trois autres de façon à garantir une absence de mode commun entre divisions Qualification aux conditions de fonctionnement Les équipements PACS doivent rester opérationnels en conditions post-accidentelles, et doivent en conséquence respecter les exigences de qualification définies au chapitre 3.7. Par ailleurs, ces équipements doivent être opérationnels pour les conditions environnementales normales et extrêmes des locaux électriques dans lesquels ils sont implantés. Ces conditions sont définies au chapitre Classement mécanique, électrique, contrôle-commande Le classement mécanique ne s'applique pas aux équipements électriques. Les cellules électriques sont assujetties à : Un classement électrique, du fait de leur fonction d'alimentation en tension des actionneurs. Ce classement est le suivant, conformément aux principes définis au chapitre 3.2 : - classement EE1 pour une cellule alimentant un actionneur F1, - classement EE2 pour une cellule alimentant un actionneur F2 Un classement de contrôle-commande, du fait qu'elles intègrent le contrôle-commande assurant les traitements d'automatisme des fonctions PACS énoncées dans le paragraphe 4.2. Ce classement est le suivant, conformément aux principes définis au chapitre 3.2 : - Classement E1A pour une cellule gérant un actionneur F1A, - Classement E1B pour une cellule gérant un actionneur F1B, - Classement E2 pour une cellule gérant un actionneur F Classement sismique La cellule électrique doit être : classée séisme 1 (SC1), lorsqu'elle gère des fonctions F1 ou F2E, classée séisme 2 (SC2), lorsqu'elle gère des fonctions F2N, Essais périodiques Les fonctions de contrôle-commande gérées par le PACS doivent faire l'objet d'essais périodiques (tel que défini au chapitre 3.2.1), pour les traitements de contrôle-commande associés aux fonctions F1A. Le PACS doit être conçu pour permettre la réalisation d'essais périodiques Exigence supplémentaire Sans objet Autres exigences réglementaires Règles fondamentales de sûreté PACS non concerné Directives techniques Les directives techniques énoncées (cf. chapitre et plus spécifiquement section G3.7) doivent être prises en compte à la conception du PACS Textes spécifiques EPR Les matériels gérant les fonctions PACS doivent être conformes aux exigences énoncées dans le RCC-E (cf. chapitre 1.6) Agressions a) Exigences pour lesquelles les dispositions générales d'installation permettent de protéger le système vis à vis des agressions : Le PACS doit être protégé contre les défaillances de mode commun pouvant être générées par des agressions internes ou externes selon exigences définies aux chapitres 3.3 (agressions externes) et 3.4.(agressions internes). Cela conduit à une indépendance (physique et électrique) entre les quatre divisions abritant les équipements PACS. b) Exigences de protection du système vis à vis d'agressions particulières Sans objet c) Agressions ne concernant pas le système Sans objet

30 Essais Les équipements PACS doivent faire l'objet d'essais préopérationnels, permettant de vérifier après montage la conformité de leurs performances avec les exigences de conception. L'exigence liée aux essais périodiques est exprimée au paragraphe MISSIONS Le PACS est l'entité fonctionnelle qui assure la commande de l'actionneur, la surveillance de son mouvement, et la protection des composants de la partie électrique. Il est en charge : Au titre de la commande de l'actionneur : de l'élection de la commande la plus prioritaire (en cas de commandes simultanées) parmi l'ensemble des commandes assujettissant l'actionneur, de la commande de l'organe de coupure, Au titre de la surveillance de l'actionneur : de la gestion de la position de l'actionneur et de ses défauts de mouvement (temps de manœuvre excessif ou incohérence entre position attendue et position réelle de l'actionneur), Au titre de la protection des composants : de la détection des dysfonctionnements pouvant endommager la partie électrique de l'actionneur ou son alimentation électrique 4.2. FONCTIONS ASSUREES En correspondance avec les missions définies au paragraphe précédent, le PACS assure les quatre fonctions suivantes : Gestion de priorité des commandes : hiérarchisation de l'ensemble des commandes (automatiques et manuelles) assujettissant l'actionneur, quelles que soient leur origine et leur fonction, et élection (en cas de commandes simultanées) de la commande ayant le niveau de priorité le plus élevé. La commande élue est envoyée vers la fonction PACS "commande de l'organe de coupure" (cf. ci après). La hiérarchie des commandes est la suivante (de la plus à la moins prioritaire, en listant l'ensemble des commandes possibles, toutes n'étant pas systématiques) : Commande "protection essentielle des composants" (protections prévenant l'endommagement de la partie électrique de l'actionneur, ou de son raccordement électrique), Commande de sûreté de délestage (suite à perte alimentation électrique de puissance), Commande de sûreté de protection réacteur (arrêt), Commande de sûreté de protection réacteur (marche), Commande manuelle IHM locale (IHM connectable sur la cellule électrique et permettant une commande directe de la cellule, isolée de l'automate. Utilisée en situation de démarrage de l'installation, ou en exploitation (commande en cas d'indisponibilité automate), Commande de protection organe (issue du procédé : température très haute d'une batterie chauffante, par ex.), Commande d'exploitation (issue du procédé : niveau bas enclenchant une pompe de remplissage, par ex.), Commande manuelle PdR, Commande manuelle MCS, Commande manuelle MCP. Commande de l'organe de coupure : commande de l'organe conditionnant le fluide de manœuvre de l'actionneur. Cette commande est reçue de la fonction "Gestion de priorité des commandes", Surveillance de l'actionneur : gestion d'une part de la position de l'actionneur, et d'autre part ses défauts de mouvement. Cette dernière fonction détecte un dysfonctionnement de manœuvre de l'actionneur : temps de mouvement anormalement long, et discordance entre position souhaitée et position réelle de l'actionneur, Protection essentielle des composants : élaboration de la commande qui traduit un dysfonctionnement de la partie opérative de l'actionneur (défaut de court-circuit ou de surcharge, défaut d'isolement, etc.). Elle prévient un risque d'endommagement de l'actionneur ou de son alimentation électrique. Cette commande est appliquée à la fonction PACS "gestion de priorité des commandes", où lui est affecté le plus haut niveau de priorité. Les traitements des fonctions PACS sont répartis de la façon suivante: Le PAS/SAS élabore les commandes automatiques hors F1A, et acquiert les commandes manuelles issues des IHM centralisées (MCP ou PdR et MCS). En cas de simultanéité de commande, il élit la commande prioritaire selon hiérarchie définie ci-avant (fonction "gestion de priorité des commandes"). La commande élue est envoyée à la cellule électrique. D'autre part, le PAS/SAS assure la surveillance de la position de l'actionneur et l'élaboration des défauts de mouvement (fonction "surveillance de l'actionneur"), Le PS élabore les commandes F1A (actions de sauvegarde et supports de sauvegarde) qui sont envoyées à la cellule électrique, La cellule électrique élabore les protections essentielles de composants (fonction "protection essentielle des composants"), et reçoit la(les) commande(s) issue(s) du PS, la commande élue par le PAS/SAS et la commande issue de l'ihm locale. En cas de simultanéité de commandes, la commande hiérarchiquement la plus élevée (selon hiérarchie définie ci-avant) est élue (fonction "gestion de priorité des commandes") et envoyée à l'organe de coupure (fonction "Commande de l'organe de coupure"). Nota : la fonction "gestion de priorité des commandes" est assurée pour partie par le PAS/SAS, et pour partie par la cellule électrique BASE DE CONCEPTION Exigence de disponibilité Les principales exigences conditionnant la disponibilité du PACS sont liées à la fiabilité et la maintenabililté des équipements gérant ses fonctions, et se traduisent par : Limiter les pertes du PACS dues à la panne d'un de ses composants (par la redondance de ses composants notamment), Faciliter l'entretien et la réparation des équipements PACS pour réduire au minimum sa période d'indisponibilité Performances requises Le temps de réponse du PACS suite à commande (comprenant acquisition, traitement et exécution de la commande) venant des systèmes de niveau 1 (PS, SAS, PAS) ne devra pas dépasser 100ms Exigences liées à l environnement Les conditions environnementales auxquelles sont soumis les équipements gérant les fonctions du PACS dépendent des locaux où ils sont implantés : Locaux automates (fonctions du PACS gérées par le PAS/SAS) : Les caractéristiques de température et d'humidité auxquelles seront soumis les équipements PAS/SAS (implantés dans les locaux automates) sont précisées au chapitre 9.4.1, autant pour les conditions normales que pour les conditions extrêmes. Locaux tableaux électriques (fonctions du PACS gérées par la cellule électrique) : Les caractéristiques de température et d'humidité auxquelles seront soumis les cellules électriques (implantées dans les locaux tableaux électriques) sont précisées au chapitre 9.4.1, autant pour les conditions normales que pour les conditions extrêmes

31 Exigences liées à l interface homme-machine PACS non concerné ALLOCATION DES FONCTIONS DU PACS Structure et composition Les quatre fonctions du PACS sont traitées pour partie par l'automate PAS (ou SAS, selon requis fonctionnel), et pour partie par la cellule électrique, selon le paragraphe 4.2. Concernant les fonctions traitées par le PAS, structure et composition sont définis en sous section "structure et composition". Concernant les fonctions traitées par le SAS, structure et composition sont définies au paragraphe 2 sous section "structure et composition". Concernant les fonctionnalités de la cellule électrique, leur spécification est en cours d'étude, et ne permet pas encore de définition précise de leur structure et composition. Cet aspect sera détaillé ultérieurement Installation Les équipements traitant les fonctions PACS seront implantés : Pour les automates PAS et SAS : dans les locaux automates de la division ou section de l'actionneur commandé, Pour les cellules électriques, dans les locaux tableaux électriques de la division ou section électrique de l'actionneur commandé Interfaces avec les systèmes de contrôlecommande Les fonctions PACS sont gérées par une entité PAS/SAS, cellule électrique qui échange des informations avec : Les IHM centralisées : - MCP/PdR, - MCS, L'IHM locale (enfichable sur la cellule électrique), au titre du démarrage de l'installation et de la commande en cas de dysfonctionnement automate, Le PAS ou le SAS (pour les fonctions de contrôle commande autres que celles gérées au titre du PACS : élaboration des commandes automatiques d'exploitation, élaboration des défauts autres que ceux de mouvement, etc.), Le PS (pour la gestion des commandes de sûreté), Le (ou les) organe(s) de coupure (conditionnant l'alimentation électrique de l'actionneur), Les capteurs issus du procédé CONFIGURATIONS OPERATIONNELLES La configuration (d un point de vue matériel et fonctionnel) du PACS est indépendante de l'état de la tranche. L allocation des traitements au sein des différents équipements gérant les fonctions PACS (automate et cellule électrique) dépend seulement de critères fonctionnels et des fonctionnalités natives de ces 2 équipements. La configuration du PACS est constante TECHNOLOGIE La technologie du PACS est définie par celle des équipements matériels qui traitent ses fonctions. PAS et SAS : sera détaillée lorsque le système de contrôlecommande standard aura été choisi, Cellule électrique : pour le pilotage des actionneurs (basse et haute tension) : cellule gérée par un contrôle-commande de technologie conventionnelle (avec protections électriques de technologie numérique pour les cellules d'actionneurs haute tension), La définition des cellules électriques est en cours d'étude. Le présent chapitre sera détaillé ultérieurement ALIMENTATION ELECTRIQUE Elle relève des principes d'alimentation électrique des différents équipements qui assurent le traitement des fonctions du PACS soit : automate PAS (ou SAS, selon requis fonctionnel) : alimenté en 230V alternatif, par une double alimentation secourue (voir détail en sous section "Alimentation électrique" pour le PAS et au paragraphe 2 sous section "Alimentation électrique" pour le SAS). L'automate PAS (ou SAS) assurant la gestion des fonctions PACS d'un actionneur donné est alimenté par la même division ou section que celle de l'actionneur. Cellule électrique : elle est alimentée : Pour la tension de puissance : par une alimentation qui, selon le requis fonctionnel, est secourue ou pas, Pour la tension de commande, qui alimente le contrôle commande interne à la cellule, par une alimentation issue en amont de deux sources redondées 230V alternatif. La nature et le niveau de la tension de commande seront définies ultérieurement par le fournisseur de tableau, et seront précisées lorsque connues DISPOSITIONS PRISES POUR REALISER LES TESTS PERIODIQUES Selon RCC-E (cf. chapitre 1.6), les fonctions F2 (au cas par cas), F1B et F1A, doivent être périodiquement testées. A ce titre, et fonction de son classement, le PACS, en temps qu'élément de la chaîne de commande de l'actionneur, est assujetti à des tests périodiques permettant de vérifier l'intégrité de la chaîne de commande. Ce test s'applique à la fonction globale, et comprend : l'initiateur du test (commande manuelle IHM ou action mécanique locale sur un capteur, selon les cas), le PACS, se composant de l'automate (PAS ou SAS, selon requis fonctionnel) et de la cellule électrique (comprenant le ou les organes de coupure), l'actionneur, dont on vérifie le mouvement suite à sollicitation lors du test. Nota : si la mise en configuration de l actionneur concerné ne peut pas être effectuée (par exemple lors du fonctionnement de la tranche) des dispositions seront prises pour que le test n'entraîne pas la commande effective de l'actionneur. Les principes fondamentaux liés aux tests périodiques sont énumérés ci-après : Autant que possible, le test périodique devra être réalisé à partir de la salle de commande principale si les tests ont une action sur le processus, ou si les tests concernent l'interface homme-machine elle-même, sans nécessiter d'intervention locale. Quand un actionneur de sauvegarde reçoit des commandes de plusieurs systèmes (par exemple les PS et SAS ou PAS), le test de cet actionneur devra être réalisé autant que possible d'un de ces systèmes uniquement. Le test des commandes venant des autres systèmes devra être réalisé sans manœuvrer réellement. Les tests qui impliquent le mouvement de l actionneur, et requièrent l'utilisation d'une l'ihm pour envoyer les commandes et vérifier l'information en retour, imposent la participation du personnel. Ces essais devraient demeurer manuels (aucune configuration automatique, en préambule aux test des systèmes mécaniques pour les essais)

32 Cliquez pour voir : 7.3 Tab 1 : Données d entrée du système de protection fournies par d autres systèmes de contrôle-commande 7.3 Tab 2 : Destination des données de sortie du système de protection 7.3 Tab 3 : Fonctions d arrêt d urgence du réacteur et de la turbine exécutées par le système de protection (liste préliminaire) 7.3 Tab 4 : Fonctions de sauvegarde exécutées par le système de protection (liste préliminaire) 7.3 Tab 5 : Fonctions de commande des systèmes de sauvegarde exécutées par le système de protection (liste préliminaire) 7.3 Tab 6 : Fonctions de déclenchement des systèmes auxiliaires de sauvegarde exécutées par le système de protection (liste préliminaire) 7.3 Tab 7 : Fonctions de commande des systèmes auxiliaires de sauvegarde exécutées par le système de protection (liste préliminaire) 7.3 Fig 1 : Interfaces et relations entre le système de protection et les autres systèmes des niveaux 0,1 et Fig 2 : Structure fonctionnelle générale (division 1) du système de protection (PS) 7.3 Fig 3 : Architecture matérielle de la partie F1A du système de protection (PS) 7.3 Fig 4 : Interfaces matérielles du système de protection (PS) 7.3 Fig 5 : Logique d'actionneur 7.3 Fig 6 : Relation entre structure fonctionnelle et architecture matérielle fonctions d'aar à 2 niveaux 7.3 Fig 6 : Relation entre structure fonctionnelle et architecture matérielle - fonctions d'aar à 3 niveaux 7.3 Fig 6 : Relation entre structure fonctionnelle et architecture matérielle - systèmes de sauvegarde 7.3 Fig 6 : Relation entre structure fonctionnelle et architecture matérielle - systèmes supports 7.3 Fig 6 : Relation entre structure fonctionnelle et architecture matérielle - boucles de régulation 7.3 Fig 7 : Modes de fonctionnement 7.3 Fig 8 : Flux d'information entre les différentes parties du PS

33 sous chapitre EXIGENCES DE SURETE Fonctions de sûreté La contribution du MCP aux fonctions de sûreté supportées par les systèmes de contrôle commande est décrite dans le chapitre (alinéa sur les fonctions F2). Ainsi, en ce qui concerne la démonstration de sûreté, le système MCP a pour mission de fournir à l'équipe de conduite les informations et commandes nécessaires pour surveiller et conduire la tranche en situation PCC-1 (dans des conditions et les limites du fonctionnement normal de l installation) et dans les situations RRC-A et RRC-B. Le MCP doit alors être conçu afin de supporter des fonctions F2 et NC. Le MCP est également le moyen de conduite privilégié pour assurer une conduite optimisée de l installation en situation PCC-2 à PCC-4 (cf. chapitre 13 pour plus de détails) Exigences relatives à la conception LES SYSTÈMES DE CONTROLE COMMANDE CLASSES F2 OU NC 1. ARCHITECTURE DU MOYEN DE CONDUITE PRINCIPAL (MCP) Exigences issues des classements fonctionnel et mécanique Classement fonctionnel du système Le MCP supporte des fonctions de conduite et de surveillance F2 et NC. Il doit être classé de sûreté F2/NC, conformément au classement indiqué au chapitre 3.2. Le MCP étant le moyen de conduite privilégié pour assurer une conduite optimisée de l installation en situation PCC-2 à PCC-4 : le matériel et l architecture de l interface homme-machine informatisée des postes opérateurs en salle de commande principale doivent satisfaire aux exigences applicables aux systèmes F1B, le logiciel correspondant doit satisfaire à des exigences de qualification détaillées à proposer par le concepteur, les moyens doivent être mis en oeuvre (en dehors du MCP) pour la détection et la signalisation des défaillances des unités de traitement du MCP, et ces moyens doivent satisfaire aux exigences applicables aux fonctions et équipements F1B Critère de défaillance unique (active et passive) Le critère de défaillance unique n est pas requis pour les fonctions F2 du MCP. De par l application des exigences F1B aux matériels et à l architecture de l interface homme-machine informatisée des postes opérateurs en salle de commande, le critère de défaillance unique doit être respecté par l architecture formée par ce sous-ensemble de matériels du MCP Alimentations électriques secourues De par le classement F2 du MCP, l exigence d une alimentation électrique secourue des équipements MCP doit être définie au cas par cas. De par l application des exigences F1B aux matériels et à l architecture de l interface homme-machine informatisée des postes opérateurs en salle de commande, a minima l alimentation électrique des matériels correspondants doit être secourue par les groupes diesel principaux. De plus, cette alimentation doit être du type "sans coupure" pendant tous les modes de fonctionnement possibles et les transitoires correspondants Qualification aux conditions de fonctionnement Les équipements MCP doivent être qualifiés en fonction de leur classement de sûreté, et doivent en conséquence respecter les exigences de qualification (intégrité, disponibilité, ) définies au chapitre 3.7 et ce pour les conditions d ambiances normales et extrêmes auxquels ils sont soumis lors de l accomplissement de leur mission (cf. chapitre 9.4.1) Classements mécanique, électrique, contrôlecommande Les classements mécanique et électrique ne s appliquent pas aux équipements de contrôle-commande. Selon le chapitre 7.1 concernant le classement contrôle-commande : Une partie des matériels du MCP (de par l application des exigences F1B aux matériels et à l architecture de l interface hommemachine informatisée des postes opérateurs en salle de commande) doit être classé E1B, Le reste des matériels du MCP : - assurant des fonctions F2 doit être classé E2, - assurant des fonctions NC doit être non classé Classement sismique Une partie des matériels du MCP doivent appartenir à la classe sismique 1 : de par l application des exigences F1B aux matériels et à l architecture de l interface homme-machine informatisée des postes opérateurs en salle de commande ; au titre de la défense en profondeur, les postes de la station de repli étant identiques à ceux de la salle de commande principale, le projet a retenu une exigence de classement séisme des fonctions de commande et de supervision de la station de repli de l EPR (les fonctions d impression, d archivage si elles sont requises pour la station de repli ne sont pas qualifiées séisme). Les autres équipements du MCP doivent appartenir à la classe sismique 2 au titre de la non agression des matériels appartenant à la classe sismique Essais périodiques Les équipements du MCP supportant des fonctions F2 sont assujettis aux essais périodiques dès lors qu ils ne sont pas sollicités en exploitation continue Autres exigences réglementaires Règles Fondamentales de Sûreté Le MCP n est pas concerné Directives Techniques Les directives techniques énoncées dans le document DGSNR/SD2/0729/2004 du 28/09/2004 "options de sûreté du projet réacteur EPR" doivent être prise en compte à la conception du MCP Textes EPR spécifiques Le MCP doit satisfaire aux exigences énoncées dans le RCC-E (cf. chapitre 1.6) Agressions A/ Exigences pour lesquelles les dispositions générales d installation permettent de protéger le système vis-à-vis des agressions : Le MCP doit être protégé contre les défaillances de mode commun pouvant résulter des agressions internes ou externes en suivant les exigences définies aux chapitres 3.3 (agressions externes) et 3.4 (agressions internes). B/ Exigences de protection du système vis-à-vis d agressions particulières : Sans objet. C/ Agressions ne concernant pas le système : Sans objet

