. SÚJB v rámci své pravomoci a působnosti, v souladu se zásadami činnosti správních orgánů a mezinárodní praxí, vydává BN, ve kterých dále rozpracovává požadavky k zajišťování a zvyšování úrovně JB, radiační ochrany, technické bezpečnosti, monitorování radiační situace, zvládání radiační mimořádné události a zabezpečení.

. BN pro „Provádění změn na JZ“ je součástí série BN vydávaných SÚJB, který rozpracovává relevantní požadavky § 24, 25, 29, 43, 46, 48 a 49 AtZ , včetně odpovídajících požadavků jeho prováděcích předpisů. Obsah BN se týká změn při využívání jaderné energie v oblasti JB, TB a FO JZ.

. Při zpracování vyhlášek SÚJB bylo přihlédnuto k požadavkům dokumentů IAEA Safety Standards Series (viz Reference) a rovněž k požadavkům asociace WENRA, která definuje tyto požadavky vydáním referenčních úrovní „WENRA Reactor Safety Reference Levels“ a „Waste and Spent Fuel Safety Reference Levels Report“ (dále jen jako „Referenční úrovně“).

• dokument „Zásady kategorizace změn v ČEZ, a. s., dle jejich vlivu na jadernou
bezpečnost (JB), radiační ochranu (RO), fyzickou ochranu (FO), havarijní připravenost (HP) a technickou bezpečnost (TB)“ ze dne 7.2.2009,
• BN-JB-1.10: Provádění změn konstrukcí, systémů, komponent a procesů jaderných
zařízení. CÍL

. BN nabízí možný postup, při jehož plném dodržení budou činnosti DP v dané oblasti v souladu s požadavky AtZ, jeho prováděcími předpisy a souvisejícími mezinárodními standardy a doporučeními. PŮSOBNOST

. BN se primárně soustředí na JZ ve smyslu Úmluvy o jaderné bezpečnosti - „civilní“ jaderné elektrárny a ve smyslu Společné úmluvy o bezpečnosti při nakládání s vyhořelým palivem a bezpečnosti při nakládání s RaO. Jeho principy a postupy lze odstupňovaným přístupem vztáhnout také na další JZ definovaná atomovým zákonem a na pracoviště III. a IV. kategorie, na kterých se vykonávají radiační činnosti. PLATNOST

. BN nabývá platnosti publikací na www.sujb.cz, účinnost je uvedena na str. 2. Revize BN je prováděna na základě nových poznatků vědy a techniky, obdržených připomínek veřejnosti a zkušeností s jeho praktickým používáním. 8 2.VÝCHODISKA

. Změny při využívání jaderné energie jsou:

. dle § 43 písm. h) bodu 1 – změny ovlivňující JB, TB a FO JZ, zejména změna VZ včetně změny části VZ nebo média v systémech VZ, při které dochází ke změně způsobu nebo rozsahu plnění bezpečnostní funkce VZ nebo k výměně bezpečnostně významné části VZ zařazeného do BT 1 nebo 2; k nim SÚJB vydává povolení podle § 9 odst. 1 písm. h)AtZ.

. jiné změny při využívání jaderné energie; tyto změny držitel povolení dokumentuje a oznamuje SÚJB podle § 49 odst. 1 písm. o)AtZ.

. změny, které nejsou jinou změnou při využívání jaderné energie (ani změnou ovlivňující JB, TB a FO JZ – viz kapitola 2.5.1 BN).

. Změnou ovlivňující JB, TB a FO JZ, povolovanou SÚJB, se rozumí:

. pro systémy SKŘ (ASŘTP), které plní funkce klasifikované „A“ dle ČSN EN 61226 nebo na ETE plní funkce uvažované (a explicitně uvedené) v PrBZ v deterministických bezpečnostních analýzách: změny algoritmů a nastavení, které mění BF tak, že pracuje odlišně od původní projektové funkce,

. změny „setpointů“ kategorie I. v SKŘ na EDU. Do setpointů kategorie I. patří všechny nastavitelné parametry SW SKŘ, které jsou uváděny v LaP. Protože v LaP jsou všechny důležité parametry BS vstupující do konzervativních bezpečnostních analýz, které obsahují deterministické bezpečnostní analýzy PrBZ, lze při definici kategorie I. nastavitelných parametrů v SW SKŘ vyjít z této skutečnosti. Jedná se o:  Ia. Hodnoty mezí (set point) pro iniciaci ochranných zásahů systémů - RTS a ESFAS.  Ib. Hodnoty pro aktivaci/deaktivaci (permissiv) ochranných funkcí systémů RTS a ESFAS (neutronový výkon, teploty na výstupu z reaktoru).  Ic. Hodnoty pro iniciaci zásahů různých technologických zařízení plnící pomocné funkce, které jsou však generovány v systémech plnících funkce kategorie A dle ČSN EN 61226 a jsou explicitně uvedeny v LaP. Jsou to např. hodnoty mezí pro iniciaci funkcí SAS – roztržení parovodu.

. změny „setpointů“ kategorie 1A, 1B, 1D a kategorie 4A (dle přílohy 3 zdůvodnění LaP 1TL002) v SKŘ na ETE. Jedná se o:  1A Nastavení aktivace (zásahu) uvažované (a explicitně uvedené) v PrBZ v deterministických bezpečnostních analýzách  1B Použité v analýzách projektových havárií (v deterministických bezpečnostních analýzách v PrBZ), avšak v textu PrBZ explicitně neuvedené (např. časové konstanty atp.)  1D Nastavení aktivace (explicitně uvedené i neuvedené v textu PrBZ), které jsou součástí předpokladů bezpečnostních analýz prezentovaných v dílech PrBZ jiných než v deterministických bezpečnostních analýzách.  4A Defaultové výstupy bistabilních komparátorů nebo defaultové hodnoty monitorovaných parametrů. Tyto se uplatňují v případě BAD kvality monitorované proměnné. 9

. změny, v jejichž důsledku by mohlo dojít ke změně frekvence, následků nebo typu iniciačních událostí analyzovaných v deterministických bezpečnostních analýzách v PrBZ (např. změna parametrů při využití projektových rezerv JZ),

. změny, v jejichž důsledku by mohlo dojít ke zvýšení četnosti nebo následků poruch VZ zařazeného do BT 1 nebo 2 (např. změna charakteristik senzorů, změna charakteristik akčních členů BS),

. změny, v jejichž důsledku by mohlo dojít ke změně bariér proti úniku štěpných produktů,

. změny, v jejichž důsledku dochází ke změně metodologie průkazů bezpečnosti (např. uplatnění požadavků vědy a techniky vedoucí ke změně postupů výpočtů v deterministických bezpečnostních analýzách v PrBZ),

. organizační změny, při kterých dochází ke změně ve výkonu činností zvláště důležitých z hlediska JB – dále je řešeno v BN-JB-1.1,

. převedení zajišťování činností zvláště důležitých z hlediska JB na jinou fyzickou/právnickou osobu, než je DP, který tyto činnosti původně zajišťoval – dále je řešeno v BN-JB-1.1,

. změny schvalované dokumentace pro povolovanou činnost,

. výměna bezpečnostně významné části VZ zařazeného do BT 1 nebo 2, pokud se nejedná o výměnu za stejný typ nebo schválený ekvivalent

. Jinou změnou při využívání jaderné energie, kterou DP oznamuje SÚJB, se rozumí:

. technická změna VZ zařazeného do BT 1 nebo 2, která spočívá ve výměně nebo změně typu VZ nebo jeho části, neměnících jeho projektovou funkci, konfiguraci nebo výsledek bezpečnostní analýzy,

. změna, která vede k odstranění zjištěné neshody na VZ, které má zajistit plnění projektové funkce tohoto zařízení,

. změna výrobce nebo typu VZ,

. změna parametru VZ, při níž je zachována původní projektová funkce a nemění se fyzická konfigurace tohoto zařízení,

. zásah do části VZ, která je nositelem BF, který tuto BF nemění. Kromě vlastních zásahů prováděných na provozovaných VZ v rámci realizace změny se jedná také o činnosti, které se provádí před tím, než dojde k vlastnímu zásahu do provozovaného JZ, nejsou součástí procesu kvalifikace a představují provádění zvláštních procesů (procesy dle § 29 odst. 3 písm. a)AtZ). Oznámení změny musí být v tomto případě předáno SÚJB 30 dnů před zahájením takovýchto činností,

. změna algoritmu a nastavení ochranného systému, která mění BF tak, že pracuje v souladu s původní projektovou funkcí (odstranění nesouladu),

. změna nastavení ochranného systému, při níž zůstávají platné bezpečnostní analýzy a nedochází ke změně LaP,

. změny „setpointů“ kategorie II. v SKŘ na EDU. Je to skupina parametrů, které sice nejsou přímo uváděny v LaP, avšak jejich změna může parametry zakotvené v LaP ovlivnit, nebo má vliv na funkci BS. Jedná se o: 10  IIa. Časové konstanty filtrace vstupních signálů RTS a ESFAS.  IIb. Hodnoty časových zpoždění iniciace a časových pulsů v systémech RTS, ESFAS a ELS.  IIc. Hodnoty mezí (set point) pro iniciaci zásahu systému RLS.  IId. Technologické meze, tj. meze fyzikálního rozsahu signálů RTS, ESFAS včetně SAS pro stanovení jejich validity stejně jako případné redukování rezervy mezi setpointem a mezí validity. Pro všechny změny hodnot parametrů zařazených do skupiny IIa. nebo IIb., u nichž analýza důsledků změny nevyloučí, že jejím provedením by mohlo dojít k porušení předpokladů aplikovaných v bezpečnostních analýzách, se tato změna musí přeřadit do kategorie I a podléhá schválení SÚJB,

. změny „setpointů“ kategorie 1C, 2A, 2B, 2C, 3A a kategorie 4A vztahujících se k setpointům těchto kategorií (dle přílohy 3 zdůvodnění LaP 1TL002) a vybraných hodnot nastavení kategorie 6A (dle přílohy 4 zdůvodnění LaP 1TL002) v SKŘ na ETE. Jedná se o:  1C Nastavení aktivace některých BF, které nejsou uvažované v bezpečnostních analýzách.  2A Důležité pro provoz, regulaci, popř. izolaci technologických BS.  2B Nezbytné pro ochranu komponent technologických BS (např. řízení recirkulací bezpečnostních čerpadel, apod.)  2C Důležité pro předcházení (ukončení) havarijních stavů (např. izolace úniků z ucpávek HCČ, uzavření předřadné armatury OVKO, apod.)  3A Setpointy (realizované v PRPS) použité v algoritmech PCS nebo RCLS. Neplní BF (např. řízení PSA v režimu vychlazování odstavení HCČ na základě nízké hladiny v PG, algoritmy řízení systému VF apod.)  4A Defaultové výstupy bistabilních komparátorů nebo defaultové hodnoty monitorovaných parametrů. Tyto se uplatňují v případě BAD kvality monitorované proměnné.  6A Setpointy použité ve funkční logice funkcí limitačního systému (LS)

. změny algoritmů a nastavení limitačních systémů,

. přípravné práce v rámci změny, při kterých ještě nedochází k vlastnímu fyzickému zásahu do provozovaných SKK dotčených změnou, ale které mohou mít negativní vliv na zajištění plnění BF provozovaných SKK (např. pokládka nové kabeláže bez jejího zapojení, příprava a instalace nových potrubních tras bez jejich napojení na technologii, vrtání otvorů atd.),

. změna dokumentace pro povolovanou činnost, která není schvalována SÚJB,

. změny ve výkonu činností důležitých z hlediska JB dle dokumentu „Seznam činností důležitých z hlediska jaderné bezpečnosti a popis systému vzdělávání, odborné přípravy a výcviku pracovníků včetně popisu kvalifikace pracovníků“,

. organizační změna DP k činnostem souvisejícím s využíváním jaderné energie – dále je řešeno v BN-JB-1.1,

. změny dodavatele, který zajišťuje činnosti důležité z hlediska JB dle dokumentu „Seznam činností důležitých z hlediska jaderné bezpečnosti a popis systému vzdělávání, odborné přípravy a výcviku pracovníků včetně popisu kvalifikace pracovníků“, 11

. změna DP k činnostem souvisejícím s využíváním jaderné energie v oblasti zajišťování FO,

. jiná změna v oblasti zajišťování FO - podrobněji viz Příloha č. 2,

. jiná změna související se ZRMU - podrobněji viz Příloha č. 2.

