Bab 3 IMPLEMENTASI PERTAHANAN BERLAPIS 54. Konsep penghalang dan lapisan-lapisan proteksi yang menyusun pertahanan berlapis dan juga beberapa elemen penghalang dan lapisan yang umum dibahas di Bagian 2. Bagian 3 membahas elemen-elemen dan praktek-praktek yang lebih terperinci yang digunakan dalam penerapan pertahanan berlapis. Praktek-praktek ini dapat dipandang sebagai “alat” yang digunakan untuk melengkapi, menjaga dan memperbaiki penghalang dan pertahanan pada berbagai lapisan. 55. Dalam pertahanan berlapis, diperlukan berbagai tindakan khusus baik pada tahap desain maupun dalam operasi. Tindakan-tindakan desain dan operasional ini merupakan pelengkap.
3.1. DESAIN DETERMINISTIK 56. Komponen pertahanan berlapis yang mendasar adalah desain reaktor yang memberikan cara-cara yang efektif untuk melakukan fungsi keselamatan pada kondisi operasi normal dan abnormal dan di dalam kecelakaan. Desain ini memberikan halhal berikut: • kualitas dan keandalan yang tinggi, yang dicapai dengan menerapkan teknologi yang telah terbukti dan standar-standar yang sesuai, margin keselamatan yang mencukupi dan pertimbangan karakteristik tapak yang memadai (Lapisan 1 pertahanan); • sistem untuk mencegah penyimpangan dari kondisi operasi normal atau untuk memantau setiap penyimpangan dan untuk mengembalikan kondisi operasi normal (Lapisan 2 pertahanan); • ♦sistem keselamatan untuk mencegah dan/atau memitigasi kecelakaankecelakaan postulasi dan untuk mencegah degradasi lebih lanjut ( Lapisan 3 pertahanan). 57. Seperti dinyatakan di depan, konsevatifisme, termasuk margin keselamatan, merupakan bagian dari semua langkah ini. Ini berlaku untuk proses pemilihan tapak, desain sistem dan spesifikasi bahan, dan penentuan persyaratan-persyaratan kualitas, kriteria penerimaan untuk pengujian kualifikasi dan untuk pengujian komisioning,
persyaratan-persyaratan inspeksi in-service dan spesifikasi teknis, dan untuk pengkajian keselamatan. Aturan-aturan desain seperti pemisahan (segregation), redundansi dan diversifikasi memberikan proteksi yang tinggi terhadap potensi kegagalan fungsional. 58. Pendekatan deterministik yang menerapkan asumsi-asumsi estimasi terbaik secara lebih luas juga memberikan dukungan dan prosedur untuk mengendalikan kondisi reaktor yang parah dan untuk manajemen kecelakaan parah (Lapis 4 pertahanan).
3.2. STUDI PROBABILISTIK DAN PERTAHANAN BERLAPIS 59. Pengkajian keselamatan probabilistik (probabilistic safety assessment (PSA) merupakan cara yang efektif untuk meningkatkan pemahaman terhadap kerentanan 15 reaktor, termasuk situasi yang rumit yang disebabkan oleh beberapa kegagalan peralatan dan/atau manusia. Hasilnya dapat digunakan untuk memperbaiki pertahanan berlapis. PSA juga merupakan alat yang bermanfaat untuk mengoptimalkan usahausaha dalam menerapkan pertahanan berlapis. Probabilistic Safety Assessment, INSAG-6 [4], memberikan pandangan umum mengenai teknik-teknik serta metodemetode PSA. 60. Untuk desain reaktor yang menghasilkan pertahanan yang bagus, termasuk beberapa lapis pertahanan yang independen, ketidaktentuan (uncertainties) dalam hasil-hasil PSA akan berkurang. Dalam hal ini, persyaratan-persyaratan keandalan untuk komponen-komponen individual atau sistem dapat bersifat moderat dan dengan demikian laju kegagalan dapat diamati, sehingga memungkinkan pengumpulan data berdasarkan pengalaman yang lalu. Apabila lapisan pertahanan berjumlah lebih sedikit atau tidak independen sepenuhnya, persyaratan keandalah akan lebih ketat, dan data dari pengalaman yang lalu akan susah untuk diperoleh dan sangat tidak tentu. 61. Beberapa aspek keselamatan reaktor sukar untuk dikaji secara kuantitatif dengan menggunakan metode probabilistik. Contohnya adalah pengaruh organisasi dan budaya keselamatan, juga aspek-aspek seperti pengaruh penyebab bersama, keandalan perangkat lunak, beberapa tipe kesalahan manusia, dan kejadiankejadian