34 Essais Essais pré-opérationnels Le MCP doit faire l objet d essais pré-opérationnels, permettant de vérifier après montage la conformité des performances du système avec les exigences de conception Surveillance en exploitation Le moyen classé F1B mis en œuvre pour détecter et signaler les défaillances éventuelles des unités de traitement du MCP permet de surveiller en salle de commande le bon fonctionnement des unités de traitement du MCP Essais périodiques Aucun essai périodique n est exigé pour les fonctions NC. Les fonctions F2 non sollicitées en fonctionnement continu doivent faire l objet d essais périodiques. Ainsi, le PdR doit être conçu pour permettre la réalisation des essais périodiques Exigence de conception du Contrôle- Commande Pas de contrainte particulière en dehors de celles énoncées dans le tableau 7.1 TAB MISSIONS Le moyen de conduite principal (MCP) est le système de contrôle commande supportant les moyens informatisés de commande et de surveillance de l installation, il inclut : Les postes opérateurs et le synoptique (SYN) installés dans la salle de commande principale; Le poste opérateur installé dans le local technique de crise (LTC) à des fins de surveillance ; Les postes opérateurs installés dans la Station de Repli (SdR) ; Les postes opérateurs minimum (avec un nombre réduit d écrans) qui peuvent être installés en compléments des moyens de conduite informatisés dans des situations de tranche particulières (par exemple, mise en service) ou pour des activités spécifiques (par exemple, maintenance). En outre, le MCP enregistre les signaux et les événements significatifs qui se produisent dans la tranche et assure l'interface avec les applications hors temps réel (également appelées applications de niveau 3) comme l application d aide à la consignation. La mission principale du MCP est par conséquent de fournir à l équipe de conduite, quelle que soit la situation de tranche, les commandes et informations adaptées à ses activités. Cette mission nécessitant une interaction avec des opérateurs, l'interface hommemachine du MCP doit être conforme aux critères ergonomiques prenant en compte les aptitudes cognitives et physiologiques du personnel de conduite FONCTIONS SUPPORTEES Afin d'atteindre l'objectif énoncé dans le paragraphe précédent, le MCP offre les fonctionnalités suivantes : Fonctions d'affichage - Affichage des images, des modes opératoires, des fiches d alarmes, des fiches techniques et des listes, - Navigation entre les différentes images, - Désignation de l objet avec lequel l'opérateur doit interagir, - Rafraîchissement des images (couleur, forme des objets ) à partir des informations process, - Visualisation et traçage des courbes, - Impression de différentes images ou listes. Fonctions de contrôle commande - Envoi des commandes aux actionneurs au travers des systèmes de contrôle commande, - Affichage des comptes rendus des commandes, - Permettre la présentation des données à l'opérateur. Fonctions d'alarme - Avertir les opérateurs dès l apparition d une alarme, - Gérer les listes d alarmes, - Permettre l accès aux fiches d'alarme. Fonctions de traitement - Gestion de(s) base(s) de données, - Lancement de traitements en cas de changement d état, - Elaboration d'information si nécessaire (situations, alarmes, information de synthèse ). Fonctions d'interface - Acquérir et filtrer les informations process par l'intermédiaire du niveau d automatisme, - Envoi d ordre vers le procédé par l'intermédiaire du niveau d automatisme. Fonction d archivage - Archivage des données logiques et analogiques, - Récupération des données archivées. Fonctions administratives et de maintenance - Fournir une aide à la maintenance, - Fournir une aide pour l'analyse (par exemple analyse des accès aux PO, ), - Assurer les tâches de sécurité informatique (par exemple la gestion des accès aux PO, ), - Gestion des introductions de données en fonctionnement, - Auto surveillance. Ces points permettent de s'assurer que les résultats du programme facteur humain décrit dans le chapitre 17 peuvent être mis à la disposition de l équipe de conduite. Pour compléter ces fonctionnalités, une attention particulière est portée lors de la conception de l'interface opérateur et de l'environnement de travail comme détaillé dans le paragraphe PRINCIPES DE CONCEPTION Exigences de disponibilité Les objectifs principaux pour l'architecture du MCP sont disponibilité, flexibilité et maintenabilité. En particulier, cela signifie que le MCP est suffisamment flexible et redondant pour : Empêcher la plupart des pertes du MCP suite à la défaillance d un de ses équipements, Permettre la ré-allocation de l espace de travail (écrans, postes opérateurs, ) quand certains équipements (écran, ordinateur ) sont indisponibles, Faciliter les opérations d'entretien et de réparation afin de réduire au minimum la période d'indisponibilité du MCP, Permettre l ajout d'autres composants (poste opérateur complémentaire par exemple) pendant des phases spécifiques (par exemple mise en service, maintenance) Performances requises Le MCP est soumis à des exigences particulières en matière de performances : Exigence concernant les temps de réponse : ces exigences ont pour objectif de s'assurer que le MCP peut fournir le niveau nécessaire d'information quelle que soit la situation de tranche. Les critères globaux concernent les points suivants : Temps maximal entre une variation observée au niveau 0 (capteurs) et la mise à jour des informations correspondantes à l'écran ;

35 Temps maximal entre l'action de l'opérateur et la transmission de l ordre correspondant à l actionneur ; Temps nécessaire pour que l information demandée par l'opérateur lui parvienne. Ces exigences générales sont prises en comptes lors de la conception du MCP de la façon suivante : Pour un ordre manuel (depuis l'action de l'opérateur jusqu à la transmission au niveau 1) en tenant compte du temps de réponse de l IHM, de la précision de la valeur transmise et du temps de transit. Pour le compte rendu d'un ordre manuel (depuis la sortie niveau 1 jusqu à la mise à jour de l affichage) en tenant compte du temps de réponse pour la visualisation, de la précision de la valeur affichée et du temps de transit. Pour la visualisation de la valeur d'un capteur (depuis la sortie niveau 1 jusqu à la mise à jour de l affichage) en tenant compte du temps de réponse pour la visualisation, de la précision de la valeur affichée et du temps de transit. Exigences concernant le dimensionnement : - Le dimensionnement statique inclut le nombre d actionneurs, de capteurs que le MCP doit gérer et le nombre d'images, d objets animés, de pages de procédures, de fiches d alarmes qui devront être supportés par les moyens de conduite informatisés, - Le dimensionnement dynamique permet de spécifier le nombre de changements d'état ou de variations analogiques que le MCP doit suivre sur une période donnée. La valeur pour les différents critères énoncés ci-dessus sera définie lors des études détaillées. Elles dépendent principalement des critères ergonomiques (par exemple : le temps de réponse pour le rafraîchissement d information ou le compte rendu de commande ; le type d'information et de leur organisation pour le dimensionnement statique) ou des études fonctionnelles Exigences d environnement Les conditions ambiantes dépendent en grande partie de l'emplacement des différents équipements (salle de commande principale, Station de Repli ou locaux d'armoires de CC). On distingue deux catégories : Les conditions d environnement auxquelles les équipements sont soumis. Ceci inclut la température et l'humidité relative de la pièce. La contribution de l'équipement aux conditions ambiantes. Cette catégorie inclut le niveau de bruit et la chaleur dégagée. Pour le cas particulier des équipements de visualisation, certaines conditions environnementales particulières telles que l'éclairage doivent être considérées d'un point de vue ergonomique. Les dispositions qui doivent être prises sont étudiées dans le cadre de la démarche Facteur Humain (cf. le chapitre 17.2 pour la prise en compte dans le programme Facteur Humain notamment au travers des études d aménagement, et le chapitre 17.4 pour la définition des exigences relatives aux conditions d ambiance) Exigences concernant l interface hommemachine Du point de vue Facteur Humain, le MCP joue deux rôles : Le MCP doit disposer des fonctionnalités permettant de mettre en œuvre les résultats de la démarche facteur humain (par exemple sur les traitements, le type de données supporté, l organisation des données, l agencement de l imagerie, les moyens de navigation, le système d'alarme, les mécanismes d aide à la conduite ) ; Le MCP doit fournir aux opérateurs de conduite un environnement de travail comprenant une interface respectant les exigences ergonomiques de l état de l art (organisation des différents moyens de conduite dans la salle de commande, agencement des postes de travail, moyens de dialogue, moyens de communications ). Ces exigences sont prises en considération dans le cadre du programme Facteur Humain détaillé dans le chapitre ARCHITECTURE Structure et composition Pour remplir sa mission, le MCP s appuie sur les ressources suivantes (logiciel et/ou matériel) : Interfaces graphiques pour l interface homme-machine ; Interfaces réseaux pour l'échange de données; Base(s) de donnée(s) temps réel (informations élaborées ou issues du process, et leurs attributs, données de l'interface hommemachine) ; Périphériques d archivage et d impression ; Système d'exploitation ; Logiciel applicatif. Ces ressources sont utilisées par les équipements suivants : Postes de conduite dans la salle de commande principale et dans la SdR, Postes de surveillance dans la salle de commande principale et au local technique de crise (LTC), Un synoptique (SYN) en salle de commande principale, constitué de grands écrans, Les postes opérateurs minimum pendant des phases ou des tâches spécifiques (ex : mise en service), Un ensemble d'ordinateurs associés aux postes de travail ou, si besoin, centralisés et installés dans les locaux d'armoires de CC (divisions 1 et 4), Equipements permettant l impression, Equipements permettant l archivage, Interfaces avec les outils d ingénierie, Interfaces avec d'autres applications (niveau 3), Réseaux pour l'échange de données entre le MCP et les systèmes de niveau 1 ou 3. Les postes opérateurs se composent d'écrans standard, rafraîchis par des unités de traitement selon le contenu de(s) base(s) de données, et de dispositifs de pointage et de saisie (souris, claviers, etc..). Les postes opérateurs, qu ils soient en mode conduite ou en mode supervision, sont constitués des même équipements et fournissent des fonctionnalités identiques. Tout poste opérateur en mode supervision, installé en salle de commande principale ou en SdR, peut être configuré en ligne pour devenir un poste opérateur en mode conduite afin de permettre une ré-allocation des postes opérateurs en cas de perte totale d'un poste de opérateur en mode conduite. Cette possibilité est régie par des procédures. Le nombre de postes de travail, ainsi que leur composition détaillée (le nombre d'écrans par exemple), leur positionnement dans la salle de commande, dans le local technique de crise ou dans la SdR, dépend des résultats du programme Facteur Humain (cf. chapitre 17.2). Le synoptique (SYN) est considéré comme partie intégrante du MCP, il est par conséquent soumis au même classement de sûreté (c.-à-d. F2/NC) et peut être considéré comme un poste opérateur configuré en mode supervision. Le cas où le synoptique est indisponible en même temps que le MCP doit être pris en compte, tout particulièrement pour la conception du MCS (cf. chapitre 17.4). Les fonctions de contrôle commande supportées par le MCP (cf. paragraphe 1.2) sont réparties parmi les équipements énumérés précédemment pour répondre aux exigences de sûreté et de disponibilité : Les fonctions F2 sont implémentées sur les équipements ou groupe d'équipements E2, les fonctions non classées sont de préférence implémentées sur un équipement non classé ; Les constituants des MCP et MCS sont suffisamment différents pour réduire au minimum les risques de mode commun. Cette mesure est complétée par des dispositions appropriées concernant l installation des matériels (cf. chapitre 7.1) ;

36 Les moyens de traitement nécessaires pour commander et superviser la tranche depuis les postes opérateur en SdR sont installés dans les locaux d'armoires de CC des divisions 1 et 4, en dehors de la salle de commande principale (dans une zone de feu différente de celle de la salle de commande principale) de sorte qu'ils ne puissent être perdus en même temps que la salle de commande principale ; L'architecture du MCP (au moins la partie exécutant le noyau F2) est dite à tolérance de panne, c est-à-dire qu elle prend en compte des critères de redondance et d'indépendance suffisants, de sorte que les pannes les plus probables ne puissent pas causer la perte des fonctions d IHM Installation Les équipements graphiques du MCP sont répartis ainsi : Dans la salle de commande principale : - Postes opérateur en mode conduite, - Postes opérateur en mode supervision, - Postes opérateur avec un nombre réduit d écran, dont certains de façon temporaire (par exemple pour le premier démarrage), - Synoptique (SYN), - Périphériques d impression. Dans le local technique de crise (LTC) : - Poste opérateur en mode supervision, - Périphériques d impression. Dans la SdR : - Postes opérateur en mode conduite (lorsque le PdR est actif, en mode supervision sinon), - Poste opérateur minimum configuré en mode supervision, - Périphériques d impression Interfaces avec les autres systèmes de CC Le MCP présente 3 types d'interfaces avec les autres systèmes de CC : L'interface avec le niveau d'automatisme (PS/SAS/PAS/RCSL) L'interface avec les outils d ingénierie et de maintenance (du MCP) L'interface avec les applications de niveau MODES DE FONCTIONNEMENT Du point de vue du contrôle-commande, les différents modes de fonctionnement du MCP sont les suivants : La configuration standard du MCP est : - Tous les postes opérateurs, qu ils soient en mode conduite ou en mode supervision de la salle de commande principale fonctionnent, - Le synoptique est opérationnel, - Les postes opérateurs en SdR sont en mode supervision, - Le poste opérateur du local LTC n est pas opérationnel excepté dans la situation où une équipe de renfort est nécessaire. Dans ce cas, le poste opérateur du local LTC est configuré en mode supervision. Défaillance non critique d'un équipement du MCP : dans cette configuration, une partie du MCP est défaillant mais les équipements encore disponibles sont suffisants pour réaliser une ré-affectation des fonctions de conduite permettant ainsi d utiliser le MCP pour commander et surveiller la tranche. Les situations caractéristiques sont les suivantes : - Perte d'un équipement non graphique : la redistribution des ressources de traitements ou d'interface est faite dans la plupart des cas automatiquement par le système (mécanismes de redondance par exemple) et ne perturbe pas sensiblement la tâche de l opérateur ; - Perte d'un écran d un poste opérateur : comme les écrans des postes opérateur sont banalisés, l'opérateur peut redistribuer ses tâches sur les écrans restant ; - Perte d'un poste opérateur en mode conduite : un poste opérateur opérationnel en mode supervision peut être configuré en mode conduite en remplacement du poste opérateur défaillant ; - Perte d'une partie du synoptique : le synoptique est organisé en plusieurs zones de la même façon qu un poste opérateur dispose de plusieurs écrans. Ceci permet de redistribuer l affichage du synoptique en utilisant les zones restantes en cas de défaillance d un des grands écrans constituant le synoptique ; - Perte du synoptique : la perte du synoptique ne conduit pas à la perte du MCP ; - En complément de ces dispositions, les activités de maintenance sont étudiées afin de réduire le temps nécessaire pour remplacer ou réparer le matériel en défaut. Indisponibilité du MCP : en cas de perte fortuite du MCP ou de l arrêt programmé du MCP pour maintenance, la conduite est transférée du MCP au MCS. Ce transfert est géré par des procédures. En ce qui concerne le seul domaine du contrôlecommande, ces procédures explicitent les actions particulières à réaliser pour se prémunir contre l émission d ordres intempestifs par le MCP et leur prise en compte par le process. Indisponibilité de la salle de commande principale : en cas de perte de la salle de commande sur risque interne (d incendie par exemple), les équipements du MCS et du MCP situés dans la salle de commande principale ne sont plus disponibles. Dans ce cas, l'équipe de conduite utilise les moyens de conduite situés à la SdR. Comme pour la situation précédente, des actions adaptées sont prises pour empêcher l émission d ordres intempestifs depuis la salle de commande principale. La configuration du MCP est alors la suivante : - Les postes opérateur de la SdR sont opérationnels et configurés en mode conduite, - L ensemble des commandes du MCP en salle de commande sont verrouillés afin d éviter des ordres intempestifs. La manière dont les différents équipements du MCP sont utilisés pour la conduite ou la supervision de la tranche dans les situations particulières exposées ici est détaillée dans le chapitre 17. Les différentes configurations (particulièrement la différence entre une indisponibilité du MCP et une défaillance non critique d un de ces composants) sont déterminées en fixant le minimum d'équipements requis pour conduire l installation depuis le MCP (le nombre minimum d écrans nécessaires pour conduire à partir d'un poste opérateur, nombre minimum de postes opérateurs en mode supervision et en mode conduite pour pouvoir conduire l installation ). Ces conditions minimales dépendent de la manière dont les différents équipements sont utilisés, c est pourquoi elles sont principalement déterminées au travers du programme Facteur Humain (cf. chapitre 17) TECHNOLOGIE Ce paragraphe sera détaillé lorsque le système numérique de contrôle commande standard aura été choisi ALIMENTATION ELECTRIQUE La partie "calculateurs" du MCP (qui n est pas situé en salle de commande) est alimentée électriquement par les divisions 1 et 4 de sorte que la perte d une de ces deux sources d alimentation ne conduise pas à la perte totale du MCP. Les postes opérateurs en salle de commande sont alimentés par les divisions 1, 2, 3 et 4, de sorte que la distribution électrique en salle de commande principale permette de minimiser l'impact sur les équipements situés en salle de commande d une perte d alimentation électrique d une division DISPOSITIONS PRISES POUR LA REALISATION DES ESSAIS PERIODIQUES Seuls les matériels installés dans la SdR sont concernés par la réalisation d essais périodiques. Les essais périodiques seront réalisés par la vérification du bon fonctionnement du PdR

37 2. ARCHITECTURE DU SYSTÈME D'AUTOMATISME DE TRANCHE (PAS) 2.0. EXIGENCES DE SURETE Le système de contrôle-commande PAS est assujetti aux exigences de sûreté applicables aux systèmes de contrôle commande F2, du fait de sa gestion du contrôle-commande associé aux fonctions de sûreté F2. Le système PAS assure le traitement des actions automatiques et manuelles, et la surveillance associée, nécessaires à l'accomplissement des fonctions de sûreté énoncées ci-dessous Fonctions de sûreté Le PAS participe aux trois fonctions fondamentales de sûreté (maîtrise de la réactivité, évacuation de la puissance résiduelle et confinement des substances radioactives) au titre de la gestion des traitements de contrôle-commande associés aux fonctions suivantes : Fonctions F2 non classées séisme (F2N), Fonctions non classées (NC). La gestion des fonctions F2 classées séisme (F2E) est dédiée au système SAS (cf section "Fonctions de sûreté") Exigences relatives à la conception Au titre des fonctions F2 dont il assure la gestion des automatismes et des commandes manuelles, et la surveillance liée, le système PAS doit satisfaire aux exigences énoncées ci-après. Ces exigences doivent être respectées pour l'ensemble des fonctions d'automatisme gérées par le système PAS (comprenant la partie des fonctions PACS traitées par les équipements PAS, selon section "Fonctions de sûreté") Exigences issues des classements fonctionnel et mécanique Classement fonctionnel du système Le système PAS doit être classé de sûreté, conformément au classement indiqué au chapitre Critère de défaillance unique (active et passive) Le critère de défaillance unique ne s'applique pas au système PAS (ne gérant pas de fonctions F1). Indépendance et séparation physique : elles doivent être assurées dès lors que : Le système PAS est utilisé en secours d'un système F1A (cas de l'atws), il doit être séparé physiquement du système PS, Le système PAS (pour ses traitements F2) est utilisé pour atténuer les conséquences d'une agression interne ou externe, son fonctionnement ne doit pas être impacté (de manière inadmissible) par cette agression Alimentations électriques secourues L'exigence d'une alimentation électrique secourue des équipements PAS doit être définie au cas par cas. Dans le cas où cette exigence doit être satisfaite, l'alimentation doit être secourue par les groupes diesels principaux. Par ailleurs, cette alimentation doit alors être du type "sans coupure", garantissant une alimentation même pendant le basculement alimentation normale / alimentation par diesel. Le système PAS doit être alimenté par la même division / section que celle du procédé dont il assure le pilotage Qualification aux conditions de fonctionnement Les équipements PAS doivent rester opérationnels en conditions post-accidentelles, et doivent en conséquence respecter les exigences de qualification définies au chapitre 3.7. Par ailleurs, ces équipements doivent être opérationnels pour les conditions environnementales normales et extrêmes des locaux automates dans lesquels ils sont implantés. Ces conditions sont définies au chapitre Classement mécanique, électrique, contrôle-commande Les classements mécanique et électrique ne s'appliquent pas aux équipements de contrôle-commande. Le classement de contrôle-commande des équipements PAS doit être le suivant, conformément aux principes définis au chapitre 3.2 : Classement E2 pour les équipements PAS assurant le traitement des fonctions de sûreté F2N, Les équipements PAS gérant des traitements non classés sont Non Classés (NC), vu du "classement" de contrôle-commande Classement sismique Les équipements PAS implantés dans des locaux où ils cohabitent avec des équipements Classés Séisme 1 (SC1) doivent être Classés Séisme 2 (SC2) au titre de la non agression de matériels SC1 en cas de séisme Essais périodiques Les traitements F2 gérés par le système PAS sont assujettis aux essais périodiques (dès lors qu'ils ne sont pas sollicités en exploitation continue) de la fonction de sûreté dont il assure les automatismes et la surveillance (sauf règle particulière énoncée au chapitre 3.4), Pour les fonctions F2 qui y sont assujetties, le système PAS doit être conçu pour permettre la réalisation d'essais périodiques Exigence supplémentaire Sans objet Autres exigences réglementaires Règles fondamentales de sûreté Système PAS non concerné Directives techniques Les directives techniques énoncées dans le document DGSNR/SD2/0729/2004 du 28/09/04 "Options de sûreté du projet de réacteur EPR" (et plus spécifiquement G3.4 et G3.7) doivent être prises en compte à la conception du système PAS Textes spécifiques EPR Le système PAS doit satisfaire aux exigences énoncées dans le RCC- E (cf. chapitre 1.6) Agressions a) Exigences pour lesquelles les dispositions générales d'installation permettent de protéger le système vis à vis des agressions : Le système PAS gère les fonctions d'automatisme et de surveillance chargées d'atténuer les conséquences d'une agression interne ou externe (cf. paragraphe 2 section "Fonctions de sûreté"). Ces fonctions doivent rester opérationnelles lors d'une agression, et donc ne pas être impactées (de manière inadmissible) par l'agression elle-même ou par ses conséquences. Pour ces fonctions, une analyse est menée au cas par cas pour définir les mesures mises en œuvre (redondance, séparation, indépendance.) pour prémunir les équipements PAS contre l'agression. b) Exigences de protection du système vis à vis d'agressions particulières Sans objet c) Agressions ne concernant pas le système Sans objet Essais Le système PAS doit faire l'objet d'essais pré-opérationnels, permettant de vérifier après montage la conformité des performances du système avec les exigences de conception. L'exigence liée aux essais périodiques est exprimée au paragraphe 2 section "Essais périodiques" MISSIONS La mission du PAS est d'assurer la gestion des fonctions de contrôle commande requises F2N et NC (définies au paragraphe 2 section "Fonctions de sûreté") des îlots nucléaire, conventionnel et site