. Údaje o:

• provedených změnách na VZ a SKK s vlivem na JB, které nejsou VZ (tedy změnách
ovlivňujících JB a TB, jiných změnách při využívání jaderné energie i změnách, které nejsou jinou změnou při využívání jaderné energie),
• provedených změnách v oblasti zajišťování FO (tedy změnách ovlivňujících FO JZ,
jiných změnách při využívání jaderné energie i změnách, které nejsou jinou změnou při využívání jaderné energie) oznamuje DP SÚJB dle § 8 odst. 4 vyhlášky č. 21/2017 Sb. dopisem za uplynulý kalendářní rok k 31.lednu následujícího kalendářního roku v souhrnné zprávě.

. Typy změn při využívání jaderné energie z pohledu jejich dopadu na proces řízení konfigurace JZ Pozn.: v tomto bodě BN není uvedena standardní oprava zařízení, protože se nejedná o změnu při využívání jaderné energie.

. Změny, které se nepovažují za změnu konfigurace JZ:  Nestandardní oprava zařízení - zásah do zařízení (oprava vč. provedení nestandardních kontrol apod.), který zajistí udržování stavu stávajícího zařízení (navrácení do stavu, kdy je zařízení a jeho parametry opět v mezích specifikovaných požadavků), přičemž: o neexistuje (není vytvořen) standardizovaný postup provedení opravy, nebo normativní požadavky/návody pro údržbu nejsou stanoveny, nebo není možné je dodržet v plném rozsahu, a/nebo o zásahem může dojít ke změně charakteristik zařízení, tj. např.: k aplikaci dodatečných materiálů (nebo medií) odlišných od původních (povrchové úpravy, nástřiky, návary apod.), k úběru materiálů, změně dimenzí, hmotností, typu materiálů, počtu svarových spojů, typů/počtů uložení apod.). Při nestandardní opravě musí být zachovány všechny specifické požadavky na zařízení (funkce, parametry, způsob provozování) a další atributy definované v projektové dokumentaci zařízení, nedochází k potřebě změny průkazné dokumentace pevnosti, životnosti a seismické odolnosti pro VZ, nebo kvalifikační dokumentace zařízení. Shoda s požadavky a předpoklady projektové, průkazné, i kvalifikační dokumentace, resp. kompatibilita nově aplikovaných materiálů, médií, popř. odchylka od standardizovaných postupů apod. musí být posouzena a dokumentována v rámci řešení tohoto typu opravy. Tento způsob opravy může vyvolat změnu v rozsahu prováděných kontrol zařízení, úpravy některé dokumentace pro povolovanou činnost apod., nemění se však specifické požadavky na zařízení a průkazy v projektové dokumentaci zařízení. 12 V některých případech může být nestandardní oprava jinou změnou při využívání jaderné energie (např. při změně dimenzí, hmotností, typu materiálů, počtu svarových spojů, typů/počtů uložení apod.) a je třeba postupovat v souladu s výše uvedeným odstavcem 2.3 BN. V ostatních případech se jedná o změnu, která není jinou změnou při využívání jaderné energie.  Oprava změnou dokumentace nebo oprava chyb dokumentace - oprava projektové dokumentace, kdy nedochází ke změně specifických požadavků, funkcí, parametrů nebo způsobu provozování (např. opravy zjevných chyb ve výkresech apod.) nebo obecně oprava (oprava chyb nebo jiná změna) jakékoliv jiné dokumentace (provozní, dokumentace pro povolovanou činnost apod.) pro uvedení do souladu s projektovou dokumentací. Tento způsob opravy je určen pro opravy zjevných dokumentačních chyb, kdy správný údaj lze ověřit a prokázat, jde tedy o návrat do shody. Patří sem dále změny v nastavení (armatur/systémů, změny způsobu zajištění, výchozího stavu apod.), změny v postupu provozování (zkoušek, kontrol apod.) a reakce na poruchy zařízení (dočasný provoz s neshodou), a to pouze, když uvedené nemění projekt. V některých případech se podle AtZ může jednat o změny schvalované dokumentace pro povolovanou činnost nebo změny dokumentace pro povolovanou činnost, která není schvalována SÚJB, a je třeba postupovat v souladu s výše uvedenými odstavci 2.2 nebo 2.3 BN.

. Změny, které se považují za změnu konfigurace JZ:  Oprava změnou projektové dokumentace - dochází ke změně v projektu specifikovaných požadavků, funkcí, parametrů nebo způsobu provozování zařízení. Tento způsob opravy může být použit např. pro odstranění neshody (tak, aby se reálné parametry zařízení opět nacházely v předepsaných mezích) v případech, kdy požadavky a parametry zařízení byly projektantem nebo výrobcem stanoveny s vysokou konzervativností a tato konzervativní rezerva bude provedením opravy snížena (využití projektových rezerv). V těchto případech se podle AtZ jedná o změny ovlivňující JB, TB a FO JZ nebo o jiné změny při využívání jaderné energie a je třeba postupovat v souladu s výše uvedenými odstavci 2.2 nebo 2.3 BN.  Výměna zařízení za DP schválený ekvivalent – je to výměna zařízení za schválené ekvivalentní zařízení (komponentu), během které může dojít ke změně typu, provedení, parametrů nebo drobné úpravě způsobu instalace/připojení zařízení (rozměry, konektory, apod.) nebo změně požadavků/norem na instalaci/zkoušky, avšak nemění se účel zařízení a specifické požadavky na funkce a způsob provozování uvedené v projektové dokumentaci zařízení, nevyžadují se konstrukční úpravy ostatních souvisejících systémů a zařízení a ekvivalentní zařízení musí vyhovovat všem požadavkům legislativy aplikovaným na příslušnou množinu pozic. Použití schváleného ekvivalentu je možné pouze na pozicích, pro které bylo použití prověřeno, dokladováno a schváleno. Součástí schválení ekvivalentu je i identifikace změn dotčené projektové a provozní dokumentace. V praxi může být ekvivalent schválen i jako podmnožina rozsáhlejší akce typu modifikace. 13 Výměna zařízení za schválený ekvivalent může probíhat ve dvou časových fázích. Nejprve je provedena identifikace ekvivalentu na projektových pozicích, pro které bylo použití prověřeno, dokladováno a schváleno, včetně identifikace dopadů změny a nezávislého posouzení. K vlastní výměně na konkrétních pozicích dochází postupně s časovým odstupem. Pro realizaci tohoto typu změny musí být: o zpracována dokumentace nebo databáze přiřazení ekvivalentů konkrétním projektovým pozicím, o jedná se o změnu, která má dopad do konfigurace JZ, tedy v souladu s požadavky na řízení konfigurace musí mít každý proces schváleného ekvivalentu přiřazeno číslo změny, o každé fyzické nasazení ekvivalentu na projektovou pozici musí být zaznamenáno, přiřazeno číslu změny a musí být revidována příslušná dokumentace a data, v souladu s provedeným posouzením dopadů změny, o DP oznamuje schválení nového ekvivalentu pro VZ SÚJB (jako jinou změnu při využívání jaderné energie) před jeho prvním fyzickým nasazením na JZ. o samostatné výměny zařízení za schválený ekvivalent (jejich fyzické nasazení – označení ekvivalentu, počet a umístění), pokud nejsou součástí jiné změny, jsou pro VZ oznamovány SÚJB dopisem souhrnně 1 x ročně.  Modifikace - změna projektu a zařízení jako takového, při které dochází ke změně technických parametrů nebo technického řešení systémů/zařízení (např. použitím jiných komponent, uplatněním nových požadavků apod.). V těchto případech se podle AtZ jedná o změny ovlivňující JB, TB a FO JZ nebo o jiné změny při využívání jaderné energie a je třeba postupovat v souladu s výše uvedenými odstavci 2.2 nebo 2.3 BN. Může mít specifické podkategorie: o rekonstrukce – zpravidla řeší naplnění nových požadavků při zachování základní funkcionality zařízení. Dochází k využití jiných materiálů, komponent nebo technologií. Součástí může být změna způsobu provozování nebo dalších atributů definovaných v projektové dokumentaci zařízení, aktualizace průkazů, způsobu a rozsahu kontrol a revizí apod. o modernizace – při ní oproti rekonstrukci dochází k rozšíření funkcionality dotčených systémů/zařízení nebo implementaci nových systémů/zařízení

• řeší naplnění nových požadavků při zavedení nových funkcí zařízení nebo
doplněním zcela nového zařízení. Dochází k využití jiných materiálů, komponent nebo technologií. Součástí může být změna způsobu provozování nebo dalších atributů definovaných v projektové dokumentaci zařízení, aktualizace průkazů, způsobu a rozsahu kontrol a revizí apod. o stavební úpravy, nástavby, přístavby, nové stavby - je kategorie změny zohledňující terminologii zákona 183/2006 Sb., prováděná výhradně na stavebních objektech. Přestože by bylo možné stavební úpravy začlenit jako rekonstrukce nebo modernizace, je účelné z důvodu specifických činností plynoucích ze stavební legislativy zavést tuto 14 samostatnou kategorii modifikace a respektovat terminologii zákona č. 183/2006 Sb. o likvidace - je změna projektu a zařízení nebo stavebního objektu jako takového, při které dochází k fyzickému odstranění zařízení nebo staveb. Likvidací jsou tedy měněny funkce zařízení a další specifické projektové požadavky, a to jejich zrušením.

. Dočasné změny

. Dočasná změna technologie – změna konfigurace zařízení oproti projektové dokumentaci o zařízení, která je omezena časově, tj. po uplynutí specifikovaného časového období musí dojít k návratu na projektovou konfiguraci zařízení nebo jinou konfiguraci v rámci navazující změny. Jedná se dle předchozího odstavce 2.5 BN o dočasné technické změny typu „modifikace“ nebo „výměna zařízení za schválený ekvivalent“, event. též dočasné „nestandardní opravy zařízení“ (na rozdíl od časově neomezené nestandardní opravy může v případě dočasné nestandardní opravy dojít na časově omezenou dobu ke změně oproti projektové dokumentaci, proto se v případě dočasné nestandardní opravy může jednat o dočasnou změnu konfigurace JZ – viz následující odstavec 2.6.2 BN) a vztahují se na ně příslušné požadavky odstavců 2.1 až 2.4 tohoto BN. Pozn.: dočasná změna technologie může vyvolat také dočasnou změnu provozní dokumentace. Dočasné změny provozní dokumentace (např. provozních předpisů) nesmí měnit specifické projektové požadavky uvedené v dokumentaci o zařízení, jinak musí být řešeny jako změny typu „oprava změnou projektové dokumentace“. Obecně vždy platí, že pokud je při chystané změně provozní dokumentace identifikován dopad do projektu, pak se jako první řeší změna projektu a změna provozní dokumentace je následně řešena jako dopad změny projektové dokumentace.