internal dan eksternal. Oleh karenanya, merupakan tugas yang penting dari desain reaktor deterministik untuk membatasi pengaruh aspek-aspek keselamatan seperti ini. 3.3. CARA-CARA UNTUK MENCAPAI KESELAMATAN OPERASIONAL Spesifikasi teknis dan prosedur operasi 62. Spesifikasi teknis dan prosedur operasi biasanya disusun berdasarkan desain deterministik, tetapi studi probabilistik dan juga pengalaman operasi digunakan untuk meningkatkan keselamatan lebih jauh. Peralatan operasional yang digunakan untuk pencegahan kecelakaan adalah prosedur operasi untuk operasi normal; yakni, prosedur umum untuk tiap-tiap keadaan reaktor dan transien, dan juga prosedur khusus untuk sistem-sistem yang berkaitan dengan keselamatan operasional. Semua prosedur ini dikembangkan sebelum operasi dan digunakan untuk pelatihan operator. Pencekan prosedur-prosedur ini secara berkala, dan modifikasi serta persetujuan untuk penggunaannya, merupkan proses yang berulang secara terusmenerus sepanjang umur reaktor, mengikuti perkembangan pada sistem-sistem reaktor (khususnya sistem keselamatan ketika dalam proses peningkatan (upgrading). 63. Prosedur operasi normal memperhitungkan batas dan kondisi yang ditetapkan berdasarkan desain yang juga mencakup kondisi shutdown. Prosedur juga disusun untuk menghadapi kondisi-kondisi insiden dan kecelakaan.16
Faktor manusia dan pelatihan personil reaktor 64. Sementara kesalahan manusia membawa potensi yang membahayakan pertahanan, tindakan manusia merupakan unsur penting untuk operasi yang aman, serta profesionalisme
dan
budaya
keselamatan
memungkinkan
para
staf
untuk
berperanserta dalam menjamin operasi yang andal serta dalam mendeteksi dan mencegah anomali pada tahap-tahap awal. Selain itu, apabila ada waktu dan informasi yang mencukupi, seseorang dapat bereaksi secara konstruktif dalam situasi yang tidak dapat dirancang sepenuhnya dan oleh karenanya tidak dapat dikendalikan dengan menggunakan tindakan-tindakan otomatis. Akan tetapi, agar tindakan manusia dapat berhasil baik memerlukan kualifikasi dan pelatihan yang bagus, termasuk pelatihan simulator untuk berbagai situasi operasional.
65. Program pelatihan memasukkan ketentuan untuk pencekan kompetensi berkala dan juga pelatihan penyegaran. Program ini mempertimbangkan semua perubahan yang relevan dalam sistem dan komponen sebagai hasil dari tindakan-tindakan perbaikan (backfiting) serta perubahan pada prosedur. Program-program ini juga memasukkan rangkaian kejadian terbaru yang penting yang pernah terjadi pada reaktor-reaktor lain atau rangkaian kejadian yang mungkin terjadi berdasarkan investigasi teoritis. Tindakan yang akan diambil dalam kondisi kecelakaan dan darurat hendaknya dicakup di dalam pelatihan. 66. Persyaratan-persyaratan yang serupa diterapkan sesuai dengan kebutuhan terhadap semua personil reaktor, termasuk personil perawatan dan personil yang diizinkan bekerja di tapak, yang tindakan-tindakannya mungkin dapat mempengaruhi keselamatan reaktor (termasuk, sebagai contoh, kontraktor dan rekanan). Pelatihan hendaknya mencakup ketrampilan manajerial teknis dan interpersonal. Staf perlu memiliki pemahaman yang cukup mengenai pekerjaan mereka dan pengertian yang luas mengenai kontribusinya terhadap keselamatan reaktor.
Perawatan dan pengamatan 67. Pencegahan terhadap degradasi peralatan reaktor yang bisa jadi penting untuk keselamatan merupakan tujuan dasar dari perawatan. Hal yang penting khususnya adalah perawatan pencegahan, yang bertujuan untuk mencegah degradasi yang tidak perlu, malfungsi atau ketidaksediaan, dan biasanya bukan dimaksudkan untuk memulihkan sistem reaktor. Perawatan, pengujian dan pengamatan serta inspeksi terhadap struktur, sistem dan komponen yang penting untuk keselamatan harus dilakukan menurut standar dan frekuensi tertentu untuk meyakinkan bahwa tingkat keandalan dan keefektifan tetap sesuai dengan asumsi-asumsi dan tujuan desain dan bahwasanya keselamatan reaktor tidak terganggu sejak awal operasi. Organisasi pengoperasi menjamin bahwa pengujian dan inspeksi berkala dilakukan oleh personil yang memenuhi syarat (qualified) dengan menggunakan peralatan dan cara yang sesuai. Perawatan hendaknya direncanakan dan dilaksanakan secara hati-hati, oleh organisasi yang memiliki kualifikasi, budaya keselamatan, program jaminan kualitas
dan prosedur otorisasi kerja yang memadai, dan diverifikasi secara independen dengan menggunakan pengujian rekualifikasi yang sesuai. 68. Organisasi pengoperasi menjamin bahwa instruksi dan prosedur yang terperinci untuk perawatan, pengujian, pengamatan dan inspeksi in-service untuk struktur, 17 sistem dan komponen yang diperlukan untuk operasi yang aman disusun secara tertulis dan konsisten dengan asumsi-asumsi desain. Sistem bantu dan pendukung seperti sumber listrik, persediaan udara tekan (compressed air) dan pelumas diketahui berhubungan dengan keselamatan dan harus mendapat pengamatan yang sesuai. 69. Penuaan (ageing) tanpa tindakan pencegahan (countermeasures) yang sesuai dapat mempengaruhi sebagain besar komponen reaktor sampai tingkat tertentu, dengan kemungkinan memiliki implikasi terhadap keselamatan. Sebagai contoh, korosi yang cukup tinggi dapat menyebabkan pecah secara tiba-tiba yang dapat membawa ke kondisi kecelakaan. Oleh sebab itu berbagai tindakan perlu diambil untuk menjamin agar degradasi yang berkaitan dengan umur tidak mengurangi kesiapan operasional peralatan sehingga menyebabkan penurunan unjuk kerja pertahanan berlapis. Tindakan-tindakan ini meliputi penggantian komponen yang memiliki ketahanan yang terbatas sebelum unjuk kerjanya menurun. Pengamatan ditujukan untuk mencegah perkembangan yang demikian dengan cara mendeteksi anomalianomali yang demikian pada saat yang cukup awal sehingga tindakan korektif dapat mulai dilakukan. Pembatasan pada kondisi operasi dan penggantian komponen dapat dipertimbangkan. 70. Desain peralatan memungkinkan pengujian in-service tanpa mengganggu operasi reaktor secara berarti. Pengujian in-service dilakukan dengan menggunakan beban kerja peralatan yang dibutuhkan, apabila mungkin. 71. Setiap intervensi untuk perawatan, pengujian atau modifikasi sistem yang berkaitan dengan keselamatan dilaksanakan sesuai dengan konsep pertahanan berlapis. Untuk menjamin agar operasi reaktor sehari-hari konsisten dengan pendekatan umum terhadap keselamatan, intervensi seperti ini dilakukan seperti berikut: • Degradasi pertahanan berlapis dicegah dengan: persiapan pekerjaan yang hatihati;
• evaluasi resiko; persiapan yang teperinci untuk tiap-tiap tindakan dan dokumen yang relevan; verifikasi terhadap keakuran (compatibility) antara kondisi reaktor dan intervensi yang diinginkan sesuai dengan spesifikasi teknis yang berkaitan dengan ketidaktersediaan sistem; identifikasi cara-cara yang sesuai untuk memitigasi akibat yang mungkin; penggunaan personil yang memenuhi syarat; penerapan yang ketat dan ketaatan terhadap dokumentasi yang dipersiapkan selama intervensi; dan implementasi proses rekualifikasi. • Pengamatan terdiri atas verifikasi berkala terhadap aktivitas yang berlangsung secara terus-menerus dengan mengunakan daftar pengamatan (check points), kontrol, inspeksi visual, peninjauan (rounds), perbandingan dengan hasil-hasil yang diharapkan, pendetaksian anomali dan pengkajian terhadap setiap penyimpangan yang terlihat; • Pembatasan terhadap akibat yang mungkin dari anomali atau insiden, apabila terjadi, dilakukan dengan cara mencapai status tertentu reaktor yang telah dipilih sebelumnya dalam persiapan kegiatan ini, dengan menggunakan bantuan peralatan atau sistem otomatis atau manual yang telah dipasang sebelumnya. 18
Manajemen dan budaya keselamatan 72. Budaya keselamatan didefinisikan di dalam INSAG-4 [3] sebagai “kumpulan karakteristik dan sikap dalam organisasi dan perorangan yang menetapkan bahwa, sebagai prioritas yang diutamakan, masalah-masalah keselamatan reaktor mendapat perhatian sesuai dengan kepentingannya.” 73. Budaya keselamatan umumnya relevan dengan semua hal yang berkaitan dengan pertahanan berlapis dan khususnya penting untuk keselamatan operasional. Salah satu pelajaran yang paling penting dari kecelakaan parah adalah bahwa terdapat kebutuhan untuk mendorong sikap bertanya dan belajar mengenai proteksi dan keselamatan dan tidak menganjurkan kepuasan untuk menjamin agar: a. kebijaksanaan dan prosedur ditetapkan dengan memberikan prioritas yang tinggi terhadap proteksi dan keselamatan pekerja dan masyarakat;
b. masalah-masalah yang mempengaruhi proteksi dan keselamatan dideteksi dengan
segera
dan
dikoreksi
dengan
cara
yang
sesuai
menurut
kepentingannya; c. tanggung jawab setiap orang, termasuk manajer-manajer senior, terhadap proteksi dan keselamatan agar diidentifikasi secara jelas dan setiap orang mendapat pelatihan dan kualifikasi yang sesuai; d. garis yang tegas antara kewenangan untuk membuat keputusan mengenai proteksi dan keselamatan ditetapkan; e. pengaturan organisasional dan jalur komunikasi ditetapkan sehingga menghasilkan arus informasi mengenai proteksi dan keselamatan yang sesuai, pada dan di antara berbagai tingkatan di dalam organisasi pengoperasi; f. organisasi memiliki komitmen yang nyata untuk meningkatkan budaya keselamatan melalui partisipasi staf pada semua tingkatan. 74. Tanggung jawab langsung mengenai keselamatan reaktor selalu berada pada manajemen reaktor. Organisasi pengoperasi mendelegasikan semua kewenangan untuk operasi yang aman kepada menajemen reaktor. Manajemen reaktor menjamin bahwa instalasi dioperasikan dengan cara yang yang aman, pada khususnya sesuai dengan batas-batas dan kondisi operasional. Manajemen organisasi pengoperasi senior memiliki tanggung jawab utama untuk membina budaya keselamatan dan mereviu unjuk kerja manajemen reaktor serta unjuk kerja reaktor yang berkaitan dengan keselamatan. 75. Organisasi pengoperasi menyusun struktur yang terperinci, dengan deskripsi fungsifungsi teknis dan manajerial pada berbagai tingkatan hierarki dan juga akuntabilitas yang jelas untuk berbagai tugas. Selain itu, organisasi kerja menetapkan cara-cara komunikasi internal dan umpan-balik serta hubungan dengan perusahaan-perusahaan subkontraktor. Penggunaan dukungan teknis ditetapkan secara jelas untuk semua mode operasi. Proses untuk deteksi, analisis yang mendalam dan tindakan-tindakan korektif yang berkaitan dengan penyimpangan dan berbagai kejadian didefinisikan secara jelas. Sumber keuangan dan sumber daya manusia yang dibutuhkan
disediakan, termasuk untuk penelitian dan pengembangan serta untuk dukungan rekayasa. 76. Untuk kondisi kecelakaan, struktur organisasional dapat dibentuk untuk memberikan dukungan tambahan dan instruksi kepada operator. Manajemen 19 kondisi kecelakaan dan kedaruratan dalam struktur organisasional ini diperiksa secara berkala. 3.4. PENINGKATAN KESELAMATAN Pengalaman operasi 77. Informasi yang diperoleh dalam aktivitas operasi seperti pengujian dan perawatan berkala dan dari berbagai insiden memungkinkan asumsi-asumsi desain yang berhubungan dengan ketersediaan peralatan dan unjuk kerja manusia, dan juga prosedur, dibandingkan dengan unjuk kerja yang terlihat. Dasar yang penting untuk meningkatkan pertahanan berlapis ini biasanya memerlukan prosedur tertulis internal dan kemampuan penanganan data. 78. Umpan-balik dari pengalaman operasi menolong untuk menjamin dan meningkatkan keselamatan di reaktor-reaktor yang beroperasi saat ini dan untuk mencegah kecelakaan parah, seperti penggunaan pelajaran yang diperoleh dari prekursor kecelakaan2. Pengalaman operasi memperlihatkan signifikansi berbagai kejadian untuk berbagai lapisan pertahanan berlapis. Evaluasi pengalaman operasi merupakan proses yang kontinyu untuk mencek asumsi-asumsi yang diambil dalam desain, kualitas konstruksi dan kecukupan operasi reaktor. Hasil-hasil evaluasi ini secara signifikan telah mempengaruhi desain reaktor daya generasi saat ini dan juga tindakan perbaikan yang dilakukan terhadap reaktor yang beroperasi saat ini, dan akan berpengaruh terhadap desain reaktor masa depan. 79. Organisasi pengoperasi memiliki suatu sistem yang efektif untuk menjamin bahwa pengalaman operasi dipertukarkan, direviu dan dianalisis dalam kaitannya dengan pelajaran yang diperoleh dan dan tindakan yang diambil. Pengalaman operasi dan pelajaran yang diperoleh dari insiden dan kecelakaan yang sesungguhnya juga secara luas dipertukarkan melalui sistem komunikasi dengan operator-operator lainnya. Pelaporan yang segera dan terbuka merupakan keharusan untuk memperoleh bantuan bersama.
80. Meski operator telah diberi pelatihan untuk menangani kejadian-kejadian yang tidak diharapkan, ketergantungan pada pertahanan berlapis bukan merupakan pengganti pencarian yang teliti terhadap akar penyebab insiden sehingga pengamatan dapat mendeteksi kegagalan tingkat awal sejauh mungkin sebelum kegagalan-kegagalan tersebut membahayakan reaktor. Adalah hal yang penting untuk mengidentifikasi kejadian-kejadian yang memperlihatkan kekurangankekurangan yang tidak kelihatan dalam pertahanan, seperti kejadian-kejadian 2 Prekursor kecelakaan adalah kegagalan peralatan atau kesalahan yang mungkin pernah menyebabkan kecelakaan, dalam kondisi reaktor yang lain atau dalam peristiwa kegagalan tambahan, apabila hal ini belum diperbaiki atau dikoreksi. Salah satu cara untuk mengidentifikasi prekursor yang penting adalah penggunaan PSA untuk mengevaluasi peningkatan probabilitas teras meleleh yang dikaitkan dengan insiden tertentu.20 dengan potensi kegagalan yang mempengaruhi lebih dari satu lapisan. Metode analisis kecelakaan telah diperbaiki secara perlahan-lahan berkaitan dengan hal ini. 81. Perubahan desain untuk memperbaiki aspek keselamatan tertentu direviu secara hatihati dan implementasinya direncanakan dengan hati-hati untuk menjamin agar perubahan-perubahan ini tidak membahayakan keselamatan. Perhatian khusus diberikan terhadap kegiatan-kegiatan yang dilakukan ketika reaktor sedang dioperasikan pada daya penuh untuk mencegah hal-hal yang tidak diinginkan yang membahayakan ketersediaan fungsi-fungsi keselamatan. Apabila suatu modifikasi telah selesai dilakukan, sistem atau komponen perlu direkualifikasi seperlunya untuk membuktikan bahwa sistem atau komponen tersebut dapat berfungsi sebagaimana diinginkan. Modifikasi ini dengan serta-merta tercermin pada semua aspek operasi reaktor yang berkaitan, seperti dalam dokumen, prosedur dan pelatihan personil reaktor 3.5. KENDALI KECELAKAAN 82. Langkah-langkah yang dibutuhkan untuk kendali kecelakaan terdiri dari prosedurprosedur khusus dan pelatihan staf. Prosedur kecelakaan dimaksudkan untuk mengendalikan kecelakaan, dengan prioritas diberikan untuk mengembalikan ke kondisi yang aman dan mencegah degradasi kondisi reaktor lebih lanjut. Selain itu,
prosedur-prosedur kecelakaan direviu dan diperbaiki untuk memperhitungkan ilmu pengetahuan yang baru dan kemajuan dalam penelitian dan pengembangan. 83. Terdapat dua pendekatan alternatif yang diikuti dalam mengembangkan prosedur untuk menghadapi kecelakaan. Pendekatan tradisional yang paling umum digunakan dalah berdasarkan pada analisis kejadian. Prosedur yang didasarkan pada gejala sekarang memperoleh dukungan yang meningkat. Kombinasi yang seimbang dari dua metode ini memberikan kemungkinan untuk lebih lanjut memperbaiki kendali kecelakaan. 3.6. MANAJEMEN KECELAKAAN PARAH 84. Seperti dijelaskan dalam kaitannya dengan Lapisan 4 pertahanan berlapis (lihat Bagian 2.4), ada beberapa cara untuk mengendalikan kecelakaan parah dan/atau untuk memitigasi akibat-akibatnya. 85. Karena biasanya ada banyak ketidaktentuan mengenai jalannya kecelakaan parah yang sebenarnya, adalah lebih baik untuk mengembangkan pendekatan yang luwes untuk membantu staf pengoperasi untuk menghadapinya, termasuk menyediakan informasi yang mencukupi mengenai status reaktor dan dukungan dalam penentuan keputusan. Manajemen kecelakaan parah yang efisien juga membutuhkan persiapan yang hati-hati dari staf pengoperasi dan ketersediaan dukungan teknis tertentu seperti tim krisis teknis. Salah satu ciri dari situasi semacam ini adalah bahwa tim yang bertugas dipimpin oleh manajer senior dengan kemampuan dan pelatihan yang sesuai.21 86. Adalah penting untuk mengembangkan dan memasang instrumentasi yang memadai serta memenuhi syarat untuk digunakan dalam kondisi radiologis dan kecelakaan untuk mendiagnose ancaman terhadap fungsi-fungsi pendinginan teras dan pengungkungan dan juga untuk memantau kondisi radiologis di dalam instalasi. 3.7. PENANGGULANGAN KEADAAN DARURAT 87. Penanggulangan keadaan darurat dalam-tapak dan luar-tapak adalah terintegrasi, satu sama lain dan dengan manajemen kecelakaan, dengan memperhitungkan ukuran dan sifat faktor sumber yang mungkin ada.
88. Program kedaruratan dikerjakan dengan dasar pertimbangan deterministik yang dapat dilengkapi dengan studi probabilistik. Program didasarkan pada pemilihan skenario yang masuk akal dengan memperhitungkan tindakan-tindakan yang diambil pada Lapisan-Lapisan 2, 3 dan 4 serta hasil-hasil penelitian. Program kedaruratan dalamtapak membahas soal-soal manajemen kecelakaan: perlindungan pekerja di tapak dan ketentuan mengenai informasi ke dan komunikasi dengan tim krisis serta personil pendukung luar-tapak. 89. Untuk menjamin kesiapan untuk intervensi, program disusun dan diuji sebelum dimulainya operasi dan berlaku sepanjang umur instalasi. Latihan berkala perlu dilakukan untuk mencek keefektifan program ini dan sebagai kesempatan pelatihan untuk organisasi. Program kedaruratan juga meliputi pertimbangan terhadap tindakan-tindakan intervensi seperti yang dibahas di dalam International Commission Radiological Protection’s Publication No. 63 mengenai Principles for Intervention for Protection of the Public in a Radiological Emergency [5] dan di dalam International Basic Safety Standards for Protection against Ionizing Radiation and for the Safety of Radiation Sources [6]. 3.8. PENGKAJIAN KESELAMATAN DAN VERIFIKASI PERTAHANAN BERLAPIS 90. Pengkajian keselamatan untuk reaktor berguna untuk: a. mengidentifikasi jalan di mana paparan normal dan potensial dapat terjadi; b. mengkaji kualitas dan tingkat proteksi dan ketentuan-ketentuan keselamatan; c. menentukan besar paparan normal yang diperkirakan, dan untuk mengestimasi probabilitas dan besarnya paparan potensial. 91. Pengkajian keselamatan memusatkan perhatian pada tantangan yang mungkin ada terhadap lapisan-lapisan pertahanan. Unsur yang penting dari pengkajian yang demikian adalah justifikasi mengenai apakah dan sejauh mana fungsi-fungsi keselamatan (pengendalian daya, pendinginan bahan bakar dan pengungkungan bahan radioaktif) dapat dijamin oleh lapisan-lapisan pertahanan. 92. Pengkajian yang sistematik mengenai implementasi pertahanan berlapis dilakukan sepanjang umur reaktor, dengan memperhitungkan pengalaman operasi dan 22 informasi baru yang penting dari semua sumber yang relevan. Pengkajian yang
demikian didasarkan pada: definisi persyaratan keselamatan awal untuk reaktornya; demonstrasi ketaatan terhadap persyaratan ini; wawasan mengenai berbagai kekurangan dari insiden atau investigasi (yakni dari pengalaman operasi dan penggunaan
evaluasi
probabilistik);
pertimbangan
penuaan
peralatan;
dan
perkembangan ilmu pengetahuan pada umumnya. 93. Proses verifikasi memperhitungkan data yang berkaitan dengan desain, pabrikasi, konstruksi, komisioning, perawatan, pengujian, inspeksi in-service, modifikasi, kegagalan
komponen,
penggantian
komponen,
tindakan
operator,
insiden,
ketersediaan instalasi dan sistem, dosis radiasi dan pelepasan radioaktif. Analisis kecenderungan (trend analysis) merupakan alat yang berguna di mana hasil-hasil analisis kecenderungan direviu tidak hanya untuk memverifikasi bahwa parameterparameter yang relevan tetap seperti yang diharapkan tetapi juga untuk menunjukkan bahwa parameter-parameter tersebut tetap di dalam batas-batas keselamatan desain dan akan tetap di dalam batas-batas ini sepanjang umur peralatan yang direncanakan. 94. Proses verifikasi mengambil keuntungan dari dua metode yang saling melengkapi, metode deterministik dan metode probabilistik. Masing-masing metode ini memiliki kekuatan dan kelemahan yang inheren. Demonstrasi implementasi pertahanan berlapis yang efisien memerlukan aplikasinya yang sesuai, dengan memperhitungkan keuntungan dan keterbatasannya.
Metode deterministik 95. Dalam metode deterministik, dipilih kejadian-kejadian postulasi yang mencakup sejumlah kejadian awal yang mungkin dapat mengganggu keselamatan instalasi, dalalm upaya untuk mendefinisikan parameter-parameter desain untuk sistem keselamatan rekayasa. Analisis dilakukan untuk menyelidiki keefektifan fungsifungsi keselamatan apabila terjadi kecelakaan yang ingin dikendalikan atau dimitigasi. Asumsi-asumsi yang konservatif diambil pada semua tahap perhitungan rentetan kecelakaan untuk menunjukkan bahwa tanggapan reaktor dan sistem keselamatannya terhadap kejadian-kejadian postulasi memungkinkan reaktor untuk memenuhi sasaran-sasaran keselamatan dan untuk menjamin bahwa hasil akhir dalam kaitannya dengan potensi pelepasan bahan-bahan radioaktif dapat diterima.