38 2.2. FONCTIONS ASSUREES Les fonctions de contrôle commande assurées par le PAS sont les suivantes : Traitements des données : acquisition, conditionnement et mise à disposition, Traitements de calculs applicatifs : régulations, élaboration de commandes individuelles et groupées (simultanées ou séquentielles), hiérarchisation des priorités de commande, élaboration d'informations diverses à destination des autres unités de contrôle-commande, etc. Traitements de surveillance : traitement des comptes-rendus d'état et de défauts, élaboration des alarmes et signalisations BASE DE CONCEPTION Exigence de disponibilité Les principales exigences conditionnant la disponibilité du PAS sont liées à la fiabilité et à la maintenabilité du système, qui se traduisent par : Limiter les pertes du PAS dues à la perte de l'un de ses composants (par la redondance de ses composants notamment), Faciliter la maintenance et la réparation du PAS pour réduire au minimum sa période d'indisponibilité Performances requises Le PAS est soumis à des exigences de performance : Exigences de temps de réponse : - Temps maximum entre la variation d'une entrée (logique ou analogique) et la transmission à l'interface de sortie, - Temps maximum entre la réception d'une commande manuelle et sa transmission à l'interface de sortie. Ces critères globaux sont appliqués au niveau du PAS de la façon suivante : - Pour une commande manuelle, cf. paragraphe 1 section "Performances requises" - Pour une commande automatique : - Acquisition d'une entrée logique, traitement de la commande logique et transmission à une interface de sortie, - Acquisition d'une entrée analogique, traitement d'une commande logique ou analogique et transmission à une interface de sortie. Le PAS doit contribuer à remplir les critères globaux décrits ci-dessus et ceux de la section "Performances requises" du paragraphe 1. Notamment, les tâches de traitements et de transit assurées par le PAS doivent contribuer au respect des exigences sur les temps de réponse globaux (comprenant les échanges entre MCP/PDR, PAS et niveau 0). Exigences de dimensionnement : - Respect du dimensionnement statique défini par le nombre d'entrées / sorties (actionneurs, capteurs, etc.) que le PAS doit gérer, - Respect du dimensionnement dynamique défini par les temps de traitement, tenant compte du type d'exécution du programme (périodique ou déclenché par un événement) que le PAS doit gérer Exigences relatives à l environnement Les conditions environnementales que les équipements PAS devront supporter sont liées à la température et à l'humidité relative des locaux abritant ces matériels. Ces caractéristiques environnementales sont définies au chapitre 9.4.1, autant pour les conditions normales que pour les conditions extrêmes Exigences relatives à l interface homme machine PAS non concerné ARCHITECTURE Structure et composition La structure et la composition du PAS sont dictées par des exigences fonctionnelles. L'ensemble de ces exigences conditionnent l'allocation des traitements de contrôle commande dans les différentes entités matérielles du PAS. Ces exigences fonctionnelles portent sur : Le classement fonctionnel des traitements (qui dans le cas du PAS peut être F2 ou NC). La division ou section électrique (en correspondance avec celle du procédé, actionneurs et capteurs, à gérer), La typologie de traitements à effectuer (pouvant conditionner le choix du type de cartes d'entrée/sorties par exemple), La performance requise des traitements (temps de réaction, temps de propagation, précision), Les regroupements / exclusions de traitement, qui requièrent que certains traitements soient groupés (en regard d'un requis de perte simultanée de ces traitements lors d'un dysfonctionnement de la partie du système de CC qui les gèrent), ou inversement, que certains groupes de traitement soient gérés par des unités matérielles PAS différentes (en regard d'un requis de maintien en service d'un groupe de traitements, malgré la perte de certains autres lors du dysfonctionnement). Par ailleurs, la structure du PAS prend en compte la segmentation du procédé piloté, dicté par le nombre, l'emplacement géographique et la typologie des interfaces des actionneurs et capteurs à gérer. Pour une fonction de sûreté donnée, il y a différentes combinaisons possibles, par exemple : 1 x 100 % : 1 train mécanique avec son système de CC associé, est nécessaire pour accomplir la fonction de sûreté 4 x 50 % : 2 trains mécaniques avec leur CC associé, parmi 4, sont nécessaires pour accomplir la fonction de sûreté 2 x 100 % : 1 train mécanique avec son CC associé, parmi 2, est nécessaire pour accomplir la fonction de sûreté Afin d'éviter qu'une défaillance interne ait un effet sur plus d un train mécanique, chaque train mécanique est commandé par un sousensemble du PAS situé dans la même division ou section que le train Installation Les équipements gérant les fonctions PAS sont répartis dans les 4 divisions de l'îlot nucléaire et dans les 2 sections des îlots conventionnel et site. Ils sont installés dans les armoires CC des divisions 1 à 4 des bâtiments BAS-BL, dans les armoires CC des 2 sections concernant l'îlot conventionnel, et pour le site dans les armoires CC des bâtiments du site. Les équipements PAS sont répartis : En correspondance avec l emplacement et la division/section des organes (actionneurs et capteurs) gérés Selon l'espace disponible pour leur implantation, En correspondance avec les alimentations électriques des divisions ou sections Interfaces avec les autres systèmes de CC Le PAS échange des informations avec : L instrumentation procédé : échange liés à l'acquisition des mesures et états, Les IHM : MCP/PdR, et MCS : échanges liés à la conduite opérateur, Les systèmes RCSL, PS, et SAS : échanges liés à la gestion des automatismes de la tranche, Les cellules électriques (tableaux électriques) et les organes de commande réglants (électro-positionneurs, etc.) : échanges liés à la commande des actionneurs Les systèmes "périphériques" (armoires du CC turbine, etc.) : échanges liés à la gestion des automatismes de la tranche. 7.4

39 2.5. CONFIGURATIONS OPERATIONNELLES La configuration (d un point de vue matériel et fonctionnel) du PAS est indépendante de la situation. L allocation du traitement dépend seulement des critères fonctionnels et des principes d'allocation des traitements du système de contrôle commande. La configuration du PAS est, de ce point de vue, constante. La configuration du PAS n'est dépendante que du dispositif suivant : en cas de défaut de fonctionnement d'une carte active, le système commute automatiquement sur la seconde carte, qui était en attente. Ce principe s'applique à toute carte redondée du PAS (cartes CPU et cartes de gestion de la communication) TECHNOLOGIE Ce paragraphe sera détaillé lorsque le système de contrôlecommande standard aura été choisi ALIMENTATION ELECTRIQUE Dans la division ou section, le PAS est alimenté en 230V alternatif. Si existence d'un requis fonctionnel d'alimentation secourue (définition au cas par cas), le PAS est alors alimenté par une double alimentation dont la première source électrique est fournie par le tableau de distribution principal, et la seconde est fournie par le tableau de sous-distribution. Chaque train mécanique est contrôlé par un sous-ensemble du PAS, situé dans et alimenté par la même division ou section que le train mécanique. Le réglage à la tension exigée par les armoires PAS sera effectué en interne aux armoires dédiées à leur alimentation. Ces armoires d alimentation sont situées dans les mêmes locaux que les armoires PAS DISPOSITIONS PRISES POUR REALISER LES TESTS PERIODIQUES Aucun test périodique n'est exigé pour les fonctions NC. Selon le chapitre , des tests périodiques sont exigés pour les fonctions F2 non sollicitées en fonctionnement continu (telles que les fonctions de réduction des risques). permettant de s'assurer de leur disponibilité en cas de demande. Le test d une fonction permettra de vérifier la chaîne de commande complète, depuis le capteur (commande automatique), ou depuis le MCP (cas d une commande manuelle), via le PAS, jusqu au changement d'état de l actionneur. Toutefois, si la commande effective de l actionneur concerné n est pas réalisable (par exemple lors du fonctionnement de la tranche) des dispositions sont prises pour bloquer les signaux de commande pendant l essai, de façon à tester la ligne de commande de l'actionneur, sans commander physiquement ce dernier. 3. ARCHITECTURE DU SYSTEME DE CONTROLE, DE SURVEILLANCE ET DE LIMITATION DU REACTEUR (RCSL) 3.0. EXIGENCES DE SURETE Fonction de sûreté Le système RCSL doit participer aux fonctions de sûreté suivantes : Maîtrise de la réactivité ; Evacuation de la puissance résiduelle Critères fonctionnels Le système RCSL assure le contrôle automatique, les fonctions LCO (conditions limites de fonctionnement) et les fonctions de limitation des paramètres du cœur. Il assurera la surveillance du cœur et déclenchera si nécessaire un arrêt partiel du réacteur Exigences de conception Exigences résultant du classement de sûreté Classement de sûreté Le système RCSL doit être classé sûreté selon les principes énoncés dans le chapitre Critère de défaillance unique (active) Ne s'applique pas Alimentations secourues Ne s'applique pas Qualification aux conditions de fonctionnement Les équipements assurant une fonction de sûreté F2 doivent être qualifiés pour rester fonctionnels dans des conditions postaccidentelles. Les exigences résultantes pesant sur ces équipements (intégrité, disponibilité, capacité de fonctionnement, etc.) sont présentées dans le chapitre Classements des équipements mécaniques, électriques et de contrôle-commande Le classement mécanique ne s'applique pas au système RCSL. Le classement électrique du système doit être EE2. Son classement contrôle-commande doit respecter les principes énoncés dans le chapitre 3.2 et qui sont les suivants : - E2 pour la partie F2, - NC pour l'autre partie Classement sismique Le système RCSL ne nécessite pas de classement sismique Autres exigences réglementaires Textes officiels Le document général "Options de sûreté du projet de réacteur EPR" (lettre DSIN 079/2000) s'applique au système RCSL Règle fondamentale de sûreté L application de la règle fondamentale de sûreté est développée dans le chapitre Règles techniques Parallèlement aux prescriptions générales indiquées dans le chapitre A.1 "Approche générale de la sûreté", les exigences s'appliquant au système RCSL sont présentées dans la section G3 (conception de l'ensemble contrôle-commande) cf. chapitre Règles de conception électriques Les règles de conception pour les équipements électriques ainsi que les règles spécifiques à appliquer à l'ensemble du contrôlecommande sont fournies dans le RCC-E (cf. chapitre 1.6) Agressions internes et externes Agressions internes : Aucune exigence. Agressions externes : Aucune exigence Essais Les Essais pré-opérationnels doivent prouver la validité de conception et les performances du système RCSL. Les fonctions F2 qui ne sont pas sollicitées en continu doivent être vérifiées périodiquement MISSIONS Le système RCSL doit assumer une tâche d'exploitation, c'est-à-dire une tâche qui contribue au fonctionnement normal de la centrale (PCC-1). Cette tâche consiste à contrôler et surveiller les paramètres du cœur

40 3.2. FONCTIONS SUPPORTEES Comme défini dans le chapitre : Le système RCSL est affecté aux fonctions de contrôle-commande F2 et NC pour le contrôle et la surveillance du fonctionnement du cœur. Cela inclut : - Des fonctions de contrôle du cœur ; - Des fonctions LCO liées au cœur ; - Des fonctions de limitation liées au cœur ; - Des fonctions d'aide à l'opérateur liées au coeur. La liste des fonctions d'application typiques liée à chaque type de fonction d'application effectuée par le système RCSL est proposée dans le tableau 7.4 TAB BASES DE CONCEPTION Performances requises Temps de réponse (niveaux traitement et émission des signaux de commandes) : inférieur à 500 ms Exigences relatives aux conditions d ambiance Cf. chapitre Exigences relatives à l interface hommemachine L'interface homme-machine fournira aux équipes de contrôlecommande les fonctions suivantes : - Les fonctions relatives à la mise en service et à la maintenance, - Les fonctions relatives à la configuration ARCHITECTURE Structure et composition Le système RCSL est composé de deux parties : - Une partie redondante ; - Une partie distribuée non redondante. Description : Un résumé descriptif du système RCSL est donné dans le tableau 7.4 TAB 1. Redondance des unités de traitement Il y a une paire d'unités de traitement distribuées dans les divisions 1 et 4. Dans cette paire, une unité de traitement (PR) est l'unité maître, l'autre se trouvant dans un état "hot stand-by". Entre ces deux unités, une liaison L2 et une liaison en fil à fil permettent de gérer la redondance. Redondance de l'interface vers le système d'automatismes (PAS) du procédé et le niveau 2 Chaque redondance est constituée des unités suivantes : - Une "gateway", - Un "switch" Implantation Le niveau commande actionneurs du système RCSL est implanté à l'intérieur de deux bâtiments des auxiliaires de sauvegarde. Afin de réduire les efforts de câblage, il sera implanté avec les armoires des modules d'électronique de puissance correspondants, dans les locaux électriques. Le niveau traitement du système RCSL est également implanté à l'intérieur des salles de contrôle-commande des bâtiments des auxiliaires de sauvegarde. L'unité de service (service unit) est installée dans le local de maintenance Interfaces avec le reste du contrôlecommande Le système RCSL fait partie du niveau 1 de l'architecture de contrôlecommande. Ses frontières avec les autres systèmes de contrôlecommande des niveaux 0, 1 et 2 sont représentées sur la figure 7.4 FIG 1. Le système RCSL reçoit : Du PAS : - Des paramètres de procédé ; Du système de protection (PS) : - Des paramètres de procédé; Des mécanismes de contrôle de grappes (CRDM) : - L'état de ces mécanismes; Du MCP : - Des commandes manuelles sur des régulations automatiques, - Les changements de séquence des grappes de contrôle, - Des consignes. Le système RCSL fournit : Au PAS : - Des commandes et consignes ; Aux mécanismes de contrôle de grappes (CRDM) : - Des commandes de régulation du courant dans les bobines ; Au MCP : - Des paramètres de procédé, - Des alarmes prétraitées, - L'état des mécanismes de grappes, - L'état des régulations automatiques, - L'état du système RCSL (auto-surveillance) MODES DE FONCTIONNEMENT Le système RCSL dispose de trois modes de fonctionnement : - Mode normal (automatique ou manuel) ; - Etat hors tension (alimentation coupée) ; - Mode dégradé. Cf. 7.4 FIG TECHNOLOGIE UTILISEE La technologie utilisée pour implémenter le système RCSL est le TELEPERM XS (CC numérique) ALIMENTATION ELECTRIQUE Le système RCSL doit être alimenté par une alimentation ininterruptible à la tension appropriée (24 V en courant continu). Chaque armoire sera raccordée à deux alimentations en courant continu redondantes. Les arrivées de ces alimentations doivent être isolées l'une de l'autre, par exemple à l'aide de diodes. En fonctionnement normal, les deux alimentations en courant continu doivent être alimentées par l'alimentation ininterruptible (UPS) de la division correspondante. En cas d'indisponibilité de l'ups de la division donnée, l'une des deux alimentations en courant continu pourra être commutée sur l'ups de la division voisine DISPOSITIONS MISES EN ŒUVRE AU TITRE DE LA MAINTENANCE ET DES ESSAIS PERIODIQUES L unité de service (service unit) est utilisée pour la maintenance et les essais CC

41 Cliquez pour voir : 7.4 Tab 1 : Description préliminaire du système RCSL 7.4 Tab 2 : Fonctions d'application typiques assurées par le système RCSL 7.4 Fig 1 : Limites préliminaires du système RCSL 7.4 Fig 2 : Modes de fonctionnement

42 sous chapitre 7.5 INSTRUMENTALISATION 0. EXIGENCES DE SURETE 0.1. FONCTIONS DE SURETE L'instrumentation participe directement aux trois fonctions fondamentales de sûreté : Maîtrise de la réactivité, Evacuation de la puissance résiduelle, Confinement des substances radioactives et doit permettre la mesure : des paramètres nécessaires aux automatismes, des paramètres nécessaires à l'élaboration des informations à disposition des opérateurs pour connaître de l'état de la tranche CRITERES FONCTIONNELS Maîtrise de la réactivité : l'instrumentation doit couvrir l'ensemble des paramètres représentatifs de l'état neutronique du cœur, à savoir : le flux neutronique pour les états en puissance, intermédiaires et les états d'arrêt, la position des grappes de contrôle et d'arrêt, la concentration en bore du circuit primaire. Evacuation de la puissance résiduelle : l'instrumentation doit couvrir l'ensemble des paramètres représentatifs de la fonction évacuation de la puissance résiduelle. Elle doit permettre de déterminer : l'état thermo-hydraulique du cœur (pression primaire, température primaire, débit primaire ) l'état du secondaire (pression GV, température secondaire, débit d'eau alimentaire ) Confinement : l'instrumentation doit couvrir l'ensemble des paramètres permettant de connaître l'état de l'installation vis-à-vis du confinement : la pression et la température de l'enceinte, la position des vannes d'isolement enceinte, le niveau d'activité dans les bâtiments. Surveillance de l'état de la tranche : l'instrumentation doit permettre de connaître l'état des systèmes opérationnels et de sauvegarde pour s'assurer de leur disponibilité. Les informations correspondantes peuvent être des mesures de pression, débit, niveaux, des positions d'actionneurs EXIGENCES RELATIVES A LA CONCEPTION Exigences issues des classements fonctionnel et mécanique L'instrumentation doit obéir aux mêmes exigences de classement, de respect du critère de défaillance unique et d'essais périodiques que les fonctions classées auxquelles elle participe. Les exigences liées au classement sont détaillées au chapitre 3.2. Les exigences liées à la qualification des matériels sont détaillées au chapitre Exigences réglementaires liées à la sûreté Règles fondamentales de sûreté (RFS) Il n'y a pas de RFS applicables à l'instrumentation EPR à ce jour. Directives Techniques (cf. chapitre 3.1.2) Section G3 Conception du contrôle-commande Cette section précise les exigences relatives à l'instrumentation et au contrôlecommande. Les exigences applicables à l'instrumentation concernent : le classement fonctionnel de l'instrumentation, la prise en compte du critère de défaillance unique, de la maintenance et de la séparation physique, la prise en compte des conséquences des agressions internes et externes sur le contrôle-commande. Textes spécifiques EPR Il n'y a pas de textes réglementaires spécifiques à l'instrumentation EPR Agressions Les matériels d'instrumentation doivent répondre aux mêmes exigences de protection contre les agressions internes et externes que les fonctions et systèmes auxquels ils appartiennent ESSAIS L'instrumentation doit être soumise à étalonnage et à un contrôle des connexions lors du montage. L'instrumentation doit également être testée lors des essais des systèmes et fonctions auxquels elle appartient, et doit faire l'objet d'un recalage éventuel si nécessaire. 1. INSTRUMENTATION CLASSIQUE DE PROCEDE 1.1. EXIGENCES FONCTIONNELLES L'instrumentation classique de procédé doit fournir les informations nécessaires à la connaissance de l'état de la tranche et des procédés dans le but d'assurer : le fonctionnement normal de la tranche, la protection du personnel et de la population, le contrôle de la tranche en fonctionnement normal, incidentel et accidentel en conjonction avec de l'instrumentation nucléaire spécifique et de l'instrumentation radiologique appropriées. Il est pris comme hypothèse que l'instrumentation classique de procédé participe à des fonctions de tout niveau de classement de sûreté. D'une manière générale, l'instrumentation classique de procédé comprend : les mesures de pressions, les mesures de débits, les mesures de températures, les mesure de vitesse de rotation, les mesures de tensions, les mesures de fréquences, les mesures de positions. Les exigences fonctionnelles particulières à l'instrumentation concernent : le choix de l'instrumentation : l'instrumentation doit être choisie de manière à ce que la gamme de mesure, la précision et les autres paramètres représentatifs soient en cohérence avec la plage et l'amplitude de variation attendue des paramètres de procédés mesurés et son utilisation prévue. l'utilisation d'équipements communs : l'installation d'une instrumentation redondante, appartenant à des divisions