. Dočasná změna konfigurace – je širší pojem a kromě Dočasných změn technologie zahrnuje dále i dočasné změny projektové dokumentace o zařízení se změnou specifických požadavků. Dle předchozího odstavce 2.5 BN tedy zahrnuje navíc i opravy změnou projektové dokumentace. PŘEDMĚT

. Potřeba provedení změny při využívání jaderné energie může být vyvolána například z následujících důvodů:

• Dopady stárnutí SKK JZ
• Zastarávání HW, SW
• Nápravná opatření z provozních událostí (z šetření vnitřních i vnějších)
• Nové poznatky vědy a techniky, výsledky výzkumu
• Potřeba neustálého zvyšování JB vč. definování nových požadavků na JB
• Změny technických standardů apod.
ROZSAH

. BN rozpracovává zejména požadavky na řízení technických změn, jako základního procesního nástroje v rámci řízení konfigurace. Má poskytnout obecné principy a doporučení, jimiž mají být po dobu celého životního cyklu JZ řízeny procesy související s prováděním změn projektu JZ tak, aby byla omezena rizika, spojená s těmito 15 změnami, zajištěna jeho bezpečnost na požadované úrovni v souladu s platným projektem, s požadavky platných právních předpisů a dozorného orgánu.

. Základní předpoklady na zavedení procesu řízení změn, obsahující i principy kategorizace změn podle jejich významu pro plnění principů ochrany do hloubky a zajištění BF a dílčí kroky, jejichž řešení je pro zavedení procesu nezbytné, jsou:

• stanovení terminologie – definice pojmů používaných v procesu,
• stanovení odstupňovaného přístupu k řízení změn pro SKK dle jejich bezpečnostní
významnosti,
• identifikaci informací (dokumentace a dat), mezi kterými je udržován soulad
dle definice odstupňovaného přístupu,
• nastavení vlastního procesu řízení změn, identifikace dotčených procesů
a integrace do systému řízení,
• stanovení vhodné IT podpory pro řízení změn,
• zvládnutí časového a kapacitního plánování,
• pravidelná školení a vzdělávání personálu.

. BN zahrnuje celý proces změny, od její iniciace, přípravy a návrhu řešení, bezpečnostního hodnocení po její provedení/realizaci a vyhodnocení úspěšnosti provedení. STRUKTURA

. Kapitola 3 obsahuje všeobecné zásady a poskytuje obecnou metodiku pro provádění změn, kapitola 4 stanovuje předpoklady pro zavedení procesu řízení změn. Kapitola 5 stanovuje požadavky na proces řízení změn, popisuje celý proces od iniciace změny až po ukončení a kontrolu realizace a dopadů změny. Kapitola 6 BN je věnována požadavkům na dokumentaci změn, kapitola 7 upřesňuje a vysvětluje požadavky vyhlášky č. 162/2017 Sb. na ZHB. V kapitole 8 jsou stanoveny požadavky na přezkoumání návrhu změny, kapitola 9 detailně rozpracovává požadavky na změny programovatelných systémů SKŘ. Kapitoly 10 a 11 obsahují požadavky na zkoušky a uvádění do provozu, provoz a výcvik personálu. Příloha č. 1 obsahuje srovnání s referenčními úrovněmi WENRA. Příloha č. 2 osahuje kritéria pro kategorizaci změn dle AtZ a pravidla pro tuto kategorizaci. Příloha č. 3 obsahuje seznam typových BF pro reaktory PWR. 16 3.VŠEOBECNÉ ZÁSADY

. Realizace změny nesmí snížit dosaženou úroveň JB, TB a FO.

. Vztah provádění a řízení změn v procesu řízení konfigurace je naznačen na obrázku 1. Cílem je zajištění a udržování souladu mezi třemi oblastmi níže, s cílem zajistit plnění BF: Koncepce JZ, Projektová východiska a požadavky = „jak by mělo být“ dokumentace pro povolovanou činnost Soulad Soulad Řízení změn Soulad Provozní a fyzická konfigurace - Projektová konfigurace a ostatní informace týkající se aktuálního požadavky na výrobu, montáž, provoz fyzického a provozního stavu SKK JZ = a údržbu a požadavky na kvalifikaci „jak skutečně je“ personálu, = „jak říkáme, že je“ Obrázek 1: Řízení změn na JZ Vysvětlivky k obrázku č. 1: Řízení konfigurace je obecnější proces než řízení změn. Zahrnuje i řízení dalších parametrů (a jejich změn). Uvedený trojúhelník se hloubkou a množstvím informací a jejich pozicí v jednotlivých vrcholech trojúhelníka liší podle úrovně, ve které je aplikován. Jiná struktura a typ informací je pro projektová východiska JZ, než pro jednotlivé konkrétní projektové pozice. Navíc v úrovni konkrétní projektové pozice projektová východiska pro návrh pozice vycházejí z projektových požadavků systému, a tedy jsou až v pravém dolním rohu. Projektová východiska pro návrh systému vycházejí z projektových požadavků JZ a opět se tedy v této úrovni přesouvají do pravého dolního rohu. Všechny tyto informace, ve všech úrovních, pak spojuje definice PROJEKT, ale projektová východiska nejsou celým projektem. Pokud bude výše uvedený trojúhelník aplikován na úroveň celého JZ, pak platí následující popis: K vrcholu nazvanému „projektová východiska“ patří vše, co bylo navrženo projektantem ve fázi úvodního projektu (případně i prováděcího projektu). Tato data by měla být dále převedena do strukturovaného systému dokumentů. Z pohledu budoucího použití by tato 17 data měla být převedena do strukturované datové „šablony“, která umožní snadnou orientaci v rozsáhlém souboru dat a dokumentů. Především se pak jedná o parametry navržených SKK. Je třeba zmínit, že se musí jednat striktně o projektové hodnoty, nikoli data konkrétního systému nebo výrobku na pozici osazeného. Z těchto hodnot projektu pak vycházejí bezpečnostní analýzy (např. podle návrhu projektanta jsou použity parametry čerpadel BS do analýz – tlaky, průtoky atd.). V terminologii řízení konfigurace se tedy jedná o údaje jaderného zařízení jako celku, jednotlivých systémů, případně projektové pozice, nikoli konkrétního zařízení. K vrcholu výše nazvanému „projektová konfigurace“ pak patří dokumenty a data skutečného výrobku, který je na pozici osazen. Jedná se však o „typová data“, tedy údaje o parametrech (požadavcích na montáž, provoz…) pro konkrétní dodávaný výrobek. Např. tedy na určitou projektovou pozici je určeno (zpravidla v úrovni prováděcího projektu) osazení typem čerpadla KHX-250…, u kterého výrobce garantuje určité parametry a doprovází je dalšími požadavky (tedy montáž, provoz atd.). Tyto parametry a požadavky musí splňovat požadavky projektanta (viz první vrchol) v obecné „typové“ úrovni. Pokud tedy projektant předepíše požadavek na tlak na výtlaku čerpadla BS 12,2 až 12,6 MPa, typ osazeného čerpadla se do toho rozmezí musí vejít. Dále sem patří dokumenty a data, která vycházejí z projektu a používají k provozování a údržbě, požadavky na testy, zkoušky, kontroly, technické podmínky apod., K vrcholu nazvanému „provozní a fyzická konfigurace“ pak patří dokumenty a skutečná data, která zahrnují stav zcela konkrétního výrobku předepsané typové řady (lze je tedy navázat na jedinečné výrobní číslo konkrétního prvku). Skutečné parametry jsou pak průběžně ověřovány např. zkouškami a testy (záznamy ze zkoušek BS atd.) a musí být v souladu jak s požadavkem projektanta, tak s údajem výrobce. Případné odchylky mohou být způsobeny více faktory. V případě záměny SKK je jasné, že nově navrhované položka musí typově (parametricky i vlastnostmi – např. odolností proti seismicitě) odpovídat návrhu projektanta a po instalaci musí být ověřen skutečný stav (tedy otestováním). Odchylky však nemusí být způsobeny pouze výměnou SKK, v rámci řízení konfigurace je třeba sledovat kondici zařízení a odchylkou je např. opotřebení čerpadla, které po delší době provozu nemusí vykazovat parametry jako čerpadlo nové (s parametry garantovanými výrobcem). Dalším příkladem odchylky v řízení konfigurace může být stárnutí a degradace pasivních prvků (např. svary, kabeláž), které jsou rovněž součástí řízení konfigurace a soulad všech tří vrcholů „trojúhelníku“ musí být i zde trvale sledován. Dokumenty a data, která náleží zcela konkrétnímu výrobku a pocházejí od dodavatele, výrobce, i DP ale hlavně „jak říkáme, že je“ jsou ještě v pravém dolním rohu trojúhelníka („projektová konfigurace“). Dokumenty a data, která popisují, „jak skutečně aktuálně na tom zařízení je“, jsou v levém dolním rohu trojúhelníka („provozní a fyzická konfigurace“) – např. protokoly, health reporty, monitorované hodnoty… Řízení konfigurace se tedy netýká pouze řízení změn SKK na JZ, ale má obecnější přesah s výrazným vlivem na JB.

. Informace v těchto třech oblastech jsou považovány za veličiny a skutečnosti důležité z hlediska JB v souladu s § 8 vyhlášky č. 21/2017 Sb.

. Informace v těchto třech oblastech musí být konzistentní, musí být dostupné a musí být zajištěna jejich kvalita (např. zabránění neautorizovaným změnám, stanovení odpovědnosti, proces schvalování, dohledatelné změny: kdy, proč, jak a kým byly změněny, apod.). 18

. Proces řízení změn musí být:

. Nastaven - musí být definovány měřitelné cíle procesu, zásady a postup pro identifikaci rozsahu konfiguračních dat – tj. mezi čím se udržuje soulad a musí být definován odstupňovaný přístup při stanovení prvků konfigurace, pokud je použit. Musí být nastaven proces řízení změn konfigurace, včetně ověření a kontroly konfiguračních dat a dokumentace při jejich pořizování, aktualizaci, změnách.

. Vykonáván:

. Řízení změn musí zajišťovat: o soulad projektu s východisky a požadavky projektu, o soulad projektu s projektovými podklady na všech úrovních, o soulad dokumentace a databází provozu a údržby s projektem, o soulad skutečného stavu JZ s projektem, o soulad dokumentace pro povolovanou činnost s projektovými východisky a požadavky, s projektem a se skutečným stavem JZ.

. Při identifikaci neshod v rámci výše uvedených bodů postupuje DP v souladu s § 11 vyhlášky č. 408/2016 Sb., o požadavcích na systém řízení.

. Řízení změn musí být součástí zavedeného programu systému řízení.

. Kontrolován a hodnocen – musí být nastaven proces kontrolních mechanismů dle principů řízení konfigurace formou:

. Nezávislého technického přezkoumání a kontrolou návrhu změny, tj. kontrolou souladu: o s projektovými východisky a požadavky, o mezi jednotlivými stupni projektové dokumentace (Úvodní projekt, Prováděcí projekt, skutečné provedení atd.), o mezi typy dokumentace (projektová, provozní, údržbová atd.)

. Kontrolou zařízení – tj. kontrolou souladu fyzického stavu zařízení, montáže, s výše uvedenými informacemi (s vazbou na proces kontrol a zkoušek a řízení prací)

. Znaky úspěšného zavedení procesu řízení změn:

• proces naplňuje legislativní požadavky,
• projektová východiska jsou zdokumentována a ověřena,
• projekt (Design) je zdokumentován a ověřen,
• projektovaná životnost a spolehlivost JZ je zdokumentována a ověřena,
• způsob provozování a údržby je zdokumentován a ověřen,
• principy řízení Dat a Dokumentace jsou aplikovány,
• existuje dostatečná IT podpora.
19 4.PŘEDPOKLADY ZAVEDENÍ PROCESU ŘÍZENÍ ZMĚN Proces řízení změn je nedílnou součástí nadřazeného procesu řízení konfigurace. Aby mohl být proces řízení změn úspěšně zaveden a udržován, je nezbytné mít zavedený ucelený proces řízení konfigurace dle následujících předpokladů.