96. Pada perhitungan akibat radiologis dari insiden dan kecelakaan postulasi, pertimbangan harus diberikan terhadap berbagai jalur transfer bahan radioaktif ke lingkungan (melalui udara, air permukaan dan air tanah) dan juga jalur ke manusia (melalui iradiasi atau pemasukan radionuklida dengan penelanan atau penghirupan. 97. Pada demonstrasi keselamatan, kejadian-kejadian awal tunggal dapat “ditangani” atau “tidak
dipertimbangkan”
dengan
mempelajari
konsekuensinya
dengan
cara
deterministik. Kejadian-kejadian awal tunggal dapat dikategorisasikan menurut frekuensi yang diperkirakan. Potensi konsekuensi radiologis yang lebih parah dapat dianggap dapat ditolerir untuk kategori-kategori dengan perkiraan frekuensi yang sangat rendah.23 98. Pengabaian beberapa kejadian tunggal dari pertimbangan harus dijustifikasi. Untuk kejadian-kejadian yang dapat menyebabkan konsekuensi yang serius, pengabaian ini berarti tindakan pencegahan dengan keandalan tinggi yang dapat didemonstrasikan dengan meyakinkan. Tindakan-tindakan pencegahan ini termasuk kondisi dan kriteria desain, pemilihan bahan, inspeksi dan pengujian awal dan berkala, batas-batas dan kondisi operasional, dan peralatan protektif. Sebagai contoh, pengabaian ejeksi batang kendali pada reaktor air mendidih diperlakukan dalam cara yang demikian. 99. Di samping kejadian awal tunggal, demonstrasi keselamatan harus menangani kemungkinan kegagalan ganda (multiple failure) serta kejadian-kejadian internal dan eksternal. Simulator reaktor dapat digunakan untuk mendemonstrasikan prosedur yang rumit. Bagian demonstrasi keselamatan ini dapat didukung dengan pengkajian probabilistik.
Pengkajian keselamatan probabilistik 100.
Pengkajian keselamatan probabilistik (probabilistic safety assessment (PSA) merupakan alat yang efektif untuk mengidentifikasi kelemahan dalam desain dan praktek-praktek operasional, pelengkap terhadap pengkajian deterministik yang tradisional. PSA, yang menggunakan asumsi-asumsi dan data yang serealistis mungkin, juga merupakan alat yang penting untuk memperkirakan kelengkapan dan keseimbangan usaha yang diambil di dalam pertahanan berlapis.
101.
Pengkajian
hasil-hasil
PSA
yang
dibandingkan
dengan
sasaran-sasaran
probabilistik (lihat paragraf 25 INSAG-3 [1]) dapat memberikan petunjuk yang berguna. Akan tetapi, sasaran-sasaran probabilistik kuantitatif biasanya tidak dipandang sebagai persyaratan pengawasan. Sasaran-sasaran ini ditujukan sebagai petunjuk untuk mencek dan mengevaluasi desain, tetapi bukan satu-satunya riteria untuk mengevaluasi reaktor. Kekuatan dan kelemahan PSA dijelaskan secara panjang lebar di dalam Probabilistic Safety Assessment (INSAG-6) [4]. 3.9. BADAN PENGAWAS 102. Dalam pengertiannya mengenai pembagian tanggung jawab yang jelas antara organisasi pengoperasi dan badan pengawas, badan pengawas memainkan memainkan peranan dalam mengimplementasikan pertahanan berlapis dengan menentukan tujuan-tujuan keselamatan dan dengan reviu independen yang dilakukannya sendiri serta pengkajian teknis terhadap justifikasi keselamatan yang diberikan oleh organisasi pengoperasi. Reviu ini digunakan untuk mencek konsistensi dan kelengkapan justifikasi ini. Kekurangan dalam implementasi petahanan berlapis dapat juga diketahui dengan inspeksi pengawasan (regulatory inspection). 103. Tindakan-tindakan
ini
meningkatkan
keyakinan
pada
umumnya
terhadap
keselamatan reaktor dan dapat dianggap sebagai sumbangan terhadap pertahanan berlapis. Badan pengawas, sebagai tambahan, mengamati budaya keselamatan di dalam organisasi-organisasi yang berkaitan.24 3.10. PROSES REVIU BERSAMA (PEER) INTERNASIONAL 104. Implementasi pertahanan berlapis juga dapat diperbaiki dengan kerjasama internasional. Reviu bersama internasional, seperti telah diantisipasi di dalam Konvensi mengenai Keselamatan Nuklir, juga akan menyumbang terhadap perbaikan ini dengan menyediakan kesempatan untuk mendiskusikan dan memantau pendekatan-pendekatan dan praktek-praktek nasional, dan dengan demikian memperkenalkan cara pembelajaran dan pendidikan oleh diri sendiri (selfeducation) selaras dengan budaya keselamatan yang tinggi.