43 différentes doit éviter l'utilisation d'équipements communs (par exemple : piquages communs, vannes d'isolement communes, supports communs ). l'étalonnage : l'instrumentation doit être conçue de manière à limiter les besoins en étalonnage, et doit être installée de manière à faciliter les interventions. Des essais et des vérifications doivent garantir le bon étalonnage de l'instrumentation. Des dispositions doivent être prises pour éviter les erreurs pendant la maintenance et l'étalonnage DESCRIPTION DE L INSTRUMENTATION CLASSEE DE SURETE Mesure de pression Les mesures de pression sont raccordées sur tous systèmes fluides. Les principes de mesure décrits ci-après s'appliquent principalement aux mesures de pression sur les tuyauteries des systèmes et matériels ou équipements du circuit primaire, sur les générateurs de vapeur et sur le pressuriseur. Les transmetteurs de pression simple ou différentielle sont reliés aux prises de pression, implantées sur les tuyauteries des systèmes ou sur les appareils (bâches, réservoirs, générateurs de vapeurs, etc.) par des lignes d impulsion. Une vanne d'instrumentation, implantée au plus près du capteur, a la fonction de vanne d'isolement secondaire. Un dispositif, installé sur la ligne d'instrumentation entre la vanne d'isolement secondaire et le capteur, permet le rinçage de cette ligne, de ce point vers le système fluide. Ce dispositif permet également la réalisation d'essais et le calibrage du transmetteur. La vanne d isolement primaire est généralement implantée de manière à pouvoir être manœuvrée (par ex. montée dans un local à l intérieur de l'enceinte et accessible en exploitation normale). Les lignes d'instrumentation, pour systèmes en phase fluide, sont posées avec une pente entre la prise d impulsion et le transmetteur pour permettre le dégazage de la ligne d'instrumentation vers le circuit principal et exclure tout matelas gazeux en amont du transmetteur. Les transmetteurs requis en situations accidentelles sont conçus pour fonctionner dans ces situations. Des détecteurs appropriés à la mesure et fonctionnant sur différents principes peuvent être utilisés : mesure de pression absolue : par ex. cellules à membrane ou cellules céramiques mesure de pression relative : par ex. cellules capacitives ou mécanismes à tube de Bourdon mesure de pression différentielle : par ex. cellules à membrane. Elles sont constituées de deux membranes sensibles dont le déplacement est converti en un signal électrique. Un transducteur électrique convertit le signal de sortie du détecteur en un signal électrique proportionnel à la pression Mesure de débit Les principes de mesure utilisés incluent les méthodes suivantes : mesure de la pression différentielle aux bornes d'un organe déprimogène (plaques à orifice standards, venturi) mesure de la pression différentielle entre des prises d'impulsion implantées en intrados et extrados d'un coude, rotamètres, compteurs de débit à ultrason, compteurs inductifs. Le signal de sortie des transmetteurs de pression différentielle, dérivé de l'extraction de la racine carrée, donne un signal électrique proportionnel au débit Mesure de niveau liquide Les techniques employées, pour la mesure des niveaux liquides dans le pressuriseur et dans les générateurs de vapeur, consistent principalement en des mesures de pression différentielle (méthode hydrostatique à colonne de référence humide). Deux lignes de prise de pression sont raccordées à un transmetteur de pression différentielle. L'une des deux lignes de prise de pression est reliée à la partie basse, en phase eau, du pressuriseur ou générateur de vapeur et l'autre à la partie supérieure, en phase vapeur. Les mesures de conception appropriées doivent être prises pour exclure tout risque de formation d'un matelas gazeux dans les lignes d'instrumentation et éviter les erreurs de mesure liées à ce phénomène. La ligne de prise de pression, sur la phase vapeur du pressuriseur ou générateur de vapeur, est conçue sur le principe d'une colonne de référence humide. Elle est équipée d'un pot de condensation. La fonction de ce pot est de condenser la vapeur afin de maintenir un niveau de liquide constant dans la colonne de référence humide dans toutes les conditions d exploitation. Le pot de condensation doit être installé en point haut de la ligne d'instrumentation, implanté au-dessus de la prise d'impulsion et au plus près de cette dernière. La tuyauterie de liaison, entre le pot et la prise d'impulsion, doit avoir une pente descendante vers l'appareil et ne pas présenter de point bas afin d'éviter la création d'un bouchon d'eau. Outre la méthode hydrostatique par pression différentielle, le niveau liquide est aussi mesuré par méthode capacitive. Pour cette méthode de mesure, une sonde en saillie dans le reversoir ou la bâche joue le rôle de capacitance avec l'enceinte de réservoir (ou tube de masse). Les propriétés diélectriques du fluide entre les deux électrodes change avec le niveau de liquide, ainsi que la résultante du courant haute-fréquence circulant par la capacitance. Ce courant hautefréquence est converti par le transmetteur en un signal en courant continu proportionnel au niveau liquide. Les types de mesure de niveau suivants sont également employés : mesure de niveau avec colonne de référence sèche mesure de niveau pour bâche à l'atmosphère mesure de niveau par bullage mesure de niveau par déplacement (avec plongeur) Mesure de température Les mesures de température sont réalisées soit par sonde à thermocouple soit par sonde à résistance. Les thermocouples et thermomètres à résistance, pour les systèmes fluides sous pression, doivent être montés en doigts de gant afin de permettre la dépose des éléments sensibles pour maintenance, sans devoir dépressuriser le système. Les thermocouples sont employés pour des applications où une acquisition très rapide des données mesurées est requise. Leur faible masse permet un temps de réponse, aux variations de température, beaucoup plus rapide que les thermomètres à résistance. Les thermomètres à résistance sont constitués d'un isolant minéral et d'un enroulement en platine et doivent être conçus pour résister aux vibrations. Pour obtenir la meilleure précision possible, un montage en circuit quatre fils est utilisé pour les thermomètres à résistance Mesure de la vitesse de rotation La vitesse est mesurée sur les pompes primaires par le contrôle commande classé de sûreté. Un pôle ferromagnétique est monté sur l axe de la roue du moteur des pompes de refroidissement du réacteur. Quand l axe du moteur tourne, un signal pulsé d'une fréquence proportionnelle à la vitesse de l axe est généré Mesure de tension Les capteurs pour la mesure de tension en courant alternatif (AC) opèrent sur le principe du redresseur. Les signaux d entrée et de sortie du capteur sont électriquement isolés l'un par rapport à l autre. Un étage amplificateur convertit le signal de tension résultant en un signal de courant continu (DC). D autres méthodes, pour la mesure de la tension, consistent à

44 transformer le signal en un signal basse tension en utilisant un transformateur. Le signal résultant est alors acquis par un ordinateur, l'amplitude et la valeur efficace (r.m.s.) de la tension AC sont déterminées par des moyens numériques Mesure de fréquence La variable d entrée est appliquée à un étage à déclenchement dans le capteur. Le capteur délivre un signal de sortie tension/temps qui est traité par un amplificateur et converti en un signal courant DC proportionnel à la fréquence Mesure de position sur la vanne de sécurité du circuit de vapeur principale La mesure de position est exécutée par la méthode inductive. Des bobines de détection sont installées dans un ensemble de détecteur conçu spécialement pour équiper cette vanne. Les bobines de détection sont conçues pour les températures d'utilisation de cette vanne. 2. INSTRUMENTATION INTERNE DU CŒUR L'instrumentation interne du cœur est composée des systèmes suivants : - une instrumentation pour établissement des cartes de flux constituée par un système aeroball de mesure par billes à propulsion pneumatique (AMS), - une instrumentation interne fixe du cœur composée des éléments suivants : - 72 collectrons fixes (SPND) répartis radialement et axialement dans le cœur, - 36 thermocouples fixes de sortie cœur (COTC) répartis radialement en sortie du cœur, - 3 thermocouples fixes dans le dôme de la cuve. L'élément mécanique de base de l'instrumentation interne du cœur est la lance d'instrumentation. Un bâti reposant, entre les guides de grappes, sur la plaque supérieure des structures internes supérieures, soutient les tubes de guidage et de protection (doigts de gants) dans lesquels sont logés soit une sonde aeroball (doigt de gant pour sonde aeroball), soit plusieurs collectrons répartis sur la hauteur du cœur ainsi que des thermocouples installés au niveau de la tête de l'assemblage combustible (doigt de gant pour collectrons ou thermocouples). Les sorties des doigts de gant pour sonde aeroball et des doigts de gants pour collectrons ou thermocouples sont regroupées dans la lance d'instrumentation. Les doigts de gants sont insérés dans les tubes guides des assemblages combustibles qui ne sont pas occupés par des grappes de contrôle. Au total, 12 lances d'instrumentation sont installées. Leur agencement par rapport aux 72 SPND et 36 COTC est précisé dans la figure 7.5 FIG 2. Les thermocouples fixes du dôme de cuve utilisent une seule pénétration du couvercle de cuve, distincte des pénétrations utilisées par l'instrumentation à lances INSTRUMENTATION POUR ETABLISSEMENT DES CARTES DE FLUX Fonction L'instrumentation servant à établir les cartes de flux est mise en service sur demande. Elle a pour fonction la mesure avec une haute résolution de la distribution locale du flux de neutrons dans le cœur du réacteur. La mesure périodique du flux local relatif de neutrons dans le cœur est réalisée au moyen de 40 sondes réparties radialement sur la section transversale du cœur et couvrant axialement la hauteur active du cœur. L'intervalle de temps minimum entre deux mesures aeroball (carte de flux complète au moyen des 40 sondes) est d'environ 10 minutes. Ce système fournit des informations qui sont utilisées pour élaborer une image 3D de la distribution de puissance du cœur. Cette carte de flux sert ensuite à calculer les valeurs physiques des paramètres du cœur que l'on utilise pour les besoins suivants : calibrage des collectrons, calibrage des détecteurs neutroniques externes, calibrage des seuils de protection (Protection System) vérification de la conformité, de l épuisement et du comportement du cœur ainsi que la détection d'anomalies, validation des signaux des collectrons et des détecteurs neutroniques externes. L'instrumentation servant à l'établissement les cartes de flux n'est pas classée sûreté (NC) Principe de mesure et disposition Le système de mesure aeroball est un système d'instrumentation électromécanique commandé par ordinateur et mis en œuvre sur demande. La mesure est réalisée au sein de 40 assemblages combustibles recevant les doigts de gants pour sonde aeroball. Le matériau indicateur est du vanadium que contiennent des empilements de billes d'acier de 1,7 mm de diamètre. La longueur des empilements correspond à la hauteur du cœur. Un schéma de principe de l'ams est présenté en 7.5 FIG 1. Les positions radiales des sondes aeroball sont indiquées en 7.5 FIG 2. Les piles de billes d'acier sont transportées par un procédé pneumatique (au moyen d'azote) dans le cœur du réacteur et y sont activées par les neutrons. A la fin de la période d'activation, elles sont transportées dans le local de la table de mesure, situé à l intérieur de l'enceinte de confinement, pour mesure de leur activité. A cet effet, l'activité d'un nombre optimisé de sections de chaque empilement de billes, réparti de façon uniforme sur la longueur de l'empilement, est mesurée au moyen de détecteurs de rayonnement. L'ordinateur de l'ams en déduit les valeurs d'activation après prise en compte de diverses corrections. Ces valeurs d'activation sont proportionnelles au flux de neutrons et, par conséquent, à la puissance au point d'activation. Le système de mesure aeroball est divisé en quatre sous-systèmes. Chaque sous-système est équipé d'un système dédié de commande des vannes avec alimentation électrique distincte pour chaque système de transport pneumatique. Chaque sous-système peut donc fonctionner indépendamment des autres. Les organes mécaniques de l'ams, tels que le système de transport, le râtelier des vannes, la table de mesure et son équipement d'instrumentation ainsi que le système de commande des vannes et les électrovannes d arrêt du système de transport sont installés à l'intérieur de l'enceinte de confinement. L'ordinateur de l'ams est installé dans les bâtiments de sauvegarde. Il accomplit les tâches suivantes : commande séquentielle et surveillance du processus de mesure aeroball, acquisition des valeurs des compteurs d'impulsions et d informations connexes, calcul des valeurs d'activation à partir des données acquises lors d'une mesure aeroball, incluant correction et contrôles de vraisemblance des valeurs des détecteurs d'impulsions, mesure de l'activité résiduelle pour la mise à jour des fichiers de données d'activité résiduelle, mesure du taux zéro pour la vérification des détecteurs de rayonnement, programme de calibrage assisté par ordinateur des détecteurs de rayonnement,

45 essai de fonctionnement des compteurs d'impulsions comprenant la vérification de l'acquisition et du transfert des données, contrôle du réglage du seuil de discrimination de tous les amplificateurs d'impulsions, surveillance des temps de transport des billes, acquisition et évaluation des signaux d'alarme et d'état, passage sur l'alimentation de secours en azote en cas de défaillance du système principal d'alimentation, enregistrement de toutes les données utiles, sauvegarde des dossiers de données des séquences de mesure aeroball sur un tampon circulaire externe. En prenant en compte les résultats du modèle de calcul théorique ainsi que diverses données procédé, on calcule les paramètres physiques importants pour la surveillance du cœur du réacteur à partir des valeurs d'activation Caractéristiques fonctionnelles Gamme de mesure du flux neutronique : 1012 à n.cm -2.s -1 (flux total). Précision dans la gamme de flux : 1 % de la valeur de flux neutronique mesuré. Les rayons Á du cœur (pendant l'irradiation à l'intérieur du cœur et par la suite) n'ont pas d'influence sur les résultats de mesure. Temps d'irradiation : environ 3 minutes, Précision de la position axiale des mesures : 1,5 cm. temps d établissement d une carte de flux complète < ou = à 15 minutes temps minimum entre 2 cartes de flux : 10 minutes Essais et maintenance Le calibrage assisté par ordinateur des détecteurs de rayonnement de l'ams est généralement réalisé à l'aide d'une source de rayons gamma pendant les arrêts pour rechargement. Le contrôle fonctionnel de l'ams est généralement réalisé par les programmes d'essais intégrés (dont certains s'exécutent automatiquement à chaque mesure aeroball) décrits au paragraphe ci-dessus. Certaines opérations de maintenance du système aeroball nécessitent d accéder plusieurs fois par cycle aux locaux AMS du BR, tranche en puissance. En conséquence, le niveau d irradiation dans ces locaux doit être suffisamment bas pour permettre leur accès INSTRUMENTATION INTERNE FIXE DU CŒUR Collectrons fixes Fonction Les collectrons mesurent en continu le flux neutronique local à l'intérieur du cœur et fournissent des signaux pour les besoins des fonctions suivantes : surveillance de paramètres représentatifs du cœur, contrôle de la distribution axiale de la puissance, surveillance du cœur en vue du maintien des conditions limites d'exploitation, protection du cœur. L'instrumentation fixe constituée par les collectrons est utilisée par des fonctions allant jusqu'à la classe de sûreté F1A. En conséquence, le classement de sûreté de la mesure de flux neutronique par collectrons fixes est F1A et le classement de sûreté du matériel est E1A Principe de mesure et disposition L'instrumentation fixe interne du cœur est composée de 12 doigts de gants pour collectrons ou thermocouples répartis radialement sur la section transversale du cœur, comme représenté en 7.5 FIG 2. Chaque doigt de gant contient 6 détecteurs sensibles aux neutrons, les collectrons, fonctionnant en continu et répartis axialement sur la hauteur du cœur. Les collectrons utilisés (n, détecteurs bêta) sont des collectrons à émetteur cobalt. Le signal fourni est un courant électrique. Tous les modules de conditionnement des signaux sont installés dans des armoires d'instrumentation spécifiques qui sont situées dans les 4 divisions des bâtiments de sauvegarde. Le conditionnement des signaux élabore un courant linéaire et procède à la compensation du courant de câble généré par le rayonnement dans le cœur et à la compensation du bruit de fond. Le calibrage des signaux est réalisé au moyen du système de mesure aeroball. L'alimentation électrique des modules et l état de tous les modules sont surveillés ; les défaillances sont signalées. Les signaux sont transmis aux fonctions de contrôle-commande chargées de leur exploitation ultérieure Caractéristiques fonctionnelles Gamme de mesure du flux total : 1010 à n.cm -2.s -1, Temps de réponse : < 100 ms, Précision des signaux du matériel de conditionnement électronique : < 1% Essais et maintenance Le calibrage des collectrons est effectué tous les 15 jours à l aide d une carte de flux complète. Néanmoins, si la période de calibrage est plus longue, la sûreté de la centrale est toujours assurée en raison de l'augmentation naturelle du courant des collectrons avec la combustion. Le calibrage est réalisé en ligne, pendant le fonctionnement en puissance, par comparaison des facteurs de calibrage actuels des signaux des détecteurs aux facteurs de calibrage de référence élaborés à partir des valeurs mesurées par le système aeroball. Les signaux font également l'objet d'une surveillance continue par rapport à des valeurs limites maximales et minimales. En cas de comportement anormal des données mesurées, le matériel de conditionnement des signaux peut être contrôlé par injection de signaux simulés à partir de générateurs de signaux. En plus du calibrage et des tests réalisés pendant le fonctionnement en puissance, les essais de résistance d'isolement des collectrons, l'ajustement de la correction du bruit de fond des voies de mesure sont notamment effectués pendant les arrêts pour rechargement. La correction du bruit de fond peut être également effectuée pendant le fonctionnement du réacteur. Des systèmes de verrouillage empêchent l'essai simultané de plusieurs voies de mesure. Le remplacement de doigt de gant pour collectrons ou thermocouples dont les détecteurs sont défectueux ou arrivés en fin de vie s'effectue pendant les arrêts pour rechargement Thermocouples fixes de sortie cœur Fonction Les thermocouples de sortie cœur mesurent en continu la température de sortie des éléments combustibles et fournissent des signaux pour les besoins des fonctions suivantes : surveillance du cœur en conduite post-accidentelle. Les températures de sortie cœur sont utilisées en tant que telles ainsi que pour l élaboration de la marge à la saturation de sortie cœur, information sur la distribution radiale des températures de sortie cœur et sur les conditions thermo-hydrauliques locales. L'instrumentation constituée par les thermocouples fixes de sortie cœur est utilisée par des fonctions allant jusqu'à la classe de sûreté F1B. En conséquence, le classement de sûreté de la mesure de température par thermocouples fixes de sortie cœur est F1B et le classement de sûreté du matériel est E1B

46 Principe de mesure et disposition Le nombre total des thermocouples de sortie cœur est de 36 thermocouples répartis sur 12 points de mesure. Trois thermocouples sont installés dans chaque doigt de gant pour collectrons ou thermocouples à la hauteur de la tête de l'assemblage combustible. La température du réfrigérant est relevée au niveau de ce point de mesure au-dessus de la zone active du cœur au moment où le réfrigérant sort de l'assemblage combustible. La position radiale des doigts de gants est représentée en 7.5 FIG 2. L'affectation des thermocouples aux 4 divisions des bâtiments de sauvegarde est la même que celle des collectrons du même doigt de gant de détection. Tous les modules de conditionnement des tensions des thermocouples sont installés dans des armoires d'instrumentation spécifiques qui sont situées dans les 4 divisions des bâtiments de sauvegarde. L'alimentation électrique des modules et l état de tous les modules sont surveillés ; les défaillances sont signalées. Les signaux conditionnés des thermocouples sont transmis aux fonctions de contrôle commande chargées de leur exploitation ultérieure Caractéristiques fonctionnelles Précision (marge à la saturation de sortie cœur) : 4 C dans la gamme de 0 C à 400 C. 6 C dans la gamme de 400 C à 800 C. Gamme de mesure : 0 C à 1000 C. Temps de réponse : < 500 ms mais un temps de réponse de l ordre de 30s est suffisant. Les thermocouples donnent la température appropriée lorsque le fluide qui les entoure est de l'eau, un mélange 2 phases ou de la vapeur jusqu'à la vapeur d'eau surchauffée. Les thermocouples sont qualifiés jusqu'à 180 bars Essais et maintenance Les signaux de mesure sont contrôlés par comparaison des valeurs de mesure redondantes. Par exemple, lors du démarrage d une tranche après rechargement, les mesures peuvent être contrôlées pendant que le réacteur se trouve dans des conditions isothermes. En cas de comportement anormal des données mesurées, le matériel de conditionnement des signaux peut être contrôlé par injection de signaux simulés à partir de générateurs de signaux. Les thermocouples peuvent être contrôlés par mesure de la résistance de boucle et de la résistance d'isolement Thermocouples fixes du dôme de la cuve Fonction La mesure de la température de l eau dans le volume du dôme de la cuve du réacteur est assurée par des thermocouples situés dans cette zone. La température de l'eau dans le dôme de la cuve sera utilisée dans les procédures de conduite post-accidentelle, et éventuellement dans certaines procédures de conduite normale, pour informer l'exploitant de l'état thermohydraulique réel à l'intérieur du dôme : sous saturation, saturation ou surchauffe par rapport à la pression de saturation du circuit primaire. Les thermocouples du dôme de la cuve sont non classés sûreté (NC) Principe de mesure et disposition Les thermocouples fixes du dôme sont au nombre de trois. Ils pénètrent dans la cuve par une unique pénétration située vers le centre du couvercle. La disposition de ces thermocouples est la suivante : 1 capteur situé à proximité du haut du dôme. 1 capteur situé à proximité mais au-dessous de la partie supérieure des tubes guide de grappes (zone de passage du réfrigérant entre dôme et plénum des internes supérieurs). 1 capteur situé à proximité du bas du dôme. Dans un plan horizontal, les capteurs sont situés à proximité du centre du dôme. Le capteur supérieur a pour objet de détecter l'apparition de bulles de vapeur en circulation naturelle (eau surchauffée de la partie supérieure de la cuve). Le capteur intermédiaire et le capteur inférieur ont pour objet de fournir des informations sur une stratification potentielle des températures à l'intérieur du dôme. Le capteur inférieur peut aussi être utilisé pour indiquer la température au niveau de la face supérieure de la plaque support des tubes guides (par exemple, pour évaluation du comportement mécanique). 3. INSTRUMENTATION EXTERNE DU CŒUR 3.1. FONCTIONS Les détecteurs sensibles aux neutrons de l'instrumentation externe du cœur sont installés à l'extérieur de la cuve du réacteur, dans le béton du bouclier biologique. L'instrumentation externe du cœur fournit des signaux destinés aux fonctions de surveillance et de régulation, aux fonctions de surveillance des conditions limites d'exploitation (LCO) et aux fonctions de limitation et de protection du cœur. L'instrumentation externe du cœur assure les tâches suivantes : acquisition des neutrons sous critiques générés pendant le rechargement et les arrêts du réacteur, acquisition du flux neutronique pour déterminer le niveau de flux neutronique et le taux relatif d'augmentation du flux neutronique pendant l'approche de la criticité et lors du démarrage, acquisition du flux neutronique pendant la conduite en puissance pour le calcul du taux d'augmentation de puissance nucléaire et du profil global de la distribution axiale de puissance, acquisition du flux neutronique pour la détermination de la puissance nucléaire en situation accidentelle, dans le cadre de l'instrumentation post-accidentelle, acquisition du flux neutronique pour la génération éventuelle de signaux de surveillance des vibrations des équipements internes de la cuve du réacteur, dans le cadre du système de surveillance des vibrations. L'instrumentation externe du cœur est utilisée par des fonctions allant jusqu'à la classe de sûreté F1A. En conséquence, le classement de sûreté des mesures par instrumentation externe du cœur est F1A et le classement de sûreté du matériel est E1A PRINCIPE DE MESURE ET DISPOSITION L'instrumentation externe du cœur comprend les chaînes de mesure suivantes : Un groupe de chaînes de mesure pour le niveau source. Un groupe de chaînes de mesure pour le niveau intermédiaire. Un groupe de chaînes de mesure pour le niveau puissance. Chaque chaîne de chaque groupe comporte un élément sensible et l équipement associé de conditionnement des signaux. Deux principes peuvent être retenus pour le détecteur de niveau intermédiaire qui peut être soit une chambre d'ionisation avec compensation du rayonnement gamma, soit une chambre à fission (très faible sensibilité). L étendue totale de flux neutronique à acquérir est d'environ 10 à 11 décades jusqu'à 150 % de la puissance nominale du réacteur. L'organisation et le chevauchement des gammes de mesure requises des chaînes de niveau source, de niveau intermédiaire et de niveau puissance sont représentés en 7.5 FIG 3. Les techniques de mesure suivantes sont utilisées : les chaînes de niveau source interviennent dans les 6 décades inférieures de l étendue de mesure. Les impulsions des différents détecteurs sont analysées et calibrées, les chaînes de niveau intermédiaire sont utilisées dans les 7 à 8 décades supérieures de l étendue de mesure. Si les chambres à fission sont utilisées, la mesure est réalisée au moyen de deux 7.5

47 dispositifs distincts de conditionnement des signaux qui traitent le signal provenant du même câble de détecteur : traitement des impulsions et mesure des fluctuations. En cas d'utilisation des chambres d'ionisation avec compensation du rayonnement gamma, l équipement de conditionnement traite le courant fourni par les détecteurs, les chaînes de niveau puissance couvrent les 3 décades supérieures de l étendue de mesure. Les détecteurs émettent un courant qui est traité par l équipement de conditionnement. Les détecteurs sont montés dans des chaînes de conteneurs mobiles suspendues à des câbles d'acier qui sont descendues dans des tubes guides jusqu'à leur position de mesure le long de la cuve du réacteur. Les tubes guides se terminent à leur extrémité supérieure par des boîtiers de connexion qui sont accessibles pendant l'exploitation normale à partir de locaux situés au-dessus de la dalle de fermeture du puits du réacteur. A partir des boîtiers de connexion, les détecteurs sont descendus à l'intérieur des tubes guides dans la paroi du puits du réacteur et ils sont ensuite abaissés jusqu'aux positions de mesure à la hauteur du cœur du réacteur dans le béton du bouclier biologique. Le tableau 7.5 TAB 1 indique le nombre des tubes guides prévus, la distribution azimutale autour de la cuve du réacteur ainsi que le nombre prévu de chaînes de conteneurs et l affectation des chaînes de mesure. Les signaux des détecteurs et les alimentations haute tension des détecteurs sont transmis par des câbles blindés reliant les boîtiers de distribution installés dans les boîtiers de connexion aux pénétrations de câbles ménagées dans l'enceinte de confinement et affectées aux détecteurs en fonction des exigences de séparation par division. A l extérieur de l'enceinte de confinement, les câbles sont connectés aux armoires d'instrumentation qui leur sont affectées dans les 4 divisions des bâtiments de sauvegarde. Les chaînes de mesure redondantes de l'instrumentation externe du cœur sont séparées physiquement. Ceci s'applique en particulier aux parcours des câbles, aux pénétrations de l'enceinte de confinement et à l'implantation du matériel de conditionnement des signaux dans les 4 divisions des bâtiments de sauvegarde. Les signaux sont transmis aux fonctions de contrôle-commande chargées de leur exploitation ultérieure Niveau source Le flux de neutrons thermiques de niveau source est surveillé par trois chaînes de mesure redondantes. Les chaînes de niveau source sont requises pour la surveillance du niveau du flux nucléaire depuis les conditions sous critiques jusqu'aux conditions de niveau de flux critique pendant les arrêts pour rechargement ou pour maintenance ainsi que pendant les arrêts standards à froid ou à chaud. Elles émettent des impulsions. Au stade actuel de la conception, les détecteurs de niveau source sont des compteurs proportionnels à dépôt de bore. Lors du fonctionnement en puissance du réacteur, ils sont mis hors tension et restent en permanence dans leur position de mesure. Ce choix de conception doit être confirmé par des études complémentaires. Au cas où ces études montreraient qu'une plus grande sensibilité des détecteurs est nécessaire, des tubes compteurs BF3, protégés au niveau de leur position de mesure par un blindage en plomb pour permettre leur fonctionnement correct, pourraient être utilisés. Au passage au fonctionnement en puissance, les tubes compteurs BF3 sont retirés de leur position de mesure pour éviter qu ils ne soient détériorés par les rayonnements. Les études complémentaires doivent également confirmer le nombre de chaînes de niveau source et la position des détecteurs de niveau source pour la surveillance des phases de rechargement du cœur. Le conditionnement des impulsions émises par les chambres remplit principalement les fonctions suivantes : alimentation haute tension des détecteurs, amplification des impulsions, suppression des signaux parasites perturbateurs (bruits et signaux gamma) au moyen d'un discriminateur, calibrage des impulsions de sortie, comptage du taux d'impulsions proportionnel au flux neutronique au niveau de la position de mesure (pour les besoins de l élaboration du signal taux relatif de changement du flux pour la détection du taux relatif d'augmentation de flux neutronique). En cas de détection automatique de défauts (par exemple, panne d'alimentation électrique), les signaux binaires émis permettent, notamment, de générer des alarmes. Un générateur d'essai est fourni pour la simulation des impulsions des détecteurs. Des circuits de verrouillage empêchent l'essai simultané de plusieurs chaînes de mesure redondantes Niveau intermédiaire Le flux thermique neutronique de niveau intermédiaire est surveillé par quatre chaînes de mesure redondantes. Le détecteur de chaque chaîne de mesure est logé dans un conteneur situé au niveau du plan médian du cœur. Les détecteurs de niveau intermédiaire sont installés dans les mêmes tubes guides que les détecteurs de niveau puissance. Les chaînes de niveau intermédiaire sont requises pour la surveillance du niveau du flux neutronique entre environ 10-6 % et 50 % de la puissance nominale. Cette gamme correspond au démarrage du réacteur. Les chaînes de niveau intermédiaire sont en mesure d'assurer leur fonction en situation post-accidentelle. Dans le cas de la mise en œuvre de chambres d'ionisation compensées, les détecteurs sont exploités en courant. L équipement de conditionnement remplit essentiellement les fonctions suivantes : alimentations haute tension des détecteurs (haute tension de mesure et haute tension de compensation), traitement du courant du détecteur et création d'un signal de sortie proportionnel au flux neutronique au niveau de la position de mesure (ce signal est également utilisé en aval pour déterminer le "taux relatif de changement de flux" destiné à la détection du taux relatif d'augmentation du flux neutronique). Dans le cas de la mise en œuvre de chambres à fission, les détecteurs sont exploités en impulsion et en fluctuation. Le conditionnement des signaux est ensuite réalisé par deux dispositifs de conditionnement distincts. Pour les impulsions, le conditionnement du signal remplit essentiellement les fonctions suivantes : alimentation haute tension des détecteurs, amplification des impulsions, discrimination et suppression des signaux parasites (bruit, signaux alpha et gamma), calibrage des impulsions de sortie, comptage du taux d'impulsions proportionnel au flux neutronique au niveau de la position de mesure (qui est par la suite utilisé pour déterminer un "taux relatif de changement de flux" pour la détection du taux relatif d'augmentation de flux neutronique). Pour les fluctuations, le conditionnement du signal remplit essentiellement les fonctions suivantes : alimentation haute tension des détecteurs, séparation de la partie signal courant continu du signal du détecteur et filtrage, amplification de la composante fluctuante restante du signal, élaboration de la variance du signal amplifié pour obtenir un signal proportionnel au flux neutronique au niveau de la position de mesure (selon le théorème de Campbell). (Ce signal est également utilisé en aval pour déterminer le "taux relatif de changement de flux" pour la détection du taux relatif d'augmentation de flux neutronique). En cas de détection automatique de défauts (par exemple, panne d'alimentation électrique), les signaux binaires émis permettent,

48 notamment, de générer des alarmes. Un générateur d'essai est fourni pour la simulation des courants des détecteurs. Des circuits de verrouillage empêchent l'essai simultané de plusieurs chaînes de mesure redondantes Niveau puissance La distribution du flux de neutrons thermiques de niveau puissance est surveillée par quatre chaînes de mesure redondantes. Chaque chaîne de mesure est équipée de deux détecteurs dont l'un est affecté à la moitié supérieure du cœur et l'autre à la moitié inférieure du cœur. Les détecteurs sont logés dans des conteneurs de manière à acquérir approximativement l'intégralité de la puissance du réacteur générée respectivement dans la moitié supérieure et dans la moitié inférieure du cœur. Le détecteur de niveau intermédiaire est installé entre le détecteur de niveau puissance de la moitié supérieure du cœur et le détecteur de niveau puissance de la moitié inférieure du cœur. Des chambres d'ionisation non compensées sont utilisées comme détecteurs. La compensation du rayonnement gamma par les chambres n'est pas exigée car le courant d'ionisation généré par le rayonnement gamma pendant le fonctionnement en puissance est négligeable comparé à celui généré par le flux neutronique. Les chaînes de niveau puissance sont utilisées pendant le fonctionnement en puissance du réacteur et couvrent une gamme de niveaux de puissance allant de 0,1 % à 150 % de la puissance nominale. Le conditionnement du courant continu émis par les chambres d'ionisation non compensées remplit essentiellement les fonctions suivantes : alimentation haute tension des détecteurs, traitement du courant des détecteurs et création d'un signal de sortie proportionnel au flux neutronique au niveau de la position de mesure (ce signal est également utilisé dans le traitement aval pour déterminer le "taux relatif de changement du flux" pour la détection du taux relatif d'augmentation du flux neutronique). L équipement de conditionnement peut aussi élaborer des signaux pour la surveillance des vibrations des équipements internes de la cuve du réacteur. En cas de détection automatique de défauts (par exemple, panne d'alimentation électrique), les signaux binaires émis permettent, notamment, de générer des alarmes. Un générateur d'essai est fourni pour la simulation des courants des détecteurs. Des circuits de verrouillage empêchent l'essai simultané de plusieurs chaînes de mesure redondantes. 4. MESURES DE LA POSITION DES GRAPPES 4.1. GENERALITES Objet de l'instrumentation de mesure de la position des grappes Gammes de mesure, précision, temps de réponse Les gammes de mesure sont définies dans les paragraphes précédents 3.2.1, et Elles sont illustrées en 7.5 FIG 3. La précision de l'instrumentation externe du cœur est compatible avec la précision globale des chaînes de protection. La précision globale de la chaîne de niveau source et de la chaîne de niveau intermédiaire est inférieure ou égale à 10 % du signal. La précision de l'instrumentation de niveau puissance, comprenant le traitement numérique, est inférieur ou égal à 1 % de la puissance nominale. Le temps de réponse caractéristique de l'instrumentation de niveau source comprenant le détecteur, le conditionnement du signal et le traitement numérique est compris entre 1 s (partie haut flux) et 100 s (partie bas flux). Le temps de réponse de l'instrumentation de niveau intermédiaire et de niveau puissance comprenant également le détecteur, le conditionnement du signal et le traitement numérique est inférieur ou égal à 300 ms ESSAIS ET MAINTENANCE Les contrôles en ligne consistent en une évaluation qualitative des indications associées aux chaînes de mesure et de leur comportement pendant le fonctionnement en puissance. A ce stade, les données mesurées sont comparées à celles reçues des chaînes redondantes. L'équipement qui surveille l'alimentation électrique des modules électroniques et l'alimentation haute tension des détecteurs et qui compare les indications issues des positions de mesure redondantes, émet un signal d'alarme en cas de défaut et, ce faisant, contribue à ces contrôles. Le calibrage des chaînes de mesure de niveau puissance est effectué à intervalles réguliers afin de réaliser l'adaptation aux variations de la distribution radiale de puissance au cours du cycle de fonctionnement. Le calibrage est basé sur la puissance thermique du réacteur qui est déterminée au moyen d'un bilan thermique et sur des données fournies par les mesures du système aeroball. Les essais de fonctionnement des chaînes de mesure peuvent être effectués, à intervalles convenablement définis, par injection de signaux simulés au moyen de générateurs de signaux, par enregistrement des caractéristiques des détecteurs et par mesure de la résistance d'isolement. Si des opérations de maintenance sont nécessaires, l'accès à l'instrumentation est possible pendant l'exploitation de la tranche comme pendant les arrêts sans aucune restriction. Pour les chaînes de conteneurs, des positions d attente sont prévues dans le béton de la paroi du puits du réacteur, permettant une décroissance suffisante de la radioactivité des chaînes de conteneurs irradiés contenant des détecteurs défectueux INTERFACES ET LIMITES Les mesures de la position des grappes sont mises en oeuvre au niveau 0 de l'architecture de contrôle-commande. Leurs interfaces avec les autres systèmes CC sont représentées en 7.5 FIG 4. L'instrumentation de mesure de la position des grappes fournit aux fonctions de contrôle-commande (CC) suivantes la position mesurée de chaque grappe de réglage ( Système RGL Commande des Grappes de Contrôle) : fonctions CC de protection (mises en oeuvre dans le système de protection (PS)), fonctions de surveillance des conditions limites d'exploitation (LCO) et fonctions de limitation (mises en oeuvre dans le système de contrôle, de surveillance et de limitation du réacteur (RCSL)) Classification de l'instrumentation de mesure de la position des grappes La fonction de plus haut classement de sûreté qui utilise les mesures fournies par cette instrumentation est classée F1A. L'instrumentation de mesure de la position des grappes est donc classée E1A REGLES Règles de conception Temps de réponse : Le temps de réponse de l'instrumentation doit être inférieur à 3 secondes (préliminaire). Précision : La précision des mesures doit être inférieure à 3 % de la hauteur du cœur (préliminaire). Redondance : La mesure de position de chaque grappe de réglage n'est pas redondante. Des sous-groupes de quatre grappes sont définis (sauf grappe centrale), qui constituent une structure redondante d'ordre quatre pour un groupe donné. Ainsi, l'instrumentation de mesure de la position des grappes est redondante d'ordre quatre pour un groupe donné

49 Autres règles Conditions environnementales : Les capteurs sont installés à l'intérieur du bâtiment réacteur, audessus du couvercle de la cuve. Ils sont conçus pour résister aux conditions environnementales de cet endroit STRUCTURE Description de la structure Il existe 89 grappes de réglage et la structure a une redondance d'ordre quatre. Chaque division du PS acquiert en conséquence les mesures de position de 22 grappes, sauf une qui couvre en plus la grappe centrale. L'instrumentation de mesure de la position des grappes possède un circuit de mesure par mécanisme associé à chaque grappe de réglage. Un circuit de mesure comporte : le capteur, le module d'alimentation, le module de traitement, les câbles, l'équipement d'alimentation. Le capteur de position des grappes est constitué par une bobine primaire et une bobine secondaire couvrant la hauteur du doigt de gant et permettant une mesure analogique. Le couplage magnétique entre la bobine primaire et la bobine secondaire dépend de la hauteur de la tige de commande de la grappe. 5. MESURE DE NIVEAU CUVE 5.1. GENERALITES But de la mesure de niveau cuve Le but de la mesure de niveau cuve est de fournir une évaluation permanente de l inventaire en eau de la cuve. Cet équipement de mesure est utilisé lors de situations postaccidentelles. Il permet à l opérateur de décider des actions appropriées à mettre en œuvre pour maintenir l inventaire en eau Classement de sûreté de la mesure de niveau cuve Classement fonctionnel : la mesure de niveau cuve est classée F1B. Classement mécanique : les têtes de lance de la mesure de niveau cuve sont classées RCC-M (cf. chapitre 1.6) classe 1. Classement contrôle commande : le matériel de mesure de niveau cuve est classé E1B. Classement séisme : le matériel de mesure de niveau cuve est classé séisme classe INTERFACES ET LIMITES La mesure du niveau de cuve est mise en œuvre au niveau 0 de l architecture contrôle commande. Elle se compose des éléments suivants : capteurs, matériel d interface entre les capteurs et le fluide de la cuve, matériel de traitement des signaux et alimentation électrique, câbles entre les capteurs et le matériel de traitement des signaux et d alimentation électrique, structures de supportage des différents éléments précités. Le signal de sortie provenant du matériel de traitement des signaux de la mesure de niveau cuve est traité dans le système SAS (Système d Automatisme de Sûreté) qui fournit à l opérateur une mesure du taux de vide ou un niveau d eau tassé équivalent. Les interfaces et les relations avec les autres systèmes de niveaux 1 et 2 sont représentées en 7.5 FIG 6. Le couplage magnétique entre la bobine primaire et la bobine secondaire donne la mesure analogique de la position de la grappe de réglage. Le générateur de courant fournit un courant sinusoïdal constant. Un décalage est ajouté pour obtenir un courant positif. La composante courant continu fournit la résistance de la bobine primaire qui est représentative de la température moyenne le long du capteur. La tension secondaire dépend de la position de la tige de commande. La tension secondaire corrigée en fonction de la résistance de la bobine primaire donne la mesure. Les deux bobines secondaires auxiliaires situées aux extrémités du doigt de gant permettent la validation des positions haute et basse maximales de la grappe de réglage Conformité aux règles de conception Redondance : La structure proposée est conforme à la règle de conception relative à la redondance du fait qu'elle présente une redondance d'ordre quatre pour un groupe donné INSTALLATION Le cœur du réacteur est divisé en quatre secteurs numérotés de 1 à 4. Chaque secteur compte 22 grappes de réglage. La grappe de réglage centrale est affectée au secteur 4 qui compte donc 23 grappes de réglage. Les principes généraux de disposition et d'acheminement sont représentés en 7.5 FIG ESSAIS Un essai périodique est réalisé sur chaque circuit de mesure. Il consiste à vérifier un nombre suffisant de positions (basse, haute et intermédiaire) REGLES Règles de conception Redondance et indépendance : Etant donné l importance de la mesure de niveau cuve pour le diagnostic d état et les actions de conduite post-accidentelle dans le cadre de l approche par états, la mesure de niveau cuve est en redondance quatre. Chacune des redondances de la mesure de niveau cuve est électriquement indépendante des autres. Informations fournies par la mesure de niveau cuve : Trois seuils doivent être détectés par l équipement de mesure de niveau cuve : le seuil supérieur correspondant au haut de la branche chaude du circuit de refroidissement du réacteur (THL Top of hot leg), le seuil inférieur correspondant au bas de la branche chaude du circuit de refroidissement du réacteur (BHL Bottom of hot leg), un seuil intermédiaire situé entre le haut et le bas de la branche chaude du circuit de refroidissement du réacteur (MHL Middle of hot leg). L équipement de mesure de niveau cuve doit fournir une indication représentative de l inventaire en eau de la cuve pour différentes conditions de fonctionnement. L équipement de mesure de niveau cuve doit : fournir une réponse appropriée avec zéro, une, deux, trois ou quatre pompes primaires en service, fournir une réponse appropriée en phase liquide, dans un mélange diphasique et en phase vapeur, fournir une réponse appropriée avec un taux de vide dans le plénum supérieur à pression constante, fournir une réponse appropriée avec un taux de vide dans le plénum supérieur et une pression décroissante, notamment dans le cas d un APRP avec petite brèche, brèche intermédiaire ou grosse brèche,

50 résister à des températures élevées pouvant atteindre 800 C audessus de la plaque supérieure de cœur de telle manière que l équipement de mesure reste utilisable après diminution de la température (après un recouvrement du cœur, par exemple). résister à d importants gradients thermiques (d environ +1 C/s). fournir une réponse appropriée à des pressions pouvant atteindre 180 bars, être compatible avec la chimie de l eau de la cuve, en particulier avec la concentration en bore (jusqu à 4000 ppm). Précision de la mesure de niveau cuve Une précision de ± 10 cm est nécessaire pour la détection de chaque seuil. Temps de réponse de l équipement de mesure de niveau cuve Un temps de réponse de l ordre de 30 secondes est suffisant compte tenu que seules des actions manuelles sont mises en œuvre sur la base de la mesure du niveau d eau Autres règles Conditions ambiantes : L équipement de mesure de niveau cuve doit résister aux conditions normales, accidentelles et post-accidentelles existant à l endroit où il est installé (cf. RCC-E, vol. B, cf. chapitre 1.6). Conditions de température et d humidité pour les armoires de traitement. Les armoires de traitement sont implantées dans les locaux de contrôle commande des bâtiments de sauvegarde. Elles doivent résister aux conditions de température et d humidité spécifiées dans le chapitre STRUCTURE Architecture Description générale La mesure du transfert de chaleur indique qu un niveau d eau liquide entourant un capteur est au-dessus ou en dessous d un seuil fixé. Le nombre de seuils sous surveillance dépend du nombre de capteurs installés dans la cuve. La mesure du transfert de chaleur s effectue dans le plénum supérieur de la cuve. Un élément chauffant chauffé à puissance constante subira une élévation de température nettement plus faible dans l eau que lorsqu il est entouré de vapeur. Un fil de thermomètre à résistance incorporé dans l élément chauffant réagit à la température de cet élément : si cet élément est immergé dans l eau, l élévation de température est plus faible que lorsqu il est entouré de vapeur. Afin d être rendu indépendant de la température absolue de l eau ou de la vapeur, le capteur contient également un fil de thermomètre à résistance non chauffé qui fournit une référence. Ces deux résistances de mesure sont interconnectées avec deux résistances de compensation constantes (à l extérieur de la cuve) et constituent ainsi un pont de Wheatstone (cf. 7.5 FIG 7). La tension aux bornes de la diagonale du pont est de ce fait une mesure des différentes températures des fils de la sonde : lorsque le capteur est immergé dans l eau, la tension est faible ; lorsqu il est entouré de vapeur, la tension est beaucoup plus importante. La tension est comparée à un seuil de tension. La mesure est locale au capteur et dépend des conditions du fluide entourant le capteur lui-même. Les capteurs sont installés dans une sonde montée dans la partie supérieure de la cuve. La sonde est insérée à l intérieur de la cuve à travers le couvercle de cuve au moyen d un piquage d instrumentation. Elle s étend de l extérieur du piquage d instrumentation du couvercle de cuve jusqu à une zone située entre le bas des boucles et la plaque supérieure de cœur (cf. 7.5 FIG 8). Dans le plénum supérieur, la sonde est insérée dans un tube guide Description du matériel Capteurs L élément sensible est constitué d une bobine chauffée et d une bobine non chauffée à proximité l une de l autre ; les deux bobines sont des thermomètres à résistance. Chaque sonde comporte en tout trois capteurs qui sont positionnés à trois niveaux (un capteur par niveau) afin de mesurer les niveaux d eau THL, BHL et MHL (cf. 7.5 FIG 8). L influence thermique de la bobine chauffée sur la bobine non chauffée est acceptable en termes de précision. Sonde Les capteurs et leurs câbles sont insérés dans un doigt de gant qui constitue la partie mécanique résistante de la sonde. Les zones du doigt de gant au voisinage de l emplacement des capteurs sont percées d un grand nombre de trous. Ceci permet une bonne circulation de l eau, de la vapeur ou du mélange eau vapeur sur les bobines des capteurs elles-mêmes. Tube guide Chaque sonde est entourée d un tube guide concentrique limité à la zone du plénum supérieur. Les extrémités supérieures et inférieures du tube guide sont fixées à la plaque support des guides de grappes et à la plaque supérieure de cœur. Les fonctions du tube guide sont : le guidage de la sonde dans la position souhaitée, la protection de la sonde contre les forces induites par le débit du plénum supérieur. Un des autres objectifs est d assurer des conditions définies pour le fluide autour des capteurs. La raison est que, dans de nombreuses conditions accidentelles, l eau résiduelle se transforme en un mélange vapeur/eau fortement turbulent qui ne permettrait pas à un capteur directement en contact avec le mélange de fournir une indication significative. En conséquence, la sonde est insérée dans un tube guide de protection qui est fermé sur toute sa longueur sauf aux extrémités supérieures et inférieures où des orifices de communication sont ménagés. Câbles et connecteur Chaque sonde comporte trois capteurs et chaque capteur est connecté dans la sonde à un câble gainé comportant six fils (quatre pour le pont de Wheatstone, deux pour l élément chauffant). Chaque sonde nécessite dix-huit fils. Chacun des trois câbles à l intérieur de la sonde contient les fils de chauffage et de mesure d un capteur. Les câbles d une sonde aboutissent à un connecteur électrique. Il est possible de déconnecter les câbles de la nappe de câbles remontant jusqu au bâtiment de sauvegarde afin de permettre le démontage du couvercle de cuve sans avoir à retirer la sonde de la cuve. Structure de supportage La sonde est guidée au moyen du piquage d instrumentation du couvercle de cuve et du tube guide dans le plénum supérieur. Elle est accrochée en tête du piquage d instrumentation dans la zone où se trouvent les dispositifs d étanchéité. Les extrémités supérieures et inférieures du tube guide sont fixées à la plaque support des guides de grappes et à la plaque supérieure de cœur. Les câbles sont connectés sur la passerelle à câbles au-dessus du couvercle de cuve et remontent jusqu aux bâtiments de sauvegarde en suivant les chemins de câbles appropriés. La conception mécanique est telle que l eau en provenance du dôme supérieur de cuve ne peut pas pénétrer dans le tube guide. Matériel de traitement Le matériel de traitement est installé dans les bâtiments de sauvegarde. Le matériel de traitement a pour fonctions d assurer l alimentation

51 électrique de l élément chauffant des capteurs, l alimentation électrique des ponts de Wheatstone et le traitement des signaux en provenance de chaque pont. De plus, une fonction de contrôle détecte une éventuelle coupure de fil du circuit de chauffage et génère une alarme Respect des règles de conception Redondance et indépendance : L équipement de mesure de niveau cuve se compose de quatre sondes identiques se trouvant à quatre emplacements différents dans la cuve. Chacune des quatre sondes comporte trois capteurs installés aux niveaux THL, BHL et MHL. Chaque sonde utilise un piquage d instrumentation spécifique sur le couvercle de cuve. Le matériel de traitement de chaque sonde est installé dans un bâtiment de sauvegarde différent et est alimenté par la division correspondante INSTALLATION Le matériel de traitement est installé dans les locaux de contrôle commande des bâtiments de sauvegarde 1, 2, 3 et ESSAIS ET ETALONNAGES PERIODIQUES Des essais périodiques appropriés doivent être effectués pour garantir que les informations délivrées par l équipement de mesure de niveau cuve sont correctes tout au long de sa durée de vie. La fonction et les informations fournies par les capteurs disposés audessus du niveau intermédiaire sont vérifiées pendant le remplissage du circuit primaire lors de chaque séquence de démarrage de la centrale après arrêt pour rechargement. Une comparaison avec les mesures de niveau boucle est effectuée. La correction d une dérive éventuelle de la tension du signal est requise au plus une fois par an. Indépendamment de cela, l évolution de l écart entre la tension du signal et la valeur de seuil est contrôlée en fonctionnement normal. Une dérive du signal peut ainsi être corrigée à temps. 6. SURVEILLANCE DES CORPS MIGRANTS ET SURVEILLANCE VIBRATOIRE 6.1. INTRODUCTION La surveillance des corps migrants et la surveillance vibratoire sont assurées par des dispositifs n appartenant pas à des systèmes classés. Chaque dispositif comprend des chaînes de mesure (capteurs accélérométriques) ainsi que des organes de conditionnement et de traitement des signaux SURVEILLANCE DES CORPS MIGRANTS Le système de surveillance des corps migrants contrôle en continu le circuit primaire du réacteur. Le dispositif utilise des capteurs (ex : accéléromètres, détecteurs acoustiques) qui surveillent les zones du circuit primaire où la probabilité de présence de corps migrants est la plus forte. Les corps migrants entraînés par le fluide de refroidissement primaire provoquent un bruit spécifique lié à l'impact sur les parois et structures internes du circuit. Les capteurs détectent ce bruit provenant de la structure. Les signaux sont alors transmis par l'intermédiaire de préamplificateurs aux unités de traitement du signal. Les signaux délivrés par les accéléromètres sont conditionnés par les convertisseurs de charge sous forme de signaux de courant. Ils sont transmis aux modules de détection de corps migrants qui réalisent le traitement et la mise en forme des canaux de mesure. Les corps migrants peuvent être identifiés par la valeur efficace des signaux de bruit provenant de la structure dans une gamme de fréquence prédéterminée (acoustique : environ 1000 Hz 15 khz). Des niveaux seuil sont définis sur la base de mesures de référence et des alarmes se déclenchent en cas de dépassement. L'expérience de systèmes de surveillance entièrement automatisés a montré que les 7. SURVEILLANCE DES RAYONNEMENTS 7.1. MISSIONS DE SURETE La fonction de surveillance des rayonnements, hors radioprotection du personnel d exploitation, étant supportée par le système KRT à l'intérieur de la centrale, toutes les missions de sûreté, les critères fonctionnels et les exigences de conception sont décrits précisément dans le chapitre "Surveillance de la tranche" FONCTIONS L instrumentation de radioprotection contribue : à la radioprotection du personnel d exploitation et de la population environnante, àu contrôle de la tranche en complément des mesures de contrôle conventionnelles, c est à dire des mesures non radiologiques, pendant le fonctionnement autorisé (fonctionnement normal et transitoires courants prévus) et les situations accidentelles éventuelles. seuils doivent être définis à des niveaux relativement élevés afin d éviter les déclenchements intempestifs d alarmes du fait de la nature stochastique du bruit de fond. De faibles variations ne peuvent pas être automatiquement détectées suivant les modèles de bruit. En revanche, l'oreille humaine permet d identifier par sélectivité ces faibles variations. C est pour cette raison qu il est nécessaire de corréler le système de surveillance automatique à une surveillance subjective par écoute du bruit à intervalles réguliers. Cette possibilité est offerte par le système en mode audio SURVEILLANCE VIBRATOIRE Le système de surveillance vibratoire est destiné à déterminer les changements de comportement vibratoire de certains composants du circuit primaire principal. De tels changements sont dus aux évolutions de paramètres liées aux vibrations tels que les caractéristiques d'élasticité, l amortissement, le couplage, les forces d'excitation. Compte tenu du retour d expérience sur le parc et des études en cours sur l EPR, il est actuellement envisagé une surveillance vibratoire des Groupes Motopompes Primaires. Elle concerne la ligne d arbre et la bride de support moteur (l instrumentation envisagée est mentionnée au du présent rapport). En plus des moyens de détection spécifiques, une telle surveillance permet une détection précoce de certains types d anomalies (détérioration des paliers et butées ou du palier hydrostatique, érosion de la roue par cavitation, détérioration des joints d arbre, etc.). Pour ce qui est des internes de cuve, l opportunité d une telle surveillance reste à étudier en fonction des recommandations du constructeur. Le concept de surveillance est basé sur : un contrôle continu au sein de la centrale par l instrumentation de mesure installée de manière permanente, les capteurs fournissant des informations sur l état de la centrale en conditions normales, incidentelles et accidentelles, et pour les bases d'enregistrement des données appropriées et pour initier, en cas de besoin, des actions automatiques ou manuelles, lorsque des seuils sont dépassés, un contrôle périodique au sein de la centrale par prélèvement d échantillons de mesure et leur analyse ultérieure en laboratoire, une surveillance générique réalisée par des équipements de mesure fixes ou mobiles à l intérieur ou à l extérieur de la centrale. Ces mesures sont complétées à l'aide de dispositifs de mesure fixes, portatifs ou mobiles pour la surveillance de la contamination du personnel et des zones de travail

52 Ces fonctions sont réparties comme suit : La surveillance des circuits (surveillance de l activité des liquides ou des gaz dans les systèmes), La surveillance des locaux (mesure de l activité de l air et surveillance du débit de dose local), La surveillance des effluents radioactifs (liquides ou gazeux), Le contrôle du personnel, La surveillance de la contamination, La surveillance des déchets solides, La surveillance de l environnement, L'instrumentation de radioprotection supporte des fonctions classées de sûreté jusqu'à F1A. (cf. chapitre "KRT") PRINCIPES DE MESURES ET DISPOSITIONS TYPES Dans ce qui suit sont décrits les principes de mesure et les dispositions types applicables à l'instrumentation de radioprotection installée de manière permanente pour la surveillance des systèmes et des effluents radioactifs. Les dispositifs de mesures suivants liés à la gestion de la centrale ne sont pas traités ci-après : Les appareils de mesure mobiles, Le contrôle du personnel, La surveillance de la contamination, La surveillance des déchets solides, La surveillance de l'environnement et, Les laboratoires radiologiques. Les tâches requises pour le contrôle des rayonnements en continu dans une centrale nucléaire sont réalisées selon des méthodes comportant la mesure du rayonnement bêta ou gamma. Les nucléides qui émettent des rayons alpha étant rares, comparés aux nucléides qui émettent des rayons bêta ou gamma, ne sont pas représentatifs de la radioactivité émise dans la centrale. En outre, en raison de son extrême absorption, le rayonnement alpha ne conviendrait pas pour effectuer le contrôle continu de la radioactivité présente ou dégagée dans la centrale. Un nombre réduit de dispositifs de mesures, basé autant que possible sur des composants standards, est utilisé. La diversité est limitée le plus possible. Chaque fois que cela est possible et adapté, des matériels sur-étagère sont privilégiés. Cette stratégie permet d optimiser l'entretien et le renouvellement progressif des matériels. Les dispositifs installés de manière permanente pour la surveillance continue en centrale comprennent les composants suivants : un détecteur, un pot de mesure (si requis) une protection contre le rayonnement (si nécessaire), une structure de supportage, des câbles et des connecteurs, un transducteur, un module de traitement du signal, un système de test avec une source radioactive. Ces points de mesure sont complétés par des dispositifs qui assurent un prélèvement permanent d échantillons du milieu surveillé pour des analyses périodiques dans un laboratoire radiochimique. Le choix des matériels prend en compte : les aspects radiologiques, par exemple : la mesure des activités (quantité ou concentration) ou du débit de dose, le milieu à surveiller (liquide ou gazeux), le type de rayonnement (bêta ou gamma), les conditions de la centrale (en fonctionnement, à l arrêt, états perturbés, accidents). En ce qui concerne les différents composants de la chaîne de mesure, le choix est déterminé sur la base des critères suivants : la précision requise des signaux de mesure selon les bandes de fonctionnement et les conditions ambiantes (ex : la température, l humidité, la pression, le débit de dose local, les efforts dus au séisme) pendant le fonctionnement, le temps de réponse requis, la gamme de mesure requise, le seuil de détection requis, la gamme d'énergie spécifiée. Un principe pris en compte afin de réduire la probabilité de défauts de mode commun, est le choix de composants diversifiés pour les chaînes de mesure redondantes. Les critères de choix des composants de l'instrumentation de radioprotection prennent en compte le nécessaire respect des exigences d assurance qualité. Les composants privilégiés sont ceux qui bénéficient d un bon retour d expérience en centrales nucléaires Détecteurs Les détecteurs utilisés pour les mesures bêta et gamma sont les suivants : Mesures de rayonnement bêta des détecteurs à scintillation, des compteurs proportionnels, des compteurs Geiger Müller sensibles aux rayons bêta, des détecteurs statiques. Mesure de rayonnement gamma des compteurs à scintillation de NaI (TI) (sodium - iode, dopé au thallium), des compteurs Geiger Müller, des compteurs proportionnels, des détecteurs au Germanium de grande pureté, des chambres d ionisation. Si nécessaire, un préamplificateur pour la transmission des impulsions est incorporé ou situé à proximité du détecteur. Un étage de puissance est intégré, s il ne fait pas déjà partie du transducteur. Les détecteurs sont situés à côté ou à l'intérieur d'un pot de mesure ou d une unité de filtration ou - en cas de mesure du débit de dose - installés sur le mur du bâtiment. Les détecteurs sont montés de manière à ce qu ils soient facilement accessibles pour les inspections périodiques en service. S il n existe pas de contraintes contraires plus importantes, la hauteur maximale d installation est de 1.7 m au-dessus du plancher ou de plate-formes accessibles afin de faciliter les manutentions. Les détecteurs pour la mesure locale du débit de dose sont installés de façon qu ils effectuent une surveillance représentative de la zone concernée. Tous les autres détecteurs sont installés dans des pièces avec un très bas niveau de rayonnement (inférieur au seuil de 2.5 x 10-5 Gy/h) afin de respecter les limites inférieures requises de détection Mesures de rayonnement bêta Pour la surveillance des rayons bêta, on utilise des détecteurs qui ont une réponse spectrale faible vis à vis du rayonnement gamma par rapport au rayonnement bêta afin que cette influence soit négligeable dans la plupart des mesures. En outre, les détecteurs qui n'ont pas besoin pour leur fonctionnement de moyens auxiliaires tels que des gaz de comptage (comme, par exemple, pour les compteurs proportionnels de débit), sont privilégiés. Des compteurs à scintillation sont choisis en raison de leur seuil bas de détection,

53 des compteurs proportionnels sont employés lorsque de faibles concentrations de gaz rares doivent être détectées, des compteurs Geiger Müller sensibles aux rayons bêta sont choisis quand les conditions ambiantes (ex : la température) ne permettent pas l'utilisation de compteurs à scintillation. Leur gamme de mesure et leur durée de vie aux fréquences de comptage les plus élevées sont limitées, des détecteurs à base de semi-conducteur peuvent être fabriqués dans de petites dimensions et sont donc employés pour la mesure des activités ou des concentrations élevées Mesures de rayonnement gamma Le contrôle des rayonnements gamma vis à vis de la surveillance en continu de la centrale revêt une importance particulière sur les sites nucléaires. En effet, il permet de surveiller les fluides radioactifs dans les tuyauteries et les réservoirs au moyen de détecteurs gamma installés à l'extérieur. Ainsi la contamination du détecteur ou son exposition à une pression élevée est évitée et son exposition à des températures élevées reste limitée. Les compteurs à scintillation NaI (TI) permettent de séparer l énergie des particules incidentes selon un spectre correspondant à la sensibilité du photomultiplicateur associé. Ils sont employés pour la surveillance des liquides, des aérosols et de l'iode avec une limite basse de détection. Dans des cas exceptionnels, ils sont employés pour la surveillance des gaz rares quand une mesure gamma est nécessaire, Les compteurs Geiger Müller sont choisis quand les conditions ambiantes (ex : la température) ne permettent pas l'utilisation des compteurs à scintillation. Leur gamme de mesure, leur sensibilité et leur durée de vie aux fréquences de comptage les plus élevées sont limitées, Les détecteurs au Germanium de grande pureté sont utilisés pour la surveillance spécifique de nucléides ; leur utilisation est limitée en raison de leur mode de refroidissement à l'azote liquide, Les chambres d'ionisation sont principalement utilisées pour les mesures de débit de dose. Leur conception robuste capable de résister aux effets de l'environnement (ex : la température, l humidité, les vibrations) et/ou leur large gamme de mesure permettent de les utiliser pour diverses applications Pots de mesure L'utilisation de pots de mesure dépend largement des conditions de mesure. Les raisons de l'utilisation d'un pot de mesure peuvent être : D éviter la contamination du détecteur par le contact direct avec le milieu à surveiller (ex : l'eau), La nécessité d un espacement entre le détecteur et le milieu surveillé, assurant de ce fait un calibrage constant de ce type d'appareil de mesure. Les pots avec des détecteurs à l extérieur et les dispositions de mesures où le détecteur est installé dans le milieu à contrôler sont deux solutions possibles. La conception des pots de mesure prend en compte les critères suivants : La fabrication mécanique pour faciliter la manutention, l'installation et le remplacement, La compatibilité avec les matériaux et les conditions des systèmes à surveiller, La minimisation de l absorption du rayonnement dans la direction du détecteur, Les dispositions facilitant la décontamination, par exemple la nonrugosité des surfaces et l utilisation de revêtement décontaminable, La minimisation des bras morts et La réduction des dépôts contaminés par une forme adéquate de l'intérieur du pot, par exemple en évitant les bavures et les cordons de soudure Les grands pots de mesure permettent d améliorer la sensibilité globale de la mesure. Cependant les dimensions restent habituellement limitées, en raison : Du coût croissant de la protection, De la dépendance croissante de la mesure à l énergie, provoquée par l absorption propre, De l interaction avec le milieu, entraînant de ce fait un retard dans la mesure. Pour la mesure du rayonnement bêta des gaz rares, le volume de mesure est fonction de l'absorption des rayonnements bêta de moyenne énergie dans l air avec une épaisseur de saturation d'environ 70 millimètres. L enveloppe de protection a une épaisseur limitée afin de réduire l absorption à un minimum. Dans la plupart des cas, la limite de détection inférieure exigée pour les concentrations des aérosols radioactifs ou de l'iode ne peut pas être atteinte par la mesure directe. Dans ces cas, les pots de mesure contiennent une cartouche filtrante au travers de laquelle passe un échantillon d'air surveillé. Les dimensions et le matériau du filtre sont appropriés à cette tâche. L'activité sur le filtre est contrôlée par un détecteur à l'intérieur du pot à proximité ou à l intérieur du filtre. Des pots de mesure pour la surveillance des liquides sont conçus de telle sorte que les dépôts et la contamination sont réduits au minimum. Ils sont construits de façon à éviter la présence de bulles d air dans le volume surveillé. Des pots de mesure ne sont pas nécessaires dans des cas où la surveillance a pour unique but de détecter la présence de radioactivité, c.-à-d. s'il n'y a aucun besoin à traiter les données pour fournir l'activité spécifique en Bq/m 3. Dans ces cas, le détecteur est monté à l'extérieur du système sans pot de mesure spécifique. Aucun pot n'est également utilisé pour les mesures de débit de dose locales Protection contre les rayonnements En fonction de la mesure effectuée, on emploie une protection de plomb qui entoure le détecteur avec uniquement une ouverture entre le détecteur et le volume à mesurer. Des protections de plomb sont utilisées où cela est nécessaire pour respecter le seuil bas de détection exigée dans les situations de fonctionnement correspondantes. Une telle protection de plomb entoure à la fois le pot et le détecteur de mesure ou seulement le détecteur. L'épaisseur de la protection permet un faible niveau de détection compte tenu du bruit de fond local et sa variation et fait au moins 5 centimètres. La conception d'une protection de plomb doit prendre en compte : Les contrôles en service et l'entretien de l'appareil de mesure qui doivent être exécutés, La décontamination qui doit être facile, en évitant des surfaces rugueuses et en utilisant un revêtement décontaminable Transducteurs Les signaux du détecteur (sous forme d impulsions ou de courants) sont traités dans des transducteurs, de conception modulaire. Les transducteurs restituent les états réels et les valeurs mesurées. Selon la mesure à effectuer et les longueurs de câbles nécessaires, les transducteurs sont soit montés dans des coffrets individuels soit regroupés ensemble dans des armoires en tenant compte des critères de redondance Essais périodiques Les défauts aléatoires sont détectés par les essais périodiques. Les essais périodiques sont définis suivant les principes : Qu ils puissent être exécutés pendant le fonctionnement de la centrale, Qu ils n impactent pas des actions nécessaires à la sûreté, Qu ils ne déclenchent pas des actions de sûreté ou ne perturbent pas le fonctionnement normal de la centrale.