. Vyjasnění zásad, principů a terminologie – DP musí mít:

. stanoveny cíle a hlavní principy, které naplňují požadavky předchozí kapitoly 3.

. stanoveny zásady pro odstupňovaný přístup - určení rozsahu zařízení, podléhajícímu řízení změn, a s tím spojené zásady pro stanovení prvků konfigurace

. definovány hlavní typy změn (viz odstavec 2.5 BN) dle odstupňovaného přístupu (včetně definování dočasných změn – viz odstavec 2.6 BN)

. zavedeny jasné definice týkající se pojmů, které jsou následně použity v procesu, jako jsou činnosti, vstupy a výstupy, nebo role; při zavádění definic je třeba dbát souladu s platnou legislativou Tyto kroky je nutné provést co nejdříve, neboť na nich závisí úspěch pochopení procesu mezi útvary DP / garanty navazujících procesů.

. Provedení odstupňovaného přístupu k provádění změn SKK musí odpovídat požadavkům § 5 odst. 8, § 29 odst. 2 a § 44 AtZ a výběr SKK pro odstupňovaný přístup musí být v prvé řadě založen na jejich bezpečnostní významnosti.

. Identifikace informací (dokumentace a dat), mezi kterými je udržován soulad, dle definice odstupňovaného přístupu, stanoveného dle odstavce 4.2:

. Všechny hmotné i nehmotné objekty lze popsat informacemi. Elektrárna, blok, systémy, zařízení, jejich komponenty a části atd., ale třeba i algoritmy a software, jsou popsány specifickými informacemi, které jsou charakteristické pro daný objekt, a popisují jejich funkci, uspořádání, vlastnosti, apod.

. Mezi informacemi dle odstavce 4.3.1 je nutno sledovat a řídit soulad. Dle definice Řízení konfigurace a odstavce 3.2 existují tři vrcholové oblasti informací, ale ty jsou definovány obecně (bývají označovány jako základní oblasti konfigurace). Pro sledování souladu je potřeba jasně identifikovat informace, které si odpovídají ve vztahu: Požadavek ↔ Řešení požadavku ↔ Prokázání plnění řešení požadavku.

. Nejmenší (základní) jednotka sledované informace je nazývána Prvkem konfigurace. Prvek konfigurace musí mít definovaný stav (platný, připravovaný, neplatný, apod.) a životní cyklus včetně svých vlastností a vztahu k ostatním prvkům konfigurace (vlastnost prvku konfigurace TLAK může být např. fyzikální jednotka, ve které je tlak uváděn) a vazeb (např. vazba k mediu, nebo k dokumentu, kde je uveden).

. Vzhledem k rozsáhlosti sledovaných informací, tedy dat podléhajících konfiguraci, je stanovení prvků konfigurace, jejich strukturování a identifikace sledovaných atributů vůbec nejsložitějším úkolem řízení konfigurace obecně (tzv. taxonomie prvků konfigurace). Cílem je identifikace základních prvků konfigurace, tedy skupin či tříd konfigurace s definovanou sadou vlastností, které jsou dále 20 rozpracovány na jednotlivé prvky, a pak následuje identifikace těchto prvků na nejnižší úrovni.

. Rozdílný přístup je třeba zvolit v závislosti na „nosiči“ informace. Pokud je informace uložena v dokumentu (bez ohledu na listinnou, nebo digitální formu), není řízen životní cyklus informace, ale dokumentu, který obsahuje řadu jiných informací. Podmínku, že prvek konfigurace musí mít definovaný stav (platný, připravovaný, neplatný) a životní cyklus tak splňuje dokument a nikoli jednotlivá informace. Informace, uložené v databázích, tuto podmínku dokáží obecně splnit (principiálně to databázová technologie umožňuje), záleží ale na konkrétním technickém řešení SW aplikace.

. Řízení vazeb prvků konfigurace je důležité a v množství informací dle charakteru JZ je důležitá vhodně zvolená SW podpora. Na JZ, provozovaných již delší dobu před zavedením řízení změn a konfigurace dle definice v tomto dokumentu, jsou často velmi těžko udržitelné vazby mezi informacemi, které jsou uložené na různých místech (v dokumentech a v databázích), a z části jsou vazby dány pouze znalostmi jednotlivých pracovníků. Vhodně zvolená SW podpora může umožnit přechod z hierarchického uspořádání informací na reálnější uspořádání vztahů – kdy jsou informace vázány ve vztazích připomínajících molekulární strukturu – viz. obr. 2. Obrázek 2: Hierarchické versus reálné uspořádání vazeb mezi Prvky konfigurace

. Prvky konfigurace – dokumenty a data

. Dokument je jedním ze základních (a nejjednodušších) Prvků konfigurace. Přestože dokument obsahuje velké množství informací, stav a životní cyklus je sledován na úrovni dokumentu (i když ve vztahu na životní cyklus informací v dokumentu obsažených). Poznámka: SW program, tj. soubor, který obsahuje příkazy programovacího jazyka, nebo jeho překlad, lze považovat za zvláštní případ „dokumentu“ a je rovněž Prvkem konfigurace. Na proces řízení změn SW jsou kladeny zvláštní požadavky vyplývající z jejich povahy.

. Pro dokumenty je vhodné členění na skupiny dokumentů - typy a podtypy. Skupiny dokumentace lze následně identifikovat podle:

. jejich obsahu, tj. obsahu informací důležitých pro řízení konfigurace, 21

. jejich vazby na činnost, jejíž jsou výstupem a která souvisí řízením konfigurace. Poznámka: přiřazení dokumentů ke konkrétní oblasti řízení konfigurace však není vždy jednoznačné vzhledem k tomu, že část dokumentů obsahuje „požadavky“ a zároveň na jiném místě stejného dokumentu i jejich „plnění“. Existují však skupiny dokumentů, které jsou orientovány pouze na „požadavky“ anebo na prokázání „plnění“ požadavků a hodnocení. Takové dokumenty je vhodné označit (typem vazby, atributem, vhodným typem/podtypem dokumentu).

. Pro řízení dokumentů musí být splněné požadavky § 14 a § 15 vyhlášky č. 408/2016 Sb., o požadavcích na systém řízení. DP má mít zaveden systém řízení dokumentace. Mimo jiné:

. Dokument musí být označen a centrálně zaevidován.

. Dokument musí mít svého garanta, který zodpovídá za aktuálnost a zajistí požadované změny dokumentu.

. Je třeba eliminovat nejčastější chyby, které vznikají z následujících příčin: o dokument je výstupem jiného, než interního procesu, nespadá tak pod řízení změn konfigurace a DP (např. útvar - objednatel externí odborné pomoci) si takovou skutečnost neuvědomí a ponechá dokument pouze v „útvarové registratuře“, o dokument je sice výstupem interních procesů DP – ale jejich zpracovatelé si neuvědomují nebo neznají souvislost dokumentu s jednou z oblastí udržování konfigurace, o dokument byl vytvořen z původně řízené dokumentace formou neřízené kopie, přičemž aktualizována je pouze neřízená kopie, o dokument je bez identifikovaného garanta – typicky dokumentace, která „uvázne“ mezi procesy (např. pokud jí jeden útvar DP odevzdá, ale druhý si ji nepřevezme).

. Pro řízení dat musí mít DP zaveden systém řízení dat.

. Pro nově budovaná JZ je vhodné využít v maximálně možné míře datově - centrický model udržování informací místo dosud převládajícího dokument- centrického.

. Nastavení vlastního procesu řízení změn, identifikace dotčených procesů a integrace do systému řízení

. Nastavení vlastního procesu řízení změn, identifikace dotčených procesů a integrace do systému řízení musí odpovídat požadavkům na systém řízení dle vyhlášky č. 408/2016 Sb., o požadavcích na systém řízení, rozpracovaným v BN- JB-1.1.

. Vlastní popis procesu řízení změn je uveden v následující kap. 5. Nejprve je však nutné identifikovat procesy, které obsahují činnosti související s řízením změn a konfigurace, tedy procesy, které se podílí na řízení, vytváření a změnách Prvků konfigurace nebo je využívají jako vstupy pro své činnosti. Jsou to: 22

. Procesy řídící konfiguraci/řídící životní cyklus Prvků konfigurace - tyto procesy se přímo podílejí na řízení změn a jsou nezbytnou podmínkou úspěšné implementace řízení změn. Patří mezi ně: o Řízení neshod, o Řízení dokumentace, o Řízení dat. Tyto procesy jsou klíčovými nástroji a navazujícími procesy na proces řízení změn konfigurace a jejího udržení. Požadavky na řízení dokumentace a dat jsou popsány výše v odstavci 4.3.Proces řízení neshod, z pohledu řízení změn a konfigurace, by měl splňovat minimálně tyto požadavky: o v rámci evidence neshody by mělo být možné identifikovat a označit dotčené libovolné prvky konfigurace (nebo alespoň jejich „vyšší“ skupinu), o evidence neshod týkajících se Prvků konfigurace by měla být jednotná, nejlépe centrální a v jednom SW nástroji, o navrhovaný způsob řešení neshody nad Prvky konfigurace by vždy měl obsahovat informaci o tom, zda má být neshoda řešena návratem do shody, nebo změnou, a zda je neshoda dočasně řešena – viz obr. 3., o neshoda by měla obsahovat vazbu na identifikátor změny konfigurace v případě řešení změnou konfigurace. 23 Neshoda Hodnocení závažnosti neshody ve smyslu § 11 vyhlášky č. 408/2016 Sb. ANO Dočasný provoz s neshodou? NE ANO Dočasná Stanovení oprava? kritérií a doby NE ANO Dočasná změna? NE Změnou Do shody projektu Návrat do Trvalé řešení Trvalá změna shody (oprava) Obrázek 3: Řešení neshody 24

. Musí být určeny procesy, navazující na procesy řídící konfiguraci/řídící životní cyklus Prvků konfigurace, do kterých vstupují prvky řízení konfigurace. U těchto navazujících procesů musí být nastaveny mechanismy, které zabrání změnám prvků konfigurace mimo proces řízení změn. 5.POŽADAVKY NA PROCES ŘÍZENÍ ZMĚN

. DP je povinen, v souladu s § 49 odst. 1 písm. p) AtZ, vyhodnotit změnu při využívání jaderné energie, která nastala během životního cyklu JZ (s výjimkou umísťování), z hlediska vlivu na JB, radiační ochranu, technickou bezpečnost, monitorování radiační situace, zvládání radiační mimořádné události a fyzickou ochranu.

. DP je povinen dokumentaci pro povolovanou činnost udržovat v souladu s požadavky AtZ a jeho prováděcích předpisů a skutečným stavem povolené činnosti.

. Za správnou kategorizaci změn podle AtZ a jeho prováděcích předpisů (viz Příloha č. 2 BN) odpovídá DP. SÚJB má právo požadovat změnu kategorizace.

. Systém řízení změn musí zajistit, že všechny změny byly správně identifikovány, evidovány, ověřeny, naprojektovány, zhodnoceny, schváleny a implementovány. V rámci realizace změny nesmí dojít k jejímu ukončení bez vyhodnocení a ukončení realizace všech dopadů, vyvolaných změnou.

. Každá jednotlivá změna je z pohledu řízení v zásadě projektem vyžadující řízení projektového charakteru. DP musí popsat zásady pro personální, časové a kapacitní aspekty řízení změny – určení rolí v projektu přípravy a realizace změny, určení zodpovědností, postupy řízení a kontroly a přidělení odpovídajících zdrojů apod.

. Principiální znázornění technické části řízení změn JE při kategorizaci zásahů na zařízení – viz obr. 4. Obrázek 4: Principiální proces technické části řízení změn při kategorizaci zásahů na zařízení 25 Vysvětlivky k obr. 4:

• rozhodovací prvek „Návrat do shody“ mezi „Neshodou“ a „Opravou“ představuje
posouzení, zda lze neshodu odstranit a do výchozí konfigurace se dostat provedením „Standardní opravy“, tedy navrácení do stavu, kdy je zařízení a jeho parametry opět v mezích specifikovaných požadavků ve výchozí konfiguraci. Aby mohla být neshoda řešena standardní opravou, musí být splněny zároveň všechny následující atributy: o existuje DP schválený postup opravy v souladu s platnými legislativními/normativními požadavky, o jsou zachovány všechny specifické požadavky na zařízení (funkce, parametry, způsob provozování) definované v projektové dokumentaci, o zásahem nedochází ke změně předpokladů průkazné dokumentace pevnosti, životnosti a seismické odolnosti pro VZ nebo kvalifikační dokumentace zařízení (tj. nedochází ke změně dimenzí, hmotností, typu materiálů, počtu přírubových/svarových spojů, typů/počtů uložení, typů součástek apod.)1 – tj. je zjevné, že realizace opravy nevyžaduje posouzení (výpočtové či jinak zdokumentované posouzení platnosti, shody apod.) dopadů do tohoto typu dokumentace, o zásahem nedochází k aplikaci dodatečných materiálů (nebo medií) odlišných od původních (povrchové úpravy, nástřiky, návary, apod.), které by vyžadovaly specifické posouzení kompatibility (resp. dopadů na dotčená zařízení nebo prostředí), o zásah nevyvolává potřebu změny rozsahu, způsobu a frekvence provádění provozních kontrol u VZ, o u zařízení elektro/SKŘ nedochází ke změně vlastností zařízení významných z pohledu elektromagnetického vyzařování/elektromagnetických interferencí, u SKŘ nedochází ke změně vlastností z pohledu kybernetické a informační bezpečnosti, o zásah nevyvolává změnu dokumentace pro povolovanou činnost, která je schvalována SÚJB, o zásah nevyvolává změnu požadovaného/předepsaného způsobu provozování zařízení (dle projektu).
• Pokud není jednoznačně možné rozhodnout, zda se dá použít standardní oprava
pro návrat do výchozí konfigurace, postupuje se přes „Požadavek na změnu“ k posouzení dopadů změny.
• Je možné, že z posouzení vyplyne, že změna dopad nemá – v takovém případě následuje
provedení standardní opravy a návrat do výchozí konfigurace.
• Pokud z posouzení dopadů změny vyplyne provedení změny DB/DR a/nebo změny
zařízení a/nebo změny dokumentace a dat, proběhne celý proces dle tohoto BN a výsledkem je nová konfigurace.
• Standardní opravy nejsou změnou ve smyslu tohoto BN. Pravidla pro standardní
a nestandardní opravy nejsou předmětem tohoto BN, jsou uvedena v BN-JB-6.1. 1 Netýká se standardních úběrů materiálu (např. lapováním funkčních ploch ventilů apod.) prováděných podle standardizovaných postupů. V rámci standardní opravy může dojít ke změně materiálu, pokud nově použitý materiál je uveden jako náhrada původního podle NTD ASI, sekce II. 26

. Celý proces od iniciace změny po ukončení lze v principu znázornit dle následujícího obr. 5. INICIACE ZMĚNY popis a zdůvodnění prvotní hodnocení vlivu na bezpečnost nový požadavek NÁVRH ZMĚNY cíle a rozsah hodnocení bezpečnosti kategorizace IDENTIFIKACE DOPADŮ ZMĚNY NEZÁVISLÉ POSOUZENÍ DETAILNÍ NÁVRH ZMĚNY PROJEKTU POSOUZENÍ PROJEKTU A AKTUALIZACE DOPADŮ ZMĚNY OZNÁMENÍ SÚJB NEBO POVOLENÍ SÚJB PRO ZMĚNU OVLIVŇUJÍCÍ JB, TB A FO JZ aktualizace výroba, montáž dokumentace vyzkoušení, výcvik personálu spouštění VYZKOUŠENÍ UVEDENÍ DO PROVOZU KONTROLA REALIZACE, DOPADŮ ZMĚNY Obrázek 5: Základní proces řízení změn

. Součástí procesu je jedna z nejdůležitějších činností řízení změny – identifikace dopadů změny, která úzce souvisí s požadavkem na zvláštní hodnocení bezpečnosti dle

) kategorie 2) jiné změny na TSFO: - nahrazení komponenty systému detekce, kontroly vstupu a průmyslové televize komponentou se stejným fyzikálním principem, do stejné (vyhl. č. 21/2017 Sb. pozice, bez změny v napájení TSFO nebo v komunikačním protokolu, nevede ke snížení účinnosti zajištění FO

. Je logické, že pokud jakákoli změna Prvku konfigurace neprojde výše popsaným procesem, nedojde k vytvoření kompletní nové konfigurace a tato nekonzistence je nejen potenciální skrytou hrozbou pro bezpečnost, ale používáním chybné informace v procesech se nekonzistence šíří dále a ovlivňuje další Prvky konfigurace. Po několika letech je výsledkem nekonzistentní soubor nevěrohodných informací.

. V procesu musí existovat vyhodnocení zapracování dopadů změny po ukončení změny konfigurace (hodnocení skutečného vlivu změny – viz § 7 vyhlášky č. 408/2016 Sb., o požadavcích na systém řízení) – změna nesmí být ukončena, pokud není dopad vypořádán/zapracován. Musí být jednoznačně stanoveno, zda řešení dopadu změny (zapracování změny do dokumentace) zajištuje DP, nebo dodavatel při realizaci změny (v takovém případě musí ovšem DP řešení ověřit), DP je vždy odpovědný.

. Dopady změny musí být v průběhu přípravy a realizace změny vždy aktualizovány, pokud byly identifikovány odchylky od řešení, jeho zpřesnění nebo jeho změna.

. Nastavení procesů řízení změn musí eliminovat pozdní vypořádání dopadů změny v dokumentaci, a proto musí DP ve své řídící dokumentaci nastavit typové lhůty pro zapracování těchto změn

. Všechny navrhované změny při využívání jaderné energie musí být hodnoceny a musí být (při uplatnění odstupňovaného přístupu) rozděleny do kategorií podle jejich vlivu na bezpečnost – viz kapitola 2 BN. Zařazení změny do příslušné kategorie stanovuje DP a je vždy nutno je validovat dle plného znění platné legislativy.

. Kategorizace technických změn SKK vychází z BF, kterou SKK plní a z vlivu změny na JB. Proto musí být principiálně i v souladu se způsobem zařazování VZ do BT a tedy se schváleným SVZ.

. Při hodnocení komplexních změn JZ, ovlivňujících projekt JZ způsobem, naplňujícím definici „změny při využívání jaderné energie“, je možné uplatněním odstupňovaného přístupu zařadit při patřičném zdůvodnění dílčí části této změny JZ mezi jiné změny při využívání jaderné energie a provést jejich kategorizaci, realizace změny pak může být zahájena na základě oznámení takovéto dílčí části po splnění všech legislativních požadavků na jiné změny při využívání jaderné energie. Je však nezbytné, aby byl součástí prvního oznámení komplexní popis celkového stavu a rozsahu změny.

. Do procesu řízení změn, nebo do procesů navazujících v rámci zavedeného systému řízení (např. obstarávání, kvality, nákupu), je nutné začlenit zejména: o požadavky dle § 30 odst. 5 písm. g), § 137, § 138, § 140 AtZ, při přípravě a realizaci (objednání) změny, o požadavky vyhlášky č. 21/2017 Sb., o zajišťování jaderné bezpečnosti jaderného zařízení, o požadavky na projekt JZ v souladu s vyhláškou č. 329/2017 Sb., o požadavcích na projekt jaderného zařízení, při přípravě změny a projektování JZ, o požadavky vyhlášky č. 358/2016 Sb., o požadavcích na zajišťování kvality a technické bezpečnosti a posouzení a prověřování shody vybraných zařízení, 28 o požadavky § 5, 14 a 16 vyhlášky SÚJB č. 408/2016 Sb., o požadavcích na systém řízení. 6.POŽADAVKY NA DOKUMENTACI ZMĚN Dokumentace předkládaná SÚJB musí plnit požadavky odst. 1 § 15 vyhlášky č. 408/2016 Sb., o požadavcích na systém řízení, mimo jiné tedy musí umožňovat dosažení cíle systému řízení, vést k plnění integrovaných požadavků a musí být srozumitelná, čitelná a úplná. Obecně tedy platí:

• Předkládaná dokumentace musí prokazovat správnost kategorizace změny.
• Popis změny musí být konkrétní a jednoznačný a musí přesně specifikovat činnosti
a změnou dotčené SKK na JZ. Dokumentace musí např. obsahovat: o konkrétní informace o typech a parametrech rušených, zaměňovaných a nově použitých zařízení plnících BF a zařízení s vlivem na JB. o kvalifikační protokoly zařízení plnících BF a zařízení s vlivem na JB (např. materiál, prostředí, seismicita, EMC atd.), o konkrétní informace o použité kabeláži pro zařízení plnící BF a zařízení s vlivem na JB , o přehledová schémata a úpravy zapojení, specifikaci dotčených vývodů rozvaděčů s popisem prováděných změn, o specifikaci zvláštních procesů, o soupis použitých kategorií svarových spojů, o v případě dopadu změny do SW průkazy o výsledcích procesu V&V.
• V odůvodnění změny musí být uvedeny průkazy, ne pouze deklarace. Pokud jsou
v dokumentaci změny uvedeny průkazy na základě výsledků zpracovaných analýz, pak tyto analýzy musí být SÚJB předloženy současně s dokumentací změny.

. Dokumentace pro povolovanou činnost, kterou je provedení změny ovlivňující JB, TB a FO JZ

. Změny ovlivňující JB, TB a FO JZ musí být SÚJB povoleny formou rozhodnutí podle § 9 odst. 1, písm. h)AtZ před jejich realizací.

. Dokumentace pro povolovanou činnost, kterou je provedení změny ovlivňující JB, TB a FO JZ, je dle Přílohy č. 1 AtZ, bodu 1 písm. h)následující:

• program systému řízení,
• popis a odůvodnění změny,
• časový harmonogram realizace změny,
• návrh aktualizace dokumentace pro jinou povolovanou činnost, je-li
změnou ovlivněna,
• hodnocení vlivu změny na JB, TB a zabezpečení,
• doklad o zajištění bezpečného nakládání s RaO včetně financování tohoto
nakládání, bude-li RaO při činnosti vznikat.

. Dokumentace pro provedení plánované jiné změny při využívání jaderné energie

. Jiná změna při využívání jaderné energie musí být SÚJB oznamována písemně nejméně 30 dnů před zahájením provádění změny.

