Art. 10 Basic principles for the design of nuclear power plants

¹ The following principles apply to nuclear power plants:

a.: Safety functions must also remain effective even if a single failure occurs independently of an initiating event, and also if a component is not available due to maintenance or repair. Such separate single failures include the random failure of a component that results in its incapacity to perform its intended safety function. Subsequent failures arising from such random failures are also regarded as part of the original single failure.
b.: Wherever possible, safety functions must be implemented in accordance with the principles of redundancy and diversity. Redundancy refers to the existence of a larger number of functional devices than are required for fulfilling the intended safety function. Diversity refers to the use of different types of physical or technical principles.
c.: Redundant trains of safety systems installed for performing safety functions must as far as possible be independent of one another in terms of function and in terms of both mechanical and support systems such as instrumentation and control and provision of energy, cooling and ventilation.
d.: Each redundant train of a safety system installed for performing a safety function must as far as possible be spatially separated from the other trains.
e.: Redundant devices installed for performing safety functions must be testable, as far as possible in their entirety, or otherwise subdivided into the broadest possible subparts, both manually and through simulated automatic activation, including under emergency power supply.
f.: Safety functions must be automated so that, in the event of accidents in accordance with Article 8, no interventions important to safety by personnel are required during the first 30 minutes following the initiating event.
g.: The design of systems and components must take sufficient account of appropriate safety margins.
h.: As far as possible, systems should be designed to ensure safety-oriented system behaviour in the event of equipment failures.
i.: Preference must be given to passive rather than active safety functions.
j.: Work stations and processes for the operation and maintenance of the installation must be designed so that they take account of human capabilities and their limits.
k.: While ensuring the same degree of safety, preference must be given to measures to prevent accidents in accordance with Article 7 letter d over measures to mitigate their consequences.

² ENSI shall specify detailed design principles for light-water reactors in guidelines.¹⁰

¹⁰ Amended by Annex No 12 of the O of 12 Nov. 2008 on the Swiss Federal Nuclear Safety Inspectorate, in force since 1 Jan. 2009 (AS 2008 5747).

Art. 10 Principes régissant la conception d’une centrale nucléaire

¹ Les principes ci-après, en particulier, s’appliquent aux centrales nucléaires:

a.: les fonctions de sécurité doivent réagir même s’il se produit une erreur isolée quelconque, indépendamment de l’événement déclencheur, et même si un composant n’est pas disponible pour des raisons de maintenance; est réputée erreur isolée la défaillance fortuite d’un composant qui l’empêche d’exercer sa fonction de sécurité; les erreurs découlant de cette défaillance fortuite sont considérées comme faisant partie de l’erreur isolée;
b.: les fonctions de sécurité doivent autant que possible répondre aux principes de la redondance et de la diversité; la redondance est la présence d’un plus grand nombre d’équipements fonctionnels qu’il n’en faut pour exercer la fonction de sécurité prévue; la diversité est le recours à des principes physiques ou techniques différents;
c.: les circuits redondants destinés à remplir une fonction de sécurité doivent autant que possible fonctionner indépendamment les uns des autres, et cela aussi bien au plan des systèmes mécaniques que des systèmes de soutien tels que le contrôle-commande ou l’approvisionnement en énergie, le refroidissement et la ventilation;
d.: les circuits redondants destinés à remplir une fonction de sécurité doivent autant que possible être séparés les uns des autres dans l’espace;
e.: les circuits redondants destinés à remplir une fonction de sécurité doivent autant que possible pouvoir être vérifiés de manière intégrale ou à défaut, par segments aussi importants que possible, tant par déclenchement manuel qu’au moyen de l’incitation automatique simulée, y compris sous régime d’alimentation de secours en électricité;
f.: les fonctions de sécurité doivent être automatisées de sorte qu’en cas de défaillance au sens de l’art. 8, le personnel ne soit pas obligé d’intervenir pour assurer la sécurité dans les 30 minutes qui suivent l’événement déclencheur;
g.: en dimensionnant les systèmes et les composants, on doit prévoir des marges de sécurité suffisantes;
h.: on doit faire autant que possible en sorte que le comportement du système soit axé sur la sécurité en cas de dysfonctionnement d’un équipement;
i.: entre les fonctions de sécurité passives et actives, il faut préférer les premières;
j.: on doit tenir compte des capacités humaines et de leurs limites en concevant et en aménageant les places de travail et le déroulement des opérations de conduite et de maintenance de l’installation;
k.: à gain égal en termes de sécurité, il faut préférer les mesures visées à l’art. 7, let. d, qui sont propres à empêcher les défaillances à celles qui seraient de nature à en atténuer les conséquences.

² L’IFSN est chargée de régler dans des directives les principes de la conception et qui sont spécifiques aux réacteurs à eau légère.¹⁰

¹⁰ Nouvelle teneur selon l’annexe ch. 12 de l’O du 12 nov. 2008 sur l’IFSN, en vigueur depuis le 1^er janv. 2009 (RO 2008 5747).

This document is not an official publication. Only the publication of the Federal Chancellery is legally binding.
Ceci n’est pas une publication officielle. Seule la publication opérée par la Chancellerie fédérale fait foi. Ordonnance sur les publications officielles, OPubl.