54 Dispositifs permanents de prélèvement Indépendamment des moyens de contrôle en continu décrits plus haut, les principes de surveillance de la radioactivité incluent une surveillance périodique basée sur la prise d échantillons qui sont ensuite analysés en laboratoire radio-chimique. Sur demande, tout ou partie de ces échantillons peuvent être stockés comme élément de preuve. L'analyse par le laboratoire est exécutée de façon périodique ou sur demande. Les échantillons sont prélevés de manière discontinue ou continue. Dans la plupart des cas, des dispositifs de prélèvement en continu sont placés dans un circuit de by-pass du système surveillé. Les milieux contenant des nucléides à surveiller sont collectés dans un filtre adapté (ex : les aérosols et l'iode) ou par un absorbant adapté (ex : Tritium et CO2 dans l air) ou dans des bouteilles (liquides) EXIGENCES COMMUNES AUX ZONES RADIOACTIVES Les matériaux mis en œuvre doivent répondre aux exigences suivantes : La résistance au rayonnement, Une finition extérieure adaptée pour réduire autant que possible les problèmes de contamination, Les matériaux qui sont difficiles à décontaminer seront évités au maximum, Le choix des matériaux pour les composants nécessitant un remplacement doit être fait afin de réduire le débit de dose pendant la maintenance, La résistance aux conditions ambiantes maximales durant le fonctionnement (humidité, température, vapeur, eau, etc.), Les matériaux ferritiques non protégés (dans les systèmes de ventilation, les systèmes de mélange d'air, etc) seront évités dans les utilisations où un détachement et une dispersion d oxydes peuvent se produire, Les matériaux ou revêtements susceptibles d être contaminés au cours des arrêts de tranche devront être facilement décontaminables. 8. INSTRUMENTATION ACCIDENTELLE 8.1. DEFINITION L'instrumentation accidentelle fournit des informations sur tous les systèmes de sauvegarde impliqués dans la sûreté de l installation et sur les paramètres de l environnement de l'installation afin de réaliser les actions requises et de maîtriser l'accident FONCTIONS Le concept de surveillance distingue : le contrôle continu au sein de l'installation au moyen d'un équipement de mesure installé de manière permanente. Cet équipement fournit des informations pour : - la surveillance de l'installation en condition normale, incidentelle et accidentelle, - la documentation sur les informations appropriées et l initiation des actions, - les alarmes pour le déclenchement des actions manuelles, quand les valeurs seuils sont dépassées. La surveillance discontinue au sein de l'installation par échantillonnage et évaluation en laboratoire. Les fonctions de surveillance conduisent aux tâches de mesure et de contrôle suivantes : fournir des informations sur les paramètres procédés nécessaires pour permettre au personnel de la salle de commande de prendre les actions manuelles de protection spécifiées dans les procédures accidentelles, fournir des informations sur les paramètres procédés pour vérifier que les actions sûreté requises sont en cours, fournir des informations sur les paramètres procédés pour signaler le risque de perte d intégrité ou la perte effective des barrières de confinement vis-à-vis des rejets radioactifs, fournir des informations sur les paramètres procédés pour indiquer les opérations en cours sur les systèmes de sauvegarde et les autres systèmes impliqués dans la sûreté de l'installation. Les équipements de mesure des rejets radioactifs et des conditions météorologiques fournissent des informations permettant une évaluation de l'état radiologique de l'installation en fonctionnement normal, pendant et après des situations accidentelles, et permettant d'aider à déterminer le niveau des rejets radioactifs PRINCIPES DE MESURE ET EXIGENCES Dispositions typiques Afin de satisfaire ces différentes tâches, les principes de mesure élémentaires et les dispositions typiques suivantes sont appliquées : une surveillance du procédé conçue pour résister aux conditions incidentelles et accidentelles dans les différentes zones affectées par l'accident (par exemple la température, la pression, le niveau, le débit; analyse des gaz et des liquides, flux de neutron, position de vanne), une surveillance du procédé par l'instrumentation utilisée en fonctionnement normal qui n'est pas affectée par les conditions incidentelles ou accidentelles, et qui reste ainsi disponible pendant la séquence accidentelle, une surveillance des différentes zones intérieures et extérieures enceintes (par exemple la température, la pression, la radioactivité, l'analyse des gaz et liquides), une surveillance de la zone géographique proche de la centrale (par exemple l'émission des effluents liquides radioactifs, des gaz, du taux local de particules dans l'atmosphère, des paramètres météorologiques) Exigences sur les sondes et les capteurs En plus des exigences de sûreté générales liées au classement, au critère de défaillance unique, aux essais périodiques, et aux conséquences des agressions internes et externes (cf. chapitre et Directives Techniques G.3), des exigences spécifiques sur les sondes et les capteurs sont rappelées : le temps de réponse et la précision des capteurs répondent aux exigences définies pour les conditions normales et accidentelles ad hoc, les capteurs et les sondes sont montés de telle manière qu'ils sont facilement accessibles pour les inspections en service périodiques, des prises de raccordement sont utilisées pour la connectique afin de faciliter l'entretien. En outre, pour les sondes et les capteurs utilisés dans les zones où existent des conditions sévères en fonctionnement normal et/ou accidentel : des sondes sans composants électroniques sont privilégiées, les conséquences de l'accident ne doivent pas impacter la précision exigée et le temps de réponse des sondes, les capteurs sont utilisés si leurs composants électroniques répondent aux exigences sur les conditions d'environnement pendant et après un accident. 7.5

55 Exigences liées aux procédures accidentelles Les procédures accidentelles décrites dans le chapitre 13.3 fournissent plusieurs stratégies opérationnelles dans le cadre de l'approche par état. En cohérence avec les fonctions de sûreté dans lesquelles l'instrumentation est directement impliquée (chapitre ), un diagnostic permanent des six fonctions d'état évalue l'état de l'installation afin de déterminer la stratégie de conduite appropriée à l'état de l'installation. Il est basé sur l'instrumentation suivante qui doit être classée au moins F1B : Criticité du cœur Fonction d'état 9. INSTRUMENTATION DU BORE Instrumentation Flux de neutron gamme intermédiaire Pression et température primaire Pression primaire Température de sortie cœur Marge à la saturation en sortie cœur Inventaire en eau primaire Niveau cuve Intégrité des GV Pression du secondaire (par GV) Activité du secondaire (par GV) Inventaire en eau des GV Niveau d'eau des GV Intégrité du confinement Pression enceinte Activité enceinte 9.1. INTRODUCTION Pour l EPR la concentration en bore est mesurée dans le fluide primaire au niveau du circuit de contrôle chimique et volumétrique (RCV) et par le circuit d échantillonnage nucléaire (REN). L analyse des exigences de sûreté de l'epr, a conduit à proposer d'installer une station de boremètres classée F1A sur la ligne de charge du RCV, afin de réduire les risques de dilution hétérogène et homogène. Cette station de boremètres, partie du RCV, est décrite ci-après. Le boremètre, utilisé sur le circuit d échantillonnage du REN pour mesurer la concentration en bore dans le circuit primaire est abordé dans le chapitre BOREMETRES DU RCV Fonction La fonction boremètre du RCV est requise pour la protection contre les risques de dilutions hétérogène et homogène. Cette protection est basée sur la reconstitution de la concentration en bore du circuit primaire au moyen d un algorithme utilisant les mesures du débit injecté dans le circuit primaire, les mesures de température des branches froides et les mesures des boremètres Les exigences fonctionnelles impactent la conception détaillée de la chaîne de mesure du bore du RCV notamment en ce qui concerne : Boremètre Le classement. L utilisation de boremètres dans le système de protection réacteur (PS) afin de limiter le risque de dilution hétérogène et homogène conduit à exiger une classification F1A pour les fonctions de protection utilisant ces capteurs et pour les capteurs eux-mêmes. L installation. La station de boremètres du RCV est installée sur la tuyauterie commune de la ligne de charge et de la ligne d injection au joint n 1 des pompes primaires. Le degré de redondance. 4 mesures redondantes de la concentration en bore sur la ligne de charge du RCV sont requises. Le temps de réponse et la précision. Un temps de réponse le plus court possible est nécessaire pour le système de mesure du bore du RCV, toutefois l augmentation de la vitesse de réactualisation du signal dégrade la précision de la mesure et vice versa. Ainsi l'exigence fonctionnelle est un compromis entre la précision et le temps de réponse. Classement séisme. Le système de mesure du bore du RCV intervenant dans des fonctions F1A, il est classé séisme SC Principe de la mesure Source de neutrons Tuyauterie Détecteur de neutrons Fluide primaire

56 Le rôle des boremètres dans le RCV consiste à mesurer en ligne la concentration en bore et de déclencher une alarme ou une action automatique en cas de dépassement d un seuil, soit fixe, soit calculé. Le principe de mesure utilisé pour le système de mesure du bore est basé sur l absorption de neutrons par l isotope 10B, absorption qui est fonction du nombre d atomes de 10B présents dans le canal de mesure et de la concentration en bore du réfrigérant à mesurer. Le principe de mesure est le suivant. Une source de neutron émet des neutrons épithermiques. La plupart de ces neutrons deviennent des neutrons thermiques c est-à-dire ralentis par les réflexions provoquées par l eau qui constitue la majeure partie du fluide à analyser. Du fait de leur grande section efficace, les atomes 10B (se trouvant dans le fluide à analyser) absorbent une grande partie de ces neutrons thermiques. Un détecteur de neutrons mesure le flux de neutrons résiduel résultant des neutrons thermiques non absorbés. Afin d accroître l efficacité de la source de neutrons, un réflecteur de neutrons est ajouté à l appareil, de façon à ce que la plupart des neutrons émis par la source puissent être utilisés. Ce réflecteur a également une fonction de protection radiologique contre la source de neutrons. Cette fonction est renforcée par l installation d un absorbeur de neutrons sur la partie extérieure de l équipement. Les caractéristiques du détecteur sont principalement influencées par l effet du rayonnement gamma qui provoque une dérive de la réponse du capteur. Du fait de cet effet, un étalonnage du capteur est nécessaire. La source de neutrons utilisée est généralement une source Am/Be. Le système Am/Be est choisi car il émet un rayonnement gamma relativement faible. Son activité doit être aussi faible que possible pour éviter des conditions environnementales inacceptables. La valeur minimale de son activité dépend de la sensibilité du détecteur et de la géométrie du capteur. Différents types de détecteurs de neutrons peuvent être utilisés afin de minimiser comme il se doit l influence du débit gamma Solutions industrielles Il existe différents matériels industriels, utilisant les principes décrits ci dessus, qui peuvent être installés sur des tuyauteries, des lignes d échantillonnage ou des réservoirs (en fonction des impératifs fonctionnels) sans avoir à être modifiés. Leurs caractéristiques spécifiques rendent ces appareils extrêmement fiables. Ces caractéristiques sont, par exemple, l utilisation de détecteurs de neutrons redondants, le contrôle et éventuellement la régulation de la température du capteur, l installation du matériel électronique associé dans un environnement non agressif, un autocontrôle perfectionné Performances Pour tous les appareils, la précision de la mesure dépend principalement de la durée de la mesure. Plus la mesure dure longtemps, plus la précision pouvant être atteinte est grande. Il existera donc un compromis entre la précision et le temps de réponse de la mesure. Les boremètres industriels existants sont compatibles avec les spécifications fonctionnelles (cf. chapitre 9.2.1) Tests Les tests sont réalisés pour détecter une dérive éventuelle de la réponse due à une diminution de la sensibilité des détecteurs de neutrons, à une dérive de l électronique associée ou à des modifications mécaniques du tube ou du matériel monté. Le matériel étant installé directement sur une tuyauterie, il est possible de valider la mesure en utilisant des états spécifiques de la centrale correspondant à des concentrations en bore bien définies. 7.5 FIG 1 : SYSTEME DE MESURE AEROBALL - SCHÉMA DE PRINCIPE Lignes d'alimentation en gaz vecteur 10 2 Vannes de commande 3 Electrovannes d arrêt sphériques 4 Rampes de mesure, quantité "n" 11 5 Détecteurs de rayonnement pour chaque rampe demesure 6 Amplificateur 7 Compteur d'impulsions 8 Sondes, quantité "n x 4" 9 Armoire de chargement 10 Ordinateur de commande de l'ams 11 Système d'information et de conduite du procédé (PICS)

57 Cliquez pour voir : 7.5 Fig 2 : Positions radiales des sondes aeroball et des cannes avec SPND et thermocouples 7.5 Fig 3 : Gammes de mesure de l'instrumentation externe du cœur 7.5 Fig 4 : Mesure de la position des grappes : interfaces avec les autres systèmes CC 7.5 Fig 5 : Principes généraux d'implantation et d'acheminement des câbles 7.5 Fig 6 : Interfaces et relations entre la mesure de niveau cuve et les autres systèmes de niveaux 1 et Fig 7 : Transfert de chaleur principe de fonctionnement de la sonde de niveau thermomètres à résistance chauffes et non chauffes dans le circuit du pont de wheatstone 7.5 Fig 8 : Implantation générale de l équipement de mesure de niveau cuve dans la cuve - disposition verticale des capteurs de mesure de niveau 7.5 Tab 1 : Instrumentation externe du cœur : tubes guides, chaines de conteneurs et chaines de mesure

58 sous chapitre 7.6 Ce chapitre traite des outils utilisés pour la programmation du PAS/SAS (données d automatismes de niveau 1) et du MCP (IHM) du système de contrôle-commande standard. Ceci comprend la conception et le codage. Ces deux ensembles de données ainsi que la configuration du matériel, constituent le logiciel d application du système de contrôle-commande standard. Les outils de spécification fonctionnelle ne sont pas couverts dans le chapitre VUE D ENSEMBLE Des outils intégrés sont utilisés comme supports pour l ensemble des activités d ingénierie de contrôle-commande, de la conception à la mise en œuvre des systèmes de contrôle-commande PAS/SAS et MCP et jusqu à l exploitation, la maintenance et les modifications futures. Ainsi ces outils couvrent la durée du cycle de vie des systèmes de contrôle-commande PAS/SAS et MCP. Pour la partie du contrôle-commande du SAS/PAS et MCP supportée par un système d outils intégrés, la gestion centralisée des données fonctionnant conformément aux principes de source unique et de documentation avale est appliquée. L ensemble des données de conception (définissant la configuration matérielle et logicielle) sont stockées de manière centrale dans des bases de données accessibles par les outils adéquats pour : la gestion des données lors des études et pour les modifications ultérieures, la génération de la documentation de contrôle-commande, la génération du code du logiciel d application, le support de la mise en oeuvre des contrôle-commande (intégration du système, installation sur site et mise en service), le support de la vérification et de la validation, les tests et diagnostics en exploitation. Ce concept de gestion des données assure la cohérence entre les différentes étapes d études ainsi qu entre la mise en œuvre du contrôle-commande et la documentation associée. Les activités d étude du système de contrôle-commande sont planifiées, réalisées et documentées en prenant en compte les exigences exprimées au chapitre 7.1. Parmi celles-ci, seule l exigence d assurance qualité s applique aux outils de CAO pour le système de contrôle-commande standard EXIGENCES RELATIVES A LA FIABILITE ET A LA DISPONIBILITE La qualité de la conception et de la réalisation des outils de CAO devra assurer un haut niveau de disponibilité et de fiabilité aux utilisateurs. Afin d assurer un haut niveau de fiabilité et l exactitude des résultats et des bases de données, les outils de CAO développés et/ou maintenus par le fournisseur devront se conformer aux plans d assurance qualité. Tout écart de ces plans d assurance qualité en ce qui concerne les recommandations de la norme ISO devra être justifié. Les outils de CAO qui ne sont pas développés et maintenus par le fournisseur seront soumis à un processus de sélection et répondront à des critères visant à assurer leur fiabilité et l exactitude de leurs résultats EXIGENCES FONCTIONNELLES Les exigences liées aux procédés concernant les fonctions de contrôle-commande (exigences fonctionnelles) sont établies par des ingénieurs procédé. Ces exigences fonctionnelles (diagrammes 7.6 PROCEDURES ET OUTILS DU SYSTEME DE CONTROLE-COMMANDE 1. SYSTEME DE CONTROLE - COMMANDE STANDARD 804 fonctionnels et imagerie) constituent les principales données d entrée de l étude du contrôle-commande du SAS/PAS et de MCP. Elles sont utilisées lors des différentes étapes de vérification et de validation pour apporter la preuve de la conformité du contrôlecommande aux exigences. Afin d éviter des erreurs de programmation, des spécifications claires, compréhensibles et sans ambiguïté des exigences fonctionnelles sont requises. Les exigences fonctionnelles seront documentées de manière uniforme CONCEPTION ET CODAGE Ce paragraphe sera approfondi lorsque le système numérique de contrôle commande standard aura été choisi CONCEPTION ET CODAGE LOGICIEL Une méthode d ingénierie du logiciel évitant la programmation manuelle d un logiciel d application spécifique est appliquée pour le système de contrôle-commande standard. Cette méthode est basée sur la réutilisation de logiciels qualifiés pré-existants ou développés spécifiquement. Ainsi, la partie logicielle du système de contrôle-commande standard est construite sur la base des types suivants de logiciels préexistants : les parties du système d exploitation qui peuvent être utilisées de manière identique dans chaque unité de traitement du même type, les parties du système d exploitation dont la configuration dépend de l application (c est à dire pour gérer la communication au sein du système informatique distribué), les modules fonctionnels standardisés (bibliothèque), qui doivent être combinés et configurés pour réaliser des fonctions applicatives spécifiques. En utilisant des modules fonctionnels standards, chacun possédant des caractéristiques d entrée-sortie définies sur la base de paramètres, le logiciel est conçu dans son ensemble et sans ambiguïté en sélectionnant les modules fonctionnels requis, en effectuant leur paramétrage et en définissant les connexions entre les modules et avec les signaux externes. Cette phase de conception est réalisée à l aide d un outil graphique qui fournit une représentation graphique du logiciel. La représentation graphique orientée-fonction est facile à comprendre aussi bien par l ingénieur contrôle-commande qui peut concevoir le logiciel sans connaissances particulières de la programmation ou l ingénieur procédé qui doit vérifier la conformité aux exigences fonctionnelles, que par l utilisateur qui exploite le système de contrôle-commande. En ce qui concerne l IHM (MCP), l imagerie est conçue et codée à l aide d un outil graphique qui fournit une mise en page standardisée de l image et utilise des modules logiciels standards préexistants pour la conception et le codage du logiciel de l IHM. Les modes opératoires sont des images sans liens avec le procédé. Ils seront conçus et codés à l aide d un outil graphique qui fournit une mise en page standardisée de l image et utilise des modules logiciels standards préexistants pour la conception et le codage des modes opératoires. Cette méthode permet le stockage des données de conception du logiciel d application du système de contrôle-commande dans des bases de données. Ainsi, le concept de gestion centralisée des données sur le cycle de vie du système de contrôle-commande, expliqué au paragraphe 1.1, s applique également au logiciel. Ceci permet : de vérifier la cohérence des données de conception du système de contrôle-commande par les outils de programmation,

59 de générer automatiquement la documentation (schémas de réalisation, imagerie) assurant ainsi la cohérence entre le logiciel d application du contrôle-commande et la documentation produite. Puisque la méthode de conception du système de contrôlecommande définit de manière non ambiguë le logiciel, le codage peut être réalisé par un outil automatique qui combine et configure les modules logiciels préexistants comme spécifié. L outil de conception du logiciel de contrôle-commande est associé à un outil graphique de conception de la partie matériel du système numérique de contrôle-commande. Le matériel concerné est défini en sélectionnant et en configurant des modules matériel standards pour le traitement et la communication entre les unités de traitement et les périphériques. Après l allocation du logiciel aux unités de traitement sur lesquelles il sera exécuté et une fois que l affectation des signaux externes sur les cartes d Entrées/Sorties est définie, toutes les informations nécessaires sont disponibles pour configurer la partie du logiciel d exploitation qui dépend de l application. Cette tâche peut donc être réalisée par un outil automatique. La méthode de conception et de codage du logiciel donne un processus d ingénierie logicielle très efficace qui évite la programmation classique sujette aux erreurs. Pour les applications liées à la sûreté, cette méthode constitue un moyen efficace de répondre aux exigences de haute fiabilité car : Le développement et la vérification du logiciel d application bénéficie du haut niveau de fiabilité des modules logiciels et des outils d ingénierie qui sont validés à l avance, Les modules fonctionnels standardisés sont compacts et simples permettant une forte couverture par les tests, L utilisation répétée des modules logiciels dans chaque application permet un retour d expérience très rapide, La représentation du logiciel sous la forme d un schéma de réalisation limite les erreurs lors de la conception du logiciel et lors de la vérification de la conformité vis à vis des exigences fonctionnelles, Le codage automatique du logiciel réduit considérablement la probabilité d erreurs CONCEPTION ET CONFIGURATION MATERIEL Le système matériel est conçu et configuré à partir d équipements catalogues standards pour ce qui concerne les unités de traitement, de communication et les cartes d entrée/sortie. Les outils permettent : La conception du matériel, en format adéquat, de préférence graphique, structurée suivant la documentation de conception requise, La gestion centralisée des données de conception, La génération de la documentation. Les outils d aide à la conception participent aux activités de conception du système matériel pour les niveaux 1 et 2 dans : Le choix des équipements sur la base de catalogues standards, l interconnexion entre ceux-ci, La disposition en baies, racks, L affectation des entrées/sorties à partir de/vers le niveau INTEGRATION, INSTALLATION ET MISE EN SERVICE Lors de l intégration du système, les composants matériels et logiciels sont associés et configurés tel que spécifié. L exécution correcte des fonctions systèmes est vérifiée par des tests. Des tests complets des fonctions du logiciel d application dans leur environnement matériel dédié contribuent à la validation du système (cf. paragraphe 1.6.2). L intégration des systèmes de contrôle-commande de niveau 1 et 2 est réalisée hors site (en usine, sur plate-forme de test). Au besoin, 805 les systèmes de contrôle-commande interconnectés sont intégrés et testés ensemble avant leur installation sur site. L équipement de niveau 0 est généralement indisponible pour les tests d intégration système. Afin de permettre un test complet des systèmes hors site, des dispositifs pour la simulation de signaux E/S (si nécessaire, des simulateurs du procédé de la centrale) sont utilisés. L installation et la mise en service comprennent les activités suivantes : Installation sur site de chaque système de contrôle-commande dans un ordre prédéfini, Mise en service de chaque système de contrôle-commande indépendamment du procédé de la centrale, Mise en service des systèmes de contrôle-commande reliés au procédé de la centrale. Les activités d intégration, d installation et de mise en service bénéficient du concept de gestion centralisée des données. Les données de conception sont accessibles à l aide des mêmes outils que ceux utilisés pour la conception. Des programmes automatiques vérifient et documentent la configuration réelle en ce qui concerne la cohérence, les versions utilisées, l état de la vérification et des mises à jour. Des outils efficaces de liaison et de chargement du logiciel, de débogage et de diagnostic sont utilisés VERIFICATION ET VALIDATION Les activités de vérification et de validation pour les systèmes de contrôle-commande concernés sont planifiées, réalisées et documentées conformément aux exigences de sûreté liées au classement des systèmes et équipements de contrôle-commande et prennent en compte les procédures et outils d ingénierie utilisés. Ci-dessous figure une description du concept de vérification et de validation pour les systèmes PAS/SAS et MCP VERIFICATION La stratégie de vérification de la conception mise en oeuvre bénéficie fortement de la méthode d ingénierie (cf. paragraphe 1.4) utilisée, du concept de gestion centralisée des données et de la documentation pour l ensemble des données de conception (cf. paragraphe 1.1). Le logiciel est construit à partir de modules préexistants ou développés spécifiquement. Ceux-ci, ainsi que les outils associés, sont fournis dans leur état validé avant le début du processus d ingénierie spécifique aux applications. Ainsi, aucune vérification ultérieure des modules logiciels n est nécessaire. Les études sont facilitées par les outils de conception des systèmes de contrôle-commande qui intègrent une interface utilisateur graphique et des vérifications automatiques. Un grand nombre de sources d erreurs est supprimé par : Des vérifications efficaces des saisies de données, Des contrôles de cohérence, de complétude et de conformité aux règles formelles et aux conventions, Des contrôles des performances du matériel. Le principal effort humain de vérification concerne la vérification de la bonne prise en compte des exigences fonctionnelles dans la conception du logiciel d application du système de contrôlecommande. Cette vérification est réalisée à l aide de deux méthodes complémentaires : Vérification de documents de conception de contrôle-commande : Les fonctions d application conçues sont décrites de manière cohérente et complète par des moyens graphiques (c est à dire des schémas de réalisation), ce qui permet la compréhension aisée par les ingénieurs contrôle-commande et procédé. Les exigences fonctionnelles sont également documentées de manière uniforme et cohérente (cf. paragraphe 1.3). Ceci procure ainsi des conditions optimales pour une vérification efficace des documents. Test du logiciel d application : La méthode d ingénierie logicielle permet le codage automatique du 7.6

60 logiciel d application dans un langage de programmation, c est-àdire sous une forme exécutable sur une plate-forme matérielle de test représentative du système cible. Le logiciel d application sera automatiquement intégré dans un environnement de test ce qui permet une animation facile de l objet du test et procure une aide graphique pour le suivi des signaux VALIDATION La validation permet de démontrer que le système de contrôlecommande du PAS/SAS et MCP relié aux autres systèmes et au procédé de la centrale répond aux exigences fonctionnelles. La validation comporte les étapes suivantes : Validation des systèmes : Validation (hors site) des systèmes interconnectés pour ce qui concerne les caractéristiques du système pouvant être testées sans interaction avec le procédé de la centrale. Toutes les fonctions de contrôle-commande qui sont, dans la plupart des cas, distribuées sur plus d un système de contrôle-commande doivent être validées. Validation globale : Validation (sur site) des systèmes de contrôle-commande installés et électriquement mis en service, reliés au procédé de la centrale FONCTIONNEMENT, MAINTENANCE ET MODIFICATION Pour l exploitation, la maintenance et les modifications du système de contrôle-commande, une documentation complète et cohérente décrivant l état actuel des systèmes et équipements de contrôlecommande est primordiale. Les méthodes de conception appliquées permettent la gestion centralisée de l ensemble des données nécessaires décrivant aussi bien la configuration matérielle que les fonctions d application mises en oeuvre. Ces données sont accessibles (au besoin en association avec les informations acquises sur l état du contrôle-commande) pour : Un contrôle en ligne de la documentation de contrôle-commande ou la génération d une documentation papier cohérente, La supervision et le diagnostic, Les tests, La modification. La modification du système de contrôle-commande suit les mêmes procédures et utilise les mêmes outils que ceux mis en œuvre lors de la conception initiale et de la mise en œuvre du système de contrôlecommande y compris les étapes de vérification et validation. En appliquant le principe de documentation aval, la modification débute avec la modification des données de conception du système de contrôle-commande (copie des bases de données à jour et valables) décrivant la configuration résultante du système de contrôle-commande modifié. C est à partir de ces bases de données que le système de contrôlecommande modifié et sa documentation sont générés. Les bases de données sont simultanément mises à jour avec l intégration du système de contrôle-commande modifié dans la centrale. 2. SYSTEME DE PROTECTION, SYSTEME DE CONTROLE, SURVEILLANCE ET LIMITATION DU REACTEUR Ce chapitre traite spécifiquement des outils utilisés pour la programmation du système de CC (conception et codage du logiciel d application du CC) des systèmes PS (système de protection) et RCSL (système de contrôle, surveillance et limitation du réacteur). Les systèmes PS et RCSL sont basés sur la technologie TELEPERM XS. Les outils d ingénierie utilisés pour le développement du système RCSL sont les mêmes que pour le PS ; de ce fait, même si le système RCSL est seulement classé F2, il tire profit des exigences relatives aux outils d ingénierie du PS. Les outils de spécification fonctionnelle sortent du cadre du chapitre VUE D ENSEMBLE Les fonctionnalités du système de contrôle-commande TELEPERM XS sont largement déterminées par les logiciels. Une procédure formalisée du début à la fin pour la maintenance et les futures modifications est mise en œuvre pour le développement du logiciel d application. Les outils doivent être utilisés au cours de toutes les phases du cycle de vie de sûreté où des avantages pour l assurance de la qualité et la fiabilité des fonctions importantes pour la sûreté peuvent être obtenus. En ce qui concerne les tâches du logiciel, une distinction est faite entre : Logiciel en ligne Il est exécuté dans les modules de traitement du système TELEPERM XS et met directement en œuvre les fonctions de CC, les fonctions de communication ou les tâches d autocontrôle en fonctionnement normal. Logiciel outil pour l ingénierie, la configuration, les tests et la maintenance. Ce logiciel est exécuté sur les stations d ingénierie, d exploitation et de maintenance indépendamment de l exploitation de la centrale et ne contribue pas lui-même directement à l exécution des fonctions de CC. Le logiciel en ligne comprend le logiciel système inclus dans le cadre de la fourniture de la plate-forme du système TXS qui a été développée et qualifiée indépendamment du procédé de la centrale, ainsi que le logiciel d application qui est créé au moyen d une ingénierie spécifique au projet à l aide des outils. La conception du logiciel d application TELEPERM XS est essentiellement basée sur le système d ingénierie SPACE (SPecification And Coding Environment). Ce système d ingénierie comprend les outils utilisés pour l ingénierie et la maintenance du système numérique TELEPERM XS de CC de sûreté. Dans ce contexte, le mot Ingénierie fait référence au processus global de création et de test du logiciel de CC. Spécification des fonctions de CC et topologie matérielle. Vérification de la spécification (diagrammes fonctionnels et configurations matérielles). Génération automatique de code. Vérification du code généré. Validation des fonctions de CC dans un environnement de simulation. Compilation et liaison du logiciel avec le système cible. Chargement du logiciel sur le système cible. Test des fonctions de CC sur le système cible Les activités d ingénierie CC sont planifiées, exécutées et documentées en tenant compte des exigences spécifiées au chapitre EXIGENCES RELATIVES A LA FIABILITE La qualité de la conception et de la réalisation des outils de CAO doit garantir à tous les utilisateurs de la CAO un très haut niveau de disponibilité et de fiabilité. Pour garantir un haut niveau de fiabilité et l exactitude des données générées et des données stockées dans la base de données, les outils de CAO développés et/ou mis à jour par le fournisseur doivent se conformer aux plans d assurance qualité. Tout écart par rapport à ces plans d assurance qualité en corrélation avec les recommandations ISO doit être justifié.

61 Les outils de CAO dont le développement et la maintenance ne sont pas assurés par le fournisseur doivent être soumis à une procédure de sélection et respecter des critères visant à garantir leur fiabilité et l exactitude de leurs résultats EXIGENCES FONCTIONNELLES Les exigences fonctionnelles relatives aux fonctions de CC sont établies par les ingénieurs fonctionnement. Les exigences fonctionnelles constituent les données d entrée pour la conception du CC des systèmes RCSL et PS et sont utilisées au cours des différentes étapes de vérification et de validation pour prouver la conformité à ces exigences. A partir de ces exigences fonctionnelles, une spécification fonctionnelle 1 du procédé à mettre en œuvre sur le système de CC est établie par les ingénieurs CC. Cette spécification décrit sous forme graphique la structure théorique du traitement à implémenter sur le système de CC et les interfaces avec le procédé, les IHM et les autres systèmes de CC. Cette spécification fonctionnelle doit être cohérente avec les exigences fonctionnelles CONCEPTION ET CODAGE Le système SPACE est un ensemble d outils basés sur une base de données centralisée à laquelle on peut accéder à l aide des différents outils SPACE. L éditeur SPACE prend en charge la spécification graphique des deux architectures (topologie matérielle) et les fonctions de CC. Le résultat final en est une spécification des fonctions de CC (spécification logicielle) sous la forme de diagrammes fonctionnels et de la topologie matérielle (spécification matérielle) sous la forme de schémas d'implantation et de schémas de réseau. Le code est généré automatiquement par des générateurs de code. La génération automatique est basée sur la conception logicielle (cf. paragraphe 2.4.1) et sur la conception matérielle (cf. paragraphe 2.4.2) Conception logicielle Pour les systèmes électroniques programmables de niveau 1 on applique une méthode d ingénierie logicielle qui évite la programmation manuelle du logiciel d application concerné. Cette méthode est basée sur la réutilisation de modules logiciels (blocs fonctionnels) préexistants et qualifiés. Le processus technique avec l éditeur SPACE est basé sur une "interconnexion" graphique des blocs fonctionnels pour réaliser les diagrammes fonctionnels. Un langage de spécification graphique est utilisé. Cela entraîne : L utilisation d un ensemble défini de blocs fonctionnels (indépendants du projet) standardisés avec une fonctionnalité testée et spécifiée avec précision. La mise en œuvre des fonctions de CC nécessaires au moyen d une interconnexion de ces blocs (génération de diagrammes fonctionnels). Paramètres spécifiques projet pour les blocs fonctionnels. Une des caractéristiques spéciales du système d ingénierie est le contrôle continu des entrées utilisateur pour vérifier leur conformité aux règles générales d ingénierie. Dans ce contexte, l éditeur SPACE effectue les types de contrôles suivants : Test en ligne de la conformité aux conventions du système d identification sélectionné pour les diagrammes, composants et signaux. Pour chaque type de document, un seul ensemble spécifique de blocs fonctionnels disponibles est fourni. Tous les paramétrages spécifiques au bloc sont standardisés. Cela signifie que les règles de vérification syntaxique sont implémentées dans les masques de paramètres spécifiques aux blocs fonctionnels 1 pour les systèmes PS et RCSL et que la gamme de valeurs est limitée, ou qu une liste de toutes les entrées possibles est présentée pour sélection. Les connexions des entrées et des sorties des blocs fonctionnels sont standardisées. Le contrôle en ligne garantit que seules les entrées et les sorties du même type peuvent être interconnectées. Les extrémités de connexions ouvertes sont marquées. De même, les connexions qui traversent des pages ou des diagrammes et qui n ont pas de terminaison sont également marquées. Des contrôles d intégrité et de cohérence plus complexes sont fournis par les outils de test SPACE. Un outil d analyse ("cpuload"), servant à estimer la charge des modules de traitement TELEPERM XS, fournit les informations suivantes : La taille du code et la taille des données pour chacun des modules de groupe de diagrammes fonctionnels (deux maximum par CPU). La taille du code et la taille des données pour la totalité du logiciel en ligne des CPU. La durée d exécution approximative pour le logiciel en ligne complet sur chaque CPU. Le temps de cycle des CPU. De plus, un outil d analyse ("netload") fournit une estimation de la charge des réseaux TELEPERM XS (LAN réseaux locaux) définis dans le système de CC TELEPERM XS. Ce qui comprend : Une liste des réseaux définis avec tous les abonnés. Une charge attendue de ces réseaux sous forme de pourcentage (%) Conception matérielle Le même système d ingénierie et les mêmes méthodes d ingénierie sont également utilisées pour spécifier le système matériel et attribuer les fonctions de CC (logiciel) au matériel. Cela entraîne : L utilisation d un ensemble défini de modules matériels (indépendants du projet) standardisés qui représentent les composants matériels du système TELEPERM XS. L interconnexion de ces modules afin d établir une topologie matérielle (génération de schémas de localisation des modules et d un schéma de réseau illustrant la topologie). L attribution des fonctions de CC au matériel du système (liaison des diagrammes fonctionnels aux unités de traitement). L attribution des signaux pour les modules d entrée/sortie (définition de l affectation des voies pour les modules d E/S). Une des caractéristiques spéciales du système d ingénierie est le contrôle continu des entrées utilisateur pour vérifier leur conformité aux règles générales d ingénierie. Dans ce contexte, l éditeur SPACE effectue les types de contrôles suivants : Test en ligne de la conformité aux conventions du système d identification sélectionné pour les diagrammes, composants et signaux. Pour chaque type de document, un seul ensemble spécifique de blocs fonctionnels disponibles ou symboles (pour les composants matériels ou les diagrammes de la topologie du matériel) est fourni. Les connexions des entrées et des sorties des blocs fonctionnels sont standardisées. Le contrôle en ligne garantit que seules les entrées et les sorties du même type peuvent être interconnectées. Les extrémités de connexions ouvertes sont marquées. De même, les connexions qui traversent des pages ou des diagrammes et qui n ont pas de terminaison sont également marquées. Des contrôles d intégrité et de cohérence plus complexes sont fournis par les outils de test SPACE. L analyse de la charge des composants matériels est effectuée sur la base de :

62 La structure de programmation du logiciel système et du code source, généré automatiquement, du logiciel d application. Les fiches techniques des composants matériels implémentés Gestion de la configuration des données techniques La gestion de la configuration est effectuée au niveau des bases de données complètes. Chaque base de données contient toujours une seule version à jour (avec un identificateur unique) du projet. Différentes versions à jour peuvent être sauvegardées/archivées en enregistrant la base de données du projet sur disque dur ou sur un support de stockage externe et en ressortant les données copiées et enregistrées dans des bases de données de projet «vides». Chaque base de données projet dans le système d ingénierie SPACE est fournie avec une identification unique de la version à jour du projet qui y est stocké. Les composants individuels suivants sont identifiés : Version et statut de révision des données de définition utilisées (modèles, symboles). Date de la dernière modification de chaque diagramme et noms des auteurs. Date de la dernière modification de tous les blocs utilisés dans les diagrammes, paramètres de bloc entrés, connexions, diagrammes de croisement des signaux. Entrées stockées dans la base de données lors de la génération du code (elles sont automatiquement marquées avec la version et la date de modification/génération). L identification de l utilisateur (protection par mot de passe) se fait au moyen d une demande de connexion (login) et d une protection par mot de passe dans le système d exploitation (UNIX, par exemple) de l ordinateur. L utilisateur peut remplir un historique des modifications dans la zone de libellés de chaque diagramme, constitué des éléments suivants : Index de modification. Objet. Nom. Date. Dans chaque cas, les 3 dernières entrées sont stockées dans l historique des modifications et affichées INTEGRATION, INSTALLATION ET MISE EN SERVICE Pour chaque système et appareillage de CC un plan global d intégration/installation doit être développé et décrire en particulier : Les procédures d intégration/installation (c est-à-dire l ordre dans lequel les divers systèmes/appareillages doivent être installés/intégrés). Les critères permettant de décider si les phases d intégration/installation sont terminées. Chaque fonction de sûreté doit être prise en compte dans un plan global de mise en service décrivant en particulier : La relation entre les différentes étapes de l installation. Les procédures de mise en service. Lors de l intégration du système les composants logiciels et matériels sont combinés et configurés de la manière spécifiée. Le bon fonctionnement des fonctions du système est vérifié à l aide de tests. Les tests complets des fonctions d application dans leur environnement matériel contribuent à la validation du système (cf. paragraphe 2.6.2). Des tests partiels ne sont pas obligatoires (utilisation des modules préexistants). Les tests effectués à l extérieur du site (en usine, dans des installations d essai) sont les suivants : Essais d intégration et de validation (pour la partie TELEPERM XS). Essais interconnectés ( incluant le niveau 2 des systèmes I&C). L appareillage de niveau 0 n est pas disponible pour les tests d intégration du système et de validation. Des appareils appropriés pour la simulation des signaux d E/S (si nécessaire des simulateurs du processus de la centrale) sont utilisés, pour permettre un test complet des systèmes à l extérieur du site. L installation et la mise en service comprennent les activités suivantes : l installation sur place de chaque système de CC dans un ordre défini : - pose de l appareillage, - interconnexion avec les autres systèmes et/ou avec les composants de la centrale (pose des fils, câblage), - vérification des prises de terre, - vérification des activités de montage précitées. mise en service de chaque système de CC sans liaison avec le processus de la centrale : - branchement sur l alimentation électrique, - réglage et test des appareils du système, - réglage et test des interconnexions avec les autres systèmes (incluant la vérification des liaisons internes réseaux et des liaisons externes E/S). mise en service des systèmes de CC connectés au processus de la centrale : - configuration et test des paramètres en termes de procédé (par exemple, commandes en boucle fermée), qui doivent être ajustés et/ou vérifiés en liaison avec le processus de la centrale, - test de fonctions spécifiques avec les composants de la centrale, - tests requis pour la validation. Les activités d intégration, d installation et de mise en service tirent profit du concept de gestion centralisée des données. Les données de conception peuvent être obtenues à l aide des mêmes outils que ceux utilisés pour la conception. Des sous-programmes automatiques vérifient et documentent la configuration réelle en ce qui concerne la cohérence, les versions utilisées, les statuts de vérification et de publication. Des outils efficaces pour la liaison et le chargement du logiciel, pour le débogage et les diagnostics sont utilisés VERIFICATION ET VALIDATION Les activités de vérification et de validation pour les systèmes de CC spécifiques sont planifiées, exécutées et documentées conformément aux exigences de sûreté associées aux système de CC et à la classification de l appareillage et prennent en compte les procédures d ingénierie appliquées et les outils utilisés. Les paragraphes suivants décrivent le concept de vérification et de validation pour le PS (catégorie de sûreté la plus élevée). La procédure de vérification et de validation du système RCSL est réduite en conséquence par rapport à la procédure ci-dessous Vérification Une stratégie de vérification approfondie et spécifique de la conception est appliquée et tire profit de la méthode d ingénierie du logiciel (cf. paragraphe 2.4.1) et de la gestion centralisée des données ainsi que du concept de documentation cohérente pour toutes les données de conception (cf ). Le logiciel est élaboré à partir de modules préexistants. Les modules logiciels et les outils associés sont validés avant le démarrage du processus technique spécifique à l application. Ainsi, aucune autre vérification des modules logiciels et de la structure du code n est nécessaire. La vérification est focalisée sur la configuration, spécifique à l application, des composants matériels et logiciels. La procédure de conception spécifique à l application est grandement facilitée par les

63 outils de conception CC comportant une interface utilisateur graphique et des sous-programmes de vérification intégrés. Un grand nombre de sources d erreurs sont éliminées par : Des contrôles efficaces des saisies de données. Des vérifications de la cohérence, de l exhaustivité et de la conformité aux règles formelles et aux conventions. Des contrôles des performances du matériel. La méthode d'ingénierie logicielle permet le codage automatique du logiciel d'application dans un langage de programmation standardisé, c'est-à-dire dans une forme exécutable sur n'importe quelle plate-forme matérielle. Le principal effort humain de vérification consiste donc à vérifier que les exigences fonctionnelles ont été traduites comme il faut en termes de conception du système de CC. Cette vérification s effectue à l aide de deux méthodes complémentaires : Vérification des documents de conception du système de CC : Les fonctions d application conçues sont décrites de manière exhaustive et cohérente par des méthodes graphiques (diagrammes fonctionnels, par exemple) qui facilitent leur compréhension pour les ingénieurs fonctionnement et CC. De même, les exigences fonctionnelles sont documentées de manière uniforme et cohérente (cf. 2.3). Tout ceci contribue à l exécution d une vérification efficace des documents. La vérification de la conception du logiciel d'application est effectuée par la vérification humaine des diagrammes fonctionnels et des vérifications automatiques effectuées sur le contenu de la base de données du projet. Test du logiciel d application : La correcte conception du logiciel d'application de chaque unité programmée est démontrée par des tests de validation logicielle (avant la validation du système). La première partie des tests de validation logicielle est réalisée avec un outil de simulation (SIVAT) et la seconde partie sur le matériel cible. Des tests appropriés et éventuellement différents sont conçus pour chaque environnement, de manière à obtenir une couverture complète du logiciel testé. Dans le cas de TELEPERM XS, l outil d ingénierie SIVAT (Simulator based Validation Tool) est utilisé pour générer un environnement de simulation à partir de la base de données du projet. Ce programme de simulation permet à l utilisateur de tester la réponse dynamique des fonctions aménagées en spécifiant des valeurs ou des rampes de tension pour les signaux d entrée puis en contrôlant la réponse du système et les signaux de sortie, les profils de signaux et les états internes étant enregistrés au cours de ce programme. Un environnement de test efficace pour le système intégré incluant la possibilité de coupler le système avec un simulateur de processus de la centrale est fourni (cf ) FONCTIONNEMENT, MAINTENANCE ET MODIFICATION Pour le fonctionnement, la maintenance et les modifications du système de CC, la disponibilité d une documentation complète et cohérente représentant l état réel des systèmes et appareillages de CC est extrêmement importante. Les méthodes de conception appliquées permettent la gestion centralisée de toutes les données nécessaires décrivant aussi bien la configuration matérielle que les fonctions d application implémentées. Ces données sont consultées (si nécessaire conjointement avec les informations acquises sur l état du système de CC) pour : Le contrôle en ligne de la documentation du système de CC ou la création de documents papier cohérents. La supervision et le diagnostic. Les tests. La modification. Les modifications sont effectuées sur une copie de la base de données d origine. Ces modifications sont marquées pour information dans la copie utilisée pour test et approbation. Les modifications de code, générées à partir de cette copie de base de données, sont chargées dans les modules de traitement du système principal uniquement si elles ont été au préalable approuvées. La copie de la base de données remplace l original à ce moment-là et devient la nouvelle version approuvée de la base de données du projet. La nouvelle version doit également être utilisée par le moniteur de service du module de service TXS Validation La validation prouve que les systèmes de CC PS et RCSL, en liaison avec les autres systèmes et avec le processus de la centrale, satisfont aux exigences fonctionnelles. La validation doit se faire par étapes : Validation du système : Validation (à l extérieur du site) du système intégré en ce qui concerne les propriétés du système qui peuvent être testées sans interaction avec les autres systèmes et le processus de la centrale. Validation des systèmes interconnectés : Validation (à l extérieur du site) des systèmes interconnectés en ce qui concerne les propriétés du système qui peuvent être testées sans interaction avec le processus de la centrale. Les fonctions de CC complètes, qui dans la plupart des cas sont réparties sur plusieurs systèmes de CC, doivent être validées. Validation globale : Validation (sur site) des systèmes de CC, installés et mis en service électriquement, reliés au processus de la centrale. Les fonctions complètes du processus (CC et systèmes mécaniques) doivent être validées lors de la mise en service. L effort de test du système intégré peut être réduit en tirant profit du test séparé précédent du logiciel d application