. Dokumentace pro oznamovanou činnost, kterou je provedení jiné změny při využívání jaderné energie, je dle § 10 odst. 2 vyhlášky č. 21/2017 Sb., o zajišťování jaderné bezpečnosti jaderného zařízení, následující: 29

• popis a zdůvodnění změny – podrobná specifikace technického řešení
a technických požadavků,
• posouzení vlivu změny včetně zdůvodnění změny, tedy průkazy,
že důsledky realizace změny neovlivní nepříznivě JB, TB a zabezpečení,
• informace o aktualizaci související dokumentace,
• specifikace způsobu ověření změny po realizaci,
• specifikace požadavků na zajištění kvality při realizaci (uplatnění vyhlášky
č. 358/2016 Sb., o požadavcích na zajišťování kvality a technické bezpečnosti a posouzení a prověřování shody vybraných zařízení),
• časový harmonogram realizace a časový charakter změny (trvalá/dočasná)
– pokud se jedná o změnu dočasnou, musí být specifikován časový interval a podmínky zrušení,
• posouzení vlivu změny na lidský faktor,
• specifikace a zdůvodnění správnosti kategorie dokladování změny SÚJB.

. Dokumentace pro provedení neplánované jiné změny při využívání jaderné energie

. Neplánovaná jiná změna při využívání jaderné energie (změna podle § 9 odst. 1 písm. b vyhlášky 21/2017 Sb., o zajišťování jaderné bezpečnosti jaderného zařízení, nebo hrozí-li nebo nastane-li porušení limitů a podmínek nebo je neshoda zjištěna v průběhu vykonávání plánované údržby) musí být SÚJB oznamována písemně před zahájením provádění změny.

. Formou neplánované jiné změny při využívání jaderné energie nelze řešit technické změny ovlivňující JB, TB a FO JZ, tj. povolované SÚJB podle § 9 odst. 1 písm. h)AtZ.

. Provedení neplánované jiné změny při využívání jaderné energie lze použít pro nezbytné odstranění neshody pouze v případě, že standardní oprava není možná.

. Dokumentace pro oznamovanou činnost, kterou je provedení neplánované jiné změny při využívání jaderné energie, je následující:

• popis a zdůvodnění změny – podrobná specifikace technického řešení
a technických požadavků,
• posouzení vlivu změny včetně zdůvodnění posouzení tohoto vlivu, tedy
průkazy, že důsledky realizace změny neovlivní nepříznivě JB, TB a zabezpečení,
• informace o aktualizaci související dokumentace,
• specifikace způsobu ověření změny po realizaci,
• specifikace požadavků na zajištění kvality při realizaci (uplatnění vyhlášky
č. 358/2016 Sb., o požadavcích na zajišťování kvality a technické bezpečnosti a posouzení a prověřování shody vybraných zařízení),
• předpokládaný časový harmonogram realizace a časový charakter změny
(trvalá/dočasná) – pokud se jedná o změnu dočasnou, musí být specifikován časový interval a podmínky zrušení,
• posouzení vlivu změny na lidský faktor.
30 7.ZVLÁŠTNÍ HODNOCENÍ BEZPEČNOSTI

. Podle § 48 odst. 3 písm. a) AtZ musí být před provedením změny při využívání jaderné energie provedeno Zvláštní hodnocení bezpečnosti dle požadavků § 23 a 25 vyhlášky č. 162/2017 Sb., o požadavcích na hodnocení bezpečnosti podle atomového zákona. V dokumentaci povolované/schvalované nebo oznamované změny předávané SÚJB musí být prokazatelné naplnění těchto požadavků obsaženo.

. Podle § 23 odst. 1 vyhlášky č. 162/2017 Sb., o požadavcích na hodnocení bezpečnosti podle atomového zákona, musí být ZHB zpracováno pro změny při využívání jaderné energie, které se týkají VZ.

. U povolované změny musí být ZHB součástí dokumentace o změně (DOZ).

. ZHB musí být součástí dokumentace oznámení oznamovaných změn. 8.PŘEZKOUMÁNÍ NÁVRHU ZMĚNY

. Na návrh změny na JZ se vztahují požadavky § 5 vyhlášky č. 408/2016 Sb., o požadavcích na systém řízení, kde je mimo jiné uvedeno, že u procesů a činností a jejich vstupů a výstupů musí být před jejich prvním užitím provedeno přezkoumání, ověření a validace. Pro přezkoumání, ověření a validaci návrhu změny na JZ musí být stanovena kritéria přijatelnosti.

. Dokumenty dokladující popis přezkoumání, ověření a validace návrhu změny, včetně výsledků přezkoumání, ověření a validace musí být v souladu s § 14 vyhlášky č. 408/2016 Sb., o požadavcích na systém řízení, součástí dokumentace systému řízení DP.

tohoto BN.

. osobami, které proces návrhu prováděly,

. osobami, které se nepodílely na procesu návrhu. I tyto osoby musí splňovat požadavky § 5 odst. 2 písm. e)bod 5 vyhlášky č. 408/2016 Sb., tedy musí mít kvalifikaci projektanta.

. Není tedy vyloučeno, že návrh změny i přezkoumání, ověření a validaci návrhu změny může provést jedna organizace, pokud budou prokazatelně naplněny požadavky bodu

. Součástí dokumentace, předkládané SÚJB v rámci žádosti o povolení změny, dokladující popis přezkoumání, ověření a validace návrhu změny musí být i doklady o tom, jaké bylo zadání pro přezkoumání, ověření a validaci. Z pohledu SÚJB je zásadní, aby v zadání byly správně, jasně a srozumitelně definovány zejména BF. 31

. Rozsah informací, obsažených v dokumentaci předávané k nezávislému posouzení dle bodu 8.3.2 BN, by měl odpovídat rozsahu a složitosti změny. Dokumentace, předložená k nezávislému posouzení by měla obsahovat zejména: o popis projektu změny a odůvodnění navrhované změny, o náčrtky, výkresy a materiálové listy, o rozpis částí a materiálů, o použité kódy a normy a návrh aktualizované části bezpečnostní zprávy, o bezpečnostní hodnocení a případný návrh změny dokumentace schvalované SÚJB, o analýzy nepříznivých dopadů na životní prostředí a podmínky provozu, včetně vzniku RaO, kontaminací a radiačního zatížení, o popis výrobních postupů, montáže a testů, včetně metod validace a verifikace provozního SW, o provozní režim JE v době provedení změny, o požadavky na kontroly kvality, o popis programu vyzkoušení, které má být provedeno po dokončení změny, o popis změn v plánu provozních kontrol. 9.ZMĚNY PROGRAMOVATELNÝCH SYSTÉMŮ SKŘ Větší důležitost určitého systému pro JB je důvodem pro vyšší nároky při posuzování v procesu licencování jeho návrhu, provedení a provozování. Nejobecnější systém členění, zavedený IAEA, člení SKK JZ na BS, systémy s vlivem na JB a systémy bez vlivu na JB (BS a bezpečnostně- významné systémy jsou souhrnně označovány jako systémy důležité pro JB). Toto členění je ale poměrně hrubé a navíc se systémy SKŘ svým charakterem značně odlišují od technologických a stavebních částí JZ a jejich rozdělení do zmíněných kategorií je obtížnější. Význam promyšleného rozčlenění systémů SKŘ z hlediska jejich významu pro JB netkví pouze v možnosti odstupňování požadavků na jejich návrh a provedení, ale rovněž v tom, že to usnadňuje a zkvalitňuje proces jejich licencování. Tato skutečnost vedla k tomu, že i v BN pro řízení změn je oblasti programovatelných systémů SKŘ věnována samostatná kapitola, která pro SKŘ upřesňuje požadavky tohoto BN.

. Systémy SKŘ s vlivem na JB mohou být projektovány pomocí HW komponent, nebo jako zařízení využívající počítače, nebo pomocí kombinace obou těchto typů. Při návrhu, projektování nebo změnách provozovaných systémů SKŘ musí být naplněny požadavky ČSN EN 61513.

. Při návrhu, projektování nebo změnách provozovaných systémů SKŘ, které plní funkce kategorie A dle ČSN EN 61226 (resp. 1E podle klasifikační stupnice užívané v USA), musí být naplněny požadavky ČSN IEC 60880.

. Při návrhu, projektování nebo změnách provozovaných systémů SKŘ, které plní funkce kategorie B a C dle ČSN EN 61226, musí být naplněny požadavky ČSN IEC 62138.

. V rámci zavedení procesu řízení změn musí být zajištěno, aby provádění změn neovlivnilo negativně plnění následujících požadavků na projekt JZ:

. Vzhledem k nutnosti připustit existenci chyb ve složitém software, které mohou ohrozit plnění jeho funkcí ve všech redundantních částech (divizích) digitálních systémů SKŘ současně (tj. způsobit poruchu se společnou příčinou, degradující současně některé nebo všechny funkce všech redundantních částí daného systému), je nezbytná implementace diversity. 32

. Diversita nemusí být implementována u SW systémů, které neplní funkce kategorie A dle ČSN EN 61226 (resp. 1E podle klasifikační stupnice užívané v USA). Vždy je však nezbytné prokázat, že jakákoli porucha „diversně nezálohovaného“ SW nemůže nepřípustně ovlivnit JB.

. Výskyt CMF musí být postulován u SW plnícího funkce kategorie A dle ČSN EN 61226.Možnost výskytu CMF v jeho HW (včetně čidel) nemusí být předpokládána, pokud je zajištěno a prokázáno vyloučení CMF v HW jeho patřičnou kvalifikací.

. Výskyt CMF nemusí být postulován v modulech SW plnících podpůrné funkce (např. realizujících průběžnou on-line diagnostiku), pokud bude dostatečně prokázáno, že případné chyby v těchto modulech nemohou degradovat provedení žádné z potřebných BF.

. Změny SKŘ musí být plánovány na základě stanovených postupů včetně systému pro řízení konfigurací HW i SW, řešících i výměny technicky zastaralých prvků a záměny za schválené ekvivalenty.

. Pro změny SW plnícího funkce kategorie A dle ČSN EN 61226 (resp. 1E podle klasifikační stupnice užívané v USA): o musí být před realizací změny proveden a dokladován proces V&V, který splňuje požadavky standardu ČSN IEC 60880, o není nezbytné provádění V&V činností tzv. třetí nezávislou organizací, pokud skupina provádějící tyto V&V činnosti u výrobce není žádným způsobem zainteresována na vývojovém procesu prověřovaného softwaru, o před zahájením vývojového procesu změny SW musí mít DP zpracován plán provádění auditů V&V procesu a musí audity podle tohoto plánu provádět a průběžně vyhodnocovat.

. V průběhu procesu změny SW musí být prováděna podrobná kontrola, zajišťující prevenci nežádoucí interakcí souběžně prováděných změn. 10.ZKOUŠKY, UVÁDĚNÍ DO PROVOZU PO REALIZACI ZMĚNY A PROVOZ DP musí naplnit zejména požadavky § 18 vyhlášky č. 21/2017 Sb., o zajišťování jaderné bezpečnosti jaderného zařízení, a relevantní požadavky vyhlášky č. 358/2016 Sb., o požadavcích na zajišťování kvality a technické bezpečnosti a posouzení a prověřování shody vybraných zařízení.

. Způsobilost JZ k dalšímu bezpečnému provozu po realizaci změny musí být zdokumentována a ověřena zkouškami podle schválených technologických postupů nebo programů, které zahrnují kontroly, měření a vyhodnocení stavu JZ před, v průběhu a po dokončení změny. Vyzkoušení a spouštění, včetně předprovozních testů zařízení a kvalifikace nových SKK na prostředí, musí být zaměřeny na průkaz, že změna splnila projektové charakteristiky JZ potřebné pro zvládání očekávané provozní události a projektové nehody. Rozsáhlé změny projektu, které mohou zahrnovat etapy se specifickými zkouškami, musí být prováděny na základě podrobnější dokumentace pro provádění testů a spouštění (etapových programů) a podle harmonogramů schválených DP.

. Pokud provozní podmínky nedovolují provádět zkoušky po realizaci změny, je nutné zajistit provedení testů na k tomuto účelu určeném a vybaveném pracovišti. Pokud je k 33 prokázání schopnosti úspěšného a efektivního vykonání funkcí SW nutné provádět speciální měření, je nutné vyhodnotit tuto potřebu již ve stadiu návrhu změny.

. Změny SW plnícího funkce kategorie A dle ČSN EN 61226 (resp. 1E podle klasifikační stupnice užívané v USA) musí být předem testovány mimo JZ, například u výrobce a na simulátoru podle předem připravených programů.

. O výsledcích uvádění JZ do provozu po provedení změny včetně splnění stanovených kritérií přijatelnosti musí být vypracována zpráva, dokladující shodu výsledků s těmito kritérii. Zpráva musí být schválena osobami určenými v systému řízení JZ.

. Musí být prověřeno, zda další změny, na jejichž provedení byla změna vázána nebo po nichž měla následovat, byly provedeny.

. Před uvedením změny do provozu musí být prověřeno: o provedení aktualizace dokumentace související se změnou (dokumentace schvalovaná SÚJB, dokumentace skutečného stavu po realizaci, programy provozu, provozní a havarijní předpisy atd.), o provedení správného značení zařízení, o provedení všech požadovaných zkoušek, o proškolení pracovníků obsluhy JZ o provedené změně, o kompletnost a správnost všech záznamů o návrhu, uvádění do provozu, zajištění kvality, provedených zkouškách a realizaci a návrh změn bezpečnostní zprávy.

. Dokončení změny musí zahrnovat kontrolu všech dočasných opatření, průkazy, že s dočasnými opatřeními lze JZ uvést do nominálního provozu a provozovat, a jejich včasné odstranění ve stanoveném termínu.

. Změny počítačových systémů a SW s vlivem na JB za provozu mohou být provedeny pouze po jejich detailním posouzení. Změny nastavených provozních parametrů, které mohou být měněny v závislosti na provozním stavu, (např. nastavení spouštěcích signálů nebo kalibračních konstant ochranných systémů) smí být prováděny pouze v případě, že bylo prokázáno jejich pokrytí bezpečnostními analýzami JZ a že změny byly řádně odzkoušeny mimo provoz.

. Musí být zhodnocen vliv změn plánovaných na JZ na simulátor a s ním spojené výpočtové kódy. V tomto hodnocení musí být stanovena vhodnost provedení změny na vlastním simulátoru a výsledek této změny na jeho funkci.

. Musí být udržován přehled o náhradních dílech tak, aby i po provedení změny byl k dispozici jejich potřebný počet a sortiment a aby ty, které nejsou nadále použitelné, byly buď upraveny, nebo vyřazeny. 34 11.VÝCVIK DP musí naplnit zejména požadavky § 17 odst. 2 vyhlášky č. 21/2017 Sb., o zajišťování jaderné bezpečnosti jaderného zařízení, a Přílohy 2 část D odst. 4 vyhlášky č. 358/2016 Sb., o požadavcích na zajišťování kvality a technické bezpečnosti a posouzení a prověřování shody vybraných zařízení.

. Musí být posouzeny dopady změny na požadavky na přípravu pracovníků obsluhy JZ a podle výsledků tohoto hodnocení zahrnuty do výcvikových plánů. Mají-li být programy přípravy v závislosti na plánované změně revidovány, je nutné připravit nové dokumenty již v rané fázi plánování změny.

. Před uvedením změněného systému do provozu musí proběhnout proškolení nebo výcvik pracovníků obsluhy JZ, jehož rozsah musí odpovídat závažnosti a rozsahu provedené změny.

. Pracovníci obsluhy JZ odpovědní za provoz a údržbu musí být náležitě a prokazatelně proškoleni o provedených změnách tak, aby jejich znalosti umožňovaly pokračování bezpečného provozu JE. Pozornost musí být věnována propojení změněné a neměněné části JZ. Podrobnosti o výcviku pracovníků obsluhy JZ u jsou uvedeny v bezpečnostním návodu BN-JB–1.2.

. Pokud v důsledku provedení významné změny nastane změna požadavků na kvalifikaci některé skupiny provozních pracovníků obsluhy JZ, musí být těmto pracovníkům zajištěno potřebné vzdělání tak, aby mohli dále provádět výkon stanovených činností. 35 12.REFERENCE [1] Zákon č. 263/2016 Sb., atomový zákon [2] Vyhláška č. 162/2017 Sb., o požadavcích na hodnocení bezpečnosti podle atomového zákona [3] Vyhláška č. 21/2017 Sb., o zajišťování jaderné bezpečnosti jaderného zařízení [4] Vyhláška č. 329/2017 Sb., o požadavcích na projekt jaderného zařízení [5] Vyhláška č. 408/2016 Sb., o požadavcích na systém řízení [6] Vyhláška č. 358/2016 Sb., o požadavcích na zajišťování kvality a technické bezpečnosti a posouzení a prověřování shody vybraných zařízení [7] Vyhláška č. 359/2016 Sb., o podrobnostech k zajištění zvládání radiační mimořádné události [8] Vyhláška č. 409/2016 Sb., o činnostech zvláště důležitých z hlediska jaderné bezpečnosti a radiační ochrany, zvláštní odborné způsobilosti a přípravě osoby zajišťující radiační ochranu registranta [9] BN JB - 1.1 Systém řízení [10] BN JB - 1.2 Systém přípravy a výcviku pracovníků vykonávajících činnosti na jaderných zařízeních [11] BN-JB-6.1 Technická bezpečnost [12] IAEA Safety Guide No. SG-G-2.3.Modifications to Nuclear Power Plants [13] WENRA Safety Reference Levels for Existing Reactors - UPDATE IN RELATION TO LESSONS LEARNED FROM TEPCO FUKUSHIMA DAI-ICHI ACCIDENT; WENRA RHWG; 24th September 2014 [14] IAEA TECDOC-1335 Configuration management in nuclear power plants, January 2003 [15] IAEA-TECDOC-1651 Information Technology for Nuclear Power Plant configuration Management, 2010 [16] ČSN IEC 60880 – Jaderné elektrárny - Systémy kontroly a řízení důležité pro bezpečnost

• Softwarová hlediska počítačových systémů vykonávajících funkce kategorie A, duben
2008 [17] ČSN EN 61226 – Jaderné elektrárny - Systémy kontroly a řízení důležité pro bezpečnost - Klasifikace kontrolních a řídicích funkcí, únor 2011 [18] ČSN EN 61513 – Jaderné elektrárny – Systémy kontroly a řízení důležité pro bezpečnost – Obecné požadavky na systémy, prosinec 2013 [19] ČSN IEC 62138 – Jaderné elektrárny - Instrumentace a řízení důležité pro bezpečnost - Softwarová hlediska pro systémy využívající počítače vykonávající funkce kategorie B nebo C, duben 2005 36 13.PŘÍLOHY Příloha č. 1 – Srovnání s referenčními úrovněmi WENRA Požadavky legislativy a WENRA Requirement prováděcí odstavce tohoto BN Issue Q: Plant Modifications Problém Q: Změny na zařízení Issue Q1: Purpose and scope Problém Q1: Účel a rozsah

DP zajistí, aby žádná změna jaderné elektrárny, bez ohledu na její 21/2017 Sb. důvod, nezhoršovala schopnost elektrárny být provozována bezpečně kap. 3.1 BN

DP je povinen řídit změny zařízení pomocí odstupňovaného přístupu s kap. 2 BN vhodnými kritérii pro kategorizaci změn podle jejich bezpečnostního významu. Issue Q2: Procedure for dealing with plant modifications Problém Q2: Postupy pro řešení změn zařízení

DP zavede proces, který zajistí, že všechny trvalé a dočasné změny byly 21/2017 Sb. řádně navrženy, přezkoumány, řízeny a prováděny a že byly splněny všechny celý BN příslušné bezpečnostní požadavky.

For modifications to SSC, this process shall include the following: Příloha č. 1 AtZ, bod 1 písm. h,

• Reason and justification for modification; Příloha č. 1 AtZ, bod 2 písm.
• Design; c),
• Safety assessment; § 10 odst. 2 vyhlášky č.
21/2017 Sb.
• Updating plant documentation and training;
kap. 6 BN
• Fabrication, installation and testing; and
• Commissioning the modification
• Q2.2 Pro změny SKK musí tento proces zahrnovat:
• smysl a odůvodnění změny;
• návrh;
• hodnocení bezpečnosti;
• aktualizaci dokumentace zařízení a školení;
• výrobu, instalace a vyzkoušení; a
• uvedení změny do provozu.
Issue Q3: Requirements on safety assessment and review of modifications Q3: Požadavky na posuzování bezpečnosti a přezkoumání změn

Musí být provedeno výchozí posouzení bezpečnosti, aby se zjistily kap. 7 BN případné důsledky s vlivem na bezpečnost

Musí být provedeno podrobné, komplexní posouzení bezpečnosti, ledaže by výsledky počátečního posouzení bezpečnosti ukázaly, že rozsah tohoto posouzení může být redukován

Komplexní posouzení bezpečnosti musí prokázat, že jsou zohledněna kap. 7 BN všechna použitelná bezpečnostní hlediska a že jsou splněny specifikace systému a příslušné bezpečnostní požadavky

Rozsah, bezpečnostní důsledky a důsledky navrhovaných úprav musí kap. 8 BN být přezkoumány pracovníky, kteří nejsou bezprostředně zapojeni do jejich návrhu nebo provádění Issue Q4: Implementation of modifications Otázka Q4: Provádění úprav

Provádění a zkoušení úprav zařízení musí být prováděno v souladu s příslušnými postupy řízení práce a postupy zkoušení zařízení

Musí být posouzen dopad na postupy, školení a opatření pro simulátory Příloha 2 část D odst. 4 zařízení a musí být začleněny všechny potřebné úpravy vyhlášky č. 358/2016 Sb. kap. 12 BN

Před uvedením upraveného zařízení do provozu nebo po uvedení kap. 12 BN zařízení do provozu po úpravě musí být personál vyškolen podle potřeby a musí být aktualizovány všechny příslušné dokumenty nezbytné pro provoz zařízení. Issue Q5: Temporary modifications Problém Q5: Dočasné úpravy

Všechny dočasné změny musí být zřetelně identifikovány v místě aplikace a na jakémkoli příslušném řídícím stanovišti. Pracovníci obsluhy musí být jasně informováni o těchto změnách a o jejich důsledcích pro provoz zařízení.

Dočasné úpravy musí být řízeny podle specifických postupů platných kap. 2.6 BN pro zařízení

Počet současných dočasných úprav musí být omezen na minimum. kap. 2.6 BN Doba trvání dočasné změny musí být omezena 38 Požadavky legislativy a WENRA Requirement prováděcí odstavce tohoto BN

DP musí pravidelně přezkoumávat neuzavřené dočasné změny, aby kap. 2.6 BN zjistil, zda jsou stále potřebné. Issue C: Management system Problém C: Systém řízení Issue C5: Process implementation Problém C5: Implementace procesu

Dokumenty musí být řízeny. Změny dokumentů se přezkoumají a zaznamenají a podléhají stejné úrovni schválení jako samotné dokumenty. Je třeba zajistit, aby si uživatelé dokumentů toho byli vědomi a používali vhodné a správné dokumenty 39 Příloha č. 2 – Kritéria a pravidla pro kategorizaci změn dle AtZ a navazujících vyhlášek a oznamování změn úřadu OBLAST KRITÉRIUM LEGISLATIVA Změna povolovaná (dle § 43 písm. změna ovlivňující JB, TB, FO JZ (zejm. změna VZ § 9 odst. 1 písm. h)AtZ h), bod 1 AtZ) nebo jeho části/dílu nebo média v systémech VZ, kdy dochází ke Příloha 1 AtZ změně způsobu nebo rozsahu plnění BF VZ nebo Žádost o povolení změny zasílána k výměně/zásahu do bezpečnostně významné části/dílu VZ SÚJB dopisem, lhůta 90 dnů na zařazeného do BT1 / BT2) vydání Rozhodnutí SÚJB. rekonstrukce nebo jiné změny ovlivňující zvládání radiační MU § 9 odst. 2 písm. c)AtZ 1) pracoviště III. a IV. kategorie Příloha 2 AtZ TECHNICKÁ Jiná změna jiná změna na VZ, přičemž neovlivňuje JB, TB, FO § 9 odst. 1 vyhlášky č. 21/2017 Sb. ZMĚNA (dle § 43 písm. h), bod 2 § 43 § 10 vyhlášky č. 21/2017 Sb. písm. g)AtZ) jiná změna v oblasti zajišťování FO 2) § 9 odst. 3 vyhlášky č. 21/2017 Sb.

vyhlášky č. 21/2017 Sb. Oznámení zasíláno SÚJB dopisem změna související se zvládáním radiační MU (změna s dopadem § 24 vyhlášky č. 359/2016 Sb. minimálně 30 dnů před zahájením do zásahové instrukce) (oznámení do 1 měsíce od provedení) provádění změny, tedy před fyzickým zásahem na provozovaných SKK JZ. Změna schvalovaná limity a podmínky Příloha 1 a 2 AtZ (dle § 24 odst. 6 AtZ) program provozních kontrol seznam VZ Žádost o schválení změny zasílána plán zajištění FO SÚJB dopisem, lhůta 30 dnů na plán vyřazování z provozu vydání Rozhodnutí SÚJB. program monitorování (RO) vnitřní havarijní plán stanovení zóny havarijního plánování Jiná změna Program systému řízení, zdůvodnění LaP, změna PrBZ, Příloha 1 a 2 AtZ ZMĚNA (dle § 24 odst. 5 AtZ) neutronově-fyzikální charakteristiky aktivní zóny reaktoru, § 9 vyhlášky č. 21/2017 Sb. DOKUMENTACE seznam činností důležitých z hlediska JB a popis systému § 10 vyhlášky č. 21/2017 Sb. Oznámení zasíláno SÚJB dopisem vzdělávání – odborné přípravy a výcviku, popis systému minimálně 30 dnů před zahájením přípravy vybraných pracovníků, průkaz připravenosti zařízení, provádění změny, s tím, že dle §24 pracovníků a vnitřních předpisů na provoz JZ, program provozu vyhlášky č. 21/2017 Sb. je JZ, pravděpodobnostní hodnocení bezpečnosti, odhad nákladů umožněno neutronově-fyzikální na vyřazování z provozu, provozní program řízeného stárnutí, charakteristiky AZ jaderného doklad o zajištění bezpečného nakládání s RaO, havarijní reaktoru předávat 7 dní před provozní předpisy, návody pro zvládání těžkých havárií, uvedením do kritického stavu. 40 vymezení KP, plán vyřazování z provozu, předpokládaný druh a množství uvolňované RA látky / vznikajícího RA odpadu ZMĚNY, KTERÉ JZ s jaderným reaktorem  změna na VZ a SKK s vlivem na JB, které nejsou VZ, která § 8 odst. 4 vyhlášky č. 21/2017 Sb. NEJSOU JINOU není jinou změnou při využívání jaderné energie ZMĚNOU PŘI  změna v oblasti zajišťování FO, která není jinou změnou při VYUŽÍVÁNÍ využívání jaderné energie JADERNÉ JZ bez jaderného reaktoru  technická změna VZ a SKK s vlivem na JB, které nejsou VZ, ENERGIE která není jinou změnou při využívání jaderné energie

• změně v oblasti zajišťování FO, která není jinou změnou při
Oznámení zasíláno využívání jaderné energie SÚJB dopisem za uplynulý kalendářní rok k 31.lednu následujícího kalendářního roku v souhrnné zprávě. Pro GO a čtvrtletní oznamování mimo GO – viz Pravidla níže. Pravidla:
• DP je povinen dokumentaci pro povolovanou činnost udržovat v souladu s požadavky AtZ, zásadami správné praxe a skutečným stavem povolené činnosti
• Změny dokumentace pro povolovanou činnost, která není schvalována, je DP povinen podle § 24 odst. 5 AtZ oznámit SÚJB 30 dnů nebo, hrozí-li nebezpečí z prodlení, 72
hodin před tím, než hodlá postupovat v souladu s nimi.
• Při oznamování neplánované jiné změny při využívání jaderné energie, DP předává SÚJB zpracovanou dokumentaci neprodleně a ne až těsně před tím, než ji použije při
realizaci. V případě nutnosti oznámení neplánované technické jiné změny přes DOS vyvolané aktuálním stavem vyžadujícím urychlenou realizaci mimo standardní pracovní dobu ČEZ, a. s. (Po-Čt 6:30-15:00 hod, Pá 6:30-12:30 hod) bude v rámci možností předávajícího SÚJB o připravovaném zápisu v DOS předem informován. Za doručený se v tomto případě zápis v DOS považuje okamžik odeslání zápisu v DOS mailem VLI SÚJB a na styčné místo SÚJB. Zápis v DOS bude zároveň uložen na sdílený disk :
• Pro ETE: „U:\CEZ\DJE\90E001X_Sdileny_BaPP\Statni_sprava\SÚJB\DOS\ETE“
• Pro EDU: „U:\CEZ\DJE\90E001X_Sdileny_BaPP\Statni_sprava\SÚJB\DOS\EDU“
a VLI bude telefonicky informován o předání zápisu v DOS 41
• Oznamované změny dokumentace, vyvolané změnou skutečností rozhodných pro vydání povolení v souvislosti s technickou nebo organizační změnou, musí být SÚJB
oznámeny paralelně s touto změnou. Skutečně revidované znění dokumentace může být doloženo až po realizaci změny. Oznámení musí být doloženo aktualizovaným zněním příslušné licenční dokumentace neschvalované.
• Výčet technických změn, jejichž realizace je plánovaná na období odstávky RB k výměně paliva, je předáván dopisem na SÚJB Praha nejpozději 10 dnů před plánovaným
zahájením příslušné odstávky. Oznámení je provedeno formou tabulky „Technická řešení/Investiční akce určené k realizaci během TGO N.bloku“ (v tabulce musí být uvedeny technické změny ovlivňující JB, jiné změny při využívání jaderné energie i změny, které nejsou jinou změnou při využívání jaderné energie).
• Výčet technických změn, jejichž realizace je plánovaná na období mimo odstávky RB, je předáván každé čtvrtletí dopisem na SÚJB.
1) změny ovlivňující - změny systému předávání údajů, změny úkrytů nebo jejich počtů, změny počtů shromaždišť, změny technického systému evidence nebo zvládání radiační MU změny komunikačního spojení, pokud tyto souvisejí se zvládáním radiačních MU (vyhl. č. 359/2016 Sb. - zahájení výstavby dalšího JZ nebo pracoviště IV. kategorie v zóně havarijního plánování nebo v blízkosti provozovaného pracoviště IV.

odst. 3) - dílčí aktualizace SW/HW vybavení TSFO, nedochází ke změně funkční vlastnosti ŘS a systému detekce, kontroly vstupu a průmyslové televize

• výměna napájecího rozvaděče TSFO z důvodu jeho opotřebení / prevence vzniku poruchového stavu (jen údržba)
• změna konfigurace nebo osazení komponenty subsystémů detekce, kontroly vstupu a průmyslové televize bez snížení účinnosti
• dočasná změna v systému detekce, kontroly vstupu a průmyslové televize v návaznosti na poruchu zař. FO nebo technologie JZ
• jiná změna technického systému fyzické ochrany, která nemá zásadní vliv na jeho dosavadní funkčnost
42 Příloha č. 3 – Seznam typových bezpečnostních funkcí pro reaktory PWR
• udržení integrity tlakového okruhu chladiva jaderného reaktoru, s výjimkou těch zařízení,
jejichž poškození je možno kompenzovat normálním systémem pro doplňování chladiva
• odstavení jaderného reaktoru podle potřeby tak, aby v důsledku očekávaných provozních
událostí nedošlo k maximálním projektovým nehodám a odstavení jaderného reaktoru ke zmírnění následků maximálních projektových nehod
• udržení dostatečného množství chladiva pro chlazení aktivní zóny jaderného reaktoru
v průběhu havarijních podmínek, při kterých nedošlo k porušení tlakového okruhu chladiva jaderného reaktoru, a po odeznění těchto podmínek
• zajištění odvodu tepla z aktivní zóny jaderného reaktoru při porušení hranice tlakového
okruhu chladiva tak, aby se omezilo poškození jaderného paliva
• odvod zbytkového tepla z aktivní zóny jaderného reaktoru v průběhu všech provozních
stavů a za havarijních podmínek, při kterých nedošlo k porušení integrity hranice tlakového okruhu chladiva
• omezení úniků radioaktivních látek z hermetické obálky v průběhu a po odeznění
havarijních podmínek
• dodávka energií a řízení provozu zařízení důležitých z hlediska jaderné bezpečnosti
při plnění jejich bezpečnostních funkcí
• zajištění funkční schopnosti ostatních zařízení důležitých z hlediska jaderné bezpečnosti
při plnění jejich bezpečnostních funkcí, s výjimkou řízení nebo dodávek energie
• zabránění nepřijatelných přechodových procesů reaktivity
• udržení jaderného reaktoru v podmínkách bezpečného odstavení, po všech činnostech,
které vedly k jeho odstavení, po každém z jeho odstavení
• udržení dostatečného množství chladiva pro chlazení aktivní zóny jaderného reaktoru
při všech stavech zohledněných v projektu JZ
• odvod tepla z bezpečnostních systémů až do koncového stupně odvodu tepla
• udržení ozáření obyvatelstva a pracovníků JZ pod stanovenými referenčními úrovněmi
v průběhu a po odeznění DBA a těžkých haváriích, jejichž následkem dochází k únikům radioaktivních látek a ionizujícího záření ze zdrojů nacházejících se vně ochranné obálky
• udržení podmínek prostředí uvnitř JZ, nutných pro provoz bezpečnostních systémů
a pro přístup pracovníků k plnění činností důležitých z hlediska jaderné bezpečnosti
• zabránění únikům radioaktivních látek z ozářeného jaderného paliva dopravovaného
nebo skladovaného uvnitř JZ vně systému chlazení jaderného reaktoru v průběhu všech stavů normálního a abnormálního provozu
• odvod rozpadového tepla z ozářeného paliva skladovaného uvnitř JZ vně systému chlazení
jaderného reaktoru
• udržení dostatečné podkritičnosti paliva skladovaného uvnitř JZ vně systému chlazení
jaderného reaktoru 43
• omezení výpusti radioaktivních látek pod hodnoty autorizovaných limitů v průběhu všech
stavů normálního a abnormálního provozu
• předcházení nebo omezení následků poruch ostatních SKK důležitých z hlediska
bezpečnosti, jejichž poruchy by mohly vést k narušení plnění jejich bezpečnostních funkcí
• udržení dostatečné integrity pokrytí jaderného paliva v aktivní zóně
44