Bab 2 PENDEKATAN TERHADAP PERTAHANAN BERLAPIS

15. Pertahanan berlapis merupakan penerapan hierarkis berbagai lapisan peralatan dan

prosedur untuk menjaga efektivitas penghalang fisik yang ditempatkan di antara bahan

radioakatif dan pekerja, masyarakat atau lingkungan, dalam operasi normal, kejadian

operasional terantisipasi, dan untuk beberapa penghalang, dalam kecelakaan-kecelakaan di

dalam instalasi. Pertahanan berlapis diimplementasikan melalui desain dan operasi untuk

memberikan proteksi yang sesuai terhadap berbagai macam transien, insiden dan

kecelakaan, termasuk kegagalan peralatan dan kesalahan manusia di dalam instalasi serta

kejadian-kejadian yang berasal dari luar instalasi.

16. Untuk implementasi yang konsisten, resiko yang dinyatakan dengan jumlah dan tipe bahan

radioaktif yang ada di dalam instalasi; potensi dispersinya karena sifat kimia dan fisika

bahan-bahan ini; dan kemungkinan terjadinya reaksi nuklir, kimia atau panas yang dapat

terjadi dalam kondisi normal atau abnormal dan kinetika dari kejadian-kejadian yang

demikian perlu diperhitungkan. Hal-hal tersebut mempengaruhi jumlah serta kekuatan

lapisan pertahanan yang dibutuhkan, bergantung pada jenis reaktornya.

2.1. TUJUAN PERTAHANAN BERLAPIS

17. Basic Safety Principles for Nuclear Power Plants (INSAG-3) [1] membahas penerapan

konsep pertahanan berlapis yang berpusat pada beberapa lapisan proteksi, termasuk

lapisan-lapisan penghalang untuk mencegah pelepasan bahan radioaktif ke lingkungan.

Tujuannya adalah sebagai berikut:

• mengkompensasi potensi kegagalan manusia dan komponen;

• menjaga efektivitas penghalang dengan mencegah kerusakan instalasi dan

penghalang itu sendiri; dan

• melindungi masyarakat dan lingkungan terhadap bahaya apabila penghalang-

penghalang ini tidak sepenuhnya efektif.

2.2. STRATEGI UNTUK PERTAHAN BERLAPIS

18. Strategi untuk pertahanan berlapis ada dua: pertama, untuk mencegah terjadinya

kecelakaan dan, yang kedua, apabila tindakan pencegahan gagal, untuk membatasi akibat

yang mungkin dan untuk mencegah evolusi ke arah kondisi yang lebih serius. Pencegahan

kecelakaan merupakan prioritas yang pertama. Alasannya adalah bahwa ketentuan-

ketentuan untuk mencegah penyimpangan keadaan reactor dari kondisi operasi yang sudah

dikenal dengan baik biasanya lebih efektif dan lebih dapat diperkirakan dari pada

tindakan-tindakan yang ditujukan untuk memitigasi akibat dari penyimpangan, karena

unjuk kerja reaktor biasanya menurun ketika status atau komponennya menyimpang dari

kondisi normal. Dengan demikian mencegah penurunan status dan unjuk kerja reaktor

biasanya akan memberikan proteksi yang paling efektif terhadap masyarakat dan

lingkungan serta kapasitas produktif reaktor. Akan tetapi, apabila tindakan pencegahan

gagal, tindakan-tindakan mitigasi, khususnya penggunaan fungsi pengungkung yang5

didesain dengan baik, dapat memberikan proteksi tambahan terhadap masyarakat dan

lingkungan.

19. Pertahanan berlapis biasanya terdiri atas lima lapisan. Apabila satu lapisan gagal, lapisan

berikutnya akan mengambil peranan. Tujuan lapisan proteksi yang pertama adalah

pencegahan operasi abnormal dan kegagalan sistem. Apabila lapisan pertama gagal,

operasi abnormal akan dikendalikan atau kegagalan akan dideteksi oleh lapisan proteksi

yang kedua. Apabila lapisan yang kedua gagal, lapisan ketiga akan menjamin bahwa

fungsi-fungsi keselamatan selanjutnya akan dilakukan dengan mengaktifkan sistem-sistem

keselamatan tertentu atau sistem-sistem keselamatan yang lain. Apabila lapisan ketiga

gagal, lapisan keempat akan membatasi penjalaran kecelakaan melalui manajemen

kecelakaan, dengan tujuan untuk mencegah atau memitigasi kondisi kecelakaan parah

yang disertai dengan pelepasan bahan-bahan radioaktif keluar. Tujuan terakhir (lapisan

proteksi kelima) adalah memitigasi konsekuensi radiologis dari pelepasan yang cukup

besar melalui penanggulangan keadaan darurat luar-tapak.

20. Untuk mencerminkan pertahanan berlapis seperti yang dijelaskan di sini, lapisan-lapisan

proteksi dapat dinamakan menurut tujuannya atau cara-cara utama untuk mencapai tujuan

tersebut. Basic Safety Principles for Nuclear Power Plants (INSAG-3) [1] pada sebagian

besar bagiannya menerapkan pendekatan yang kedua. Pada tulisan ini, pilihan lebih

ditekankan pada pengenalan tujuan masingmasing lapisan proteksi dan cara-cara untuk

mencapainya. Tujuan dan cara-cara ini ditunjukkan di Tabel I.

21. Untuk implementasi pertahanan berlapis yang efektif, beberapa prasyarat dasar berlaku

untuk semua tindakan pada Lapisan 1 sampai dengan 5. Prasyarat-prasyarat ini, yang

saling terkait dan harus dipenuhi sebagai bagian dari kebijaksanaan untuk desain dan

operasi yang aman, adalah konservativisme yang sesuai, jaminan kualitas dan budaya

keselamatan.

22. Tujuan umum pertahanan berlapis adalah untuk menjamin agar suatu kegagalan tunggal,

pada salah satu lapisan pertahanan, dan bahkan kombinasi kegagalan pada lebih dari satu

lapisan pertahanan, tidak akan menjalar sehingga membahayakan lapisan-lapisan

berikutnya. Independensi lapisan-lapisan pertahanan yang berlainan merupakan elemen

kunci untuk mencapai tujuan ini.

23. Keberadaan beberapa elemen pertahanan berlapis tidak menjustifikasi dilanjutkannya

operasi apabila salah satu elemen tidak ada. Semua elemen pertahanan berlapis biasanya

tersedia ketika reaktor bekerja pada daya penuh serta jumlah elemen yang mencukupi

harus tersedia pada saat-saat lainnya.6

24. Lapisan Tujuan Cara Lapisan 1 Pencegahan operasi abnormal dan kegagalan Desain yang

konservatif dan kualitas konstruksi dan operasi yang tinggi. Lapisan 2 Kendali operasi

abnormal dan deteksi kegagalan Sistem kendali, pembatas dan proteksi serta sistem-sistem

pengamatan (surveillance) yang lain. Lapisan 3 Pengendalian kecelakaan dalam dasar

desain Sistem keselamatan rekayasa dan prosedur kecelakaan. Lapisan 4 Pengendalian

kondisi reaktor yang parah, termasuk pencegahan penjalaran kecelakaan dan mitigasi

terhadap akibat kecelakaan parah Tindakan pelengkap dan manajemen kecelakaan.

Lapisan 5 Mitigasi akibat radiologis dari pelepasan bahan-bahan radioaktif yang cukup

besar Penanggulangan keadaan darurat luar-tapak.

25. Cara yang paling penting untuk mencegah kecelakaan adalah kualitas yang tinggi dalam

desain, konstruksi dan operasi reaktor, dan dengan demikian menjamin agar

penyimpangan dari operasi yang normal jarang terjadi. Sistem operasi didesain untuk

menghadapi dengan cara langsung kejadian-kejadian yang, seperti yang diperkirakan oleh

pendesain reaktor, kemungkinan dapat terjadi pada masa umur operasi reaktor, disebabkan

oleh kegagalan peralatan ataupun manusia. Ketersediaan fungsi-fungsi keselamatan yang

fundamental - pengendalian daya, pendinginan bahan bakar dan pengungkungan bahan

radioaktif - biasanya dijamin melalui penggunaan sistem keselamatan dan kendali otomatis

dan tindakan staf yang telah dipersiapkan.

26. Pengamatan in-service (in-service surveillance) seperti pengujian tidak merusak atau uji

fungsi secara berkala memberi sumbangan terhadap pencegahan insiden dan kecelakaan.

Selain itu, tindakan-tindakan ini perlu untuk memberi sumbangan dalam pengendalian

kecelakaan. Pemikiran yang sepadan terhadap kegiatan-kegiatan ini sangat penting pada

tahap desain.

27. Kondisi batas untuk mendesain sistem-sistem keselamatan dan proteksi ditentukan oleh

insiden dan kecelakaan postulasi yang ditentukan dengan baik yang mewakili kelompok

kejadian dengan tanggapan dari instalasi dan beban yang serupa. Pemilihan kondisi-

kondisi postulasi ini dijustifikasi berdasarkan analisis yang didukung oleh pengalaman

operasi baik dari reaktor daya maupun industri secara umum. Keefektifan dan keandalan

sistem keselamatan untuk menghadapi insiden dan kecelakaan semacam ini harus

ditunjukkan dengan jelas dalam proses pengkajian keselamatan. Desain sistem

keselamatan terpusat pada pencegahan kerusakan teras dan jaminan terhadap kemampuan

penahanan sungkup untuk mencegah pelepasan bahan radioaktif ke lingkungan secara

tidak terkendali sesudah terjadinya kejadian postulasi atau untuk memitigasi akibat

pelepasannya.7

28. Kejadian-kejadian seperti kebakaran, banjir atau gempa bumi dapat berpotensi

mengganggu beberapa lapisan pertahanan (sebagai contoh, kejadian-kejadian ini dapat

membawa ke arah situasi kecelakaan dan, pada saat yang bersamaan, menghentikan

kemampuan untuk menghadapi situasi yang demikian). Perhatian khusus perlu diberikan

terhadap kejadian-kejadian yang demikian, tindakan berjaga-jaga (precautions) perlu

diambil untuk menghadapinya, serta reaktor dan sistem-sistem keselamatannya harus

didesain untuk menghadapinya. Sebagai contoh, proteksi terhadap kebakaran memerlukan

pencegahan kebakaran, pendeteksian kebakaran dan pembatasan terhadap akibat-akibatnya

melalui desain zona kebakaran dan pemisahan fisik untuk jalur-jalur sistem keselamatan

yang redundan.

29. Apabila untuk memiliki lapisan-lapisan pertahanan yang independen terhadap beberapa

kejadian (seperti misalnya kegagalan bejana tekan reaktor yang tiba-tiba) adalah tidak

layak, beberapa lapis tindakan berjaga-jaga (precaution) perlu dimasukkan ke dalam

desain dan operasi. Tindakan berjaga-jaga yang demikian dapat diambil, misalnya, dalam

pemilihan bahan, dalam inspeksi berkala atau dalam kegiatan pemilihan tapak (siting),

atau dalam desain dengan memasukkan margin keselamatan tambahan.

30. Tindakan berjaga-jaga yang dijelaskan di atas juga dapat mempertahankan terhadap

beberapa kegagalan yang rumit dan kesalahan manusia. Kegagalan-kegagalan rumit yang

lain yang tidak diperhitungkan secara eksplisit di dalam desain reaktor yang beroperasi

saat ini dapat diteliti melalui studi-studi keselamatan dan penelitian reaktor, yang dapat

memberikan sumbang-saran untuk tindakan-tindakan pencegahan dan mitigasi tambahan.

Berhubung tindakantindakan yang demikian digunakan untuk mengantisipasi potensi

kejadian dengan perkiraan frekuensi rendah, tindakan-tindakan ini biasanya dikenai aturan

tertentu dan kurang ketat dibandingkan dengan tindakan-tindakan untuk system

keselamatan, aturan yang demikian ditetapkan secara kasus per kasus. Sebagai contoh,

kejadian yang demikian dianalisis dengan menggunakan model dan data estimasi terbaik

(best estimate).

31. Meskipun ada usaha-usaha ini, tidak ada jaminan bahwa kondisi yang melampaui

kecelakaan dasar desain tidak akan pernah terjadi. Kondisi yang demikian diantisipasi

dengan tindakan-tindakan pencegahan dan mitigasi (untuk manajemen kecelakaan).

Seandainya sistem keselamatan rekayasa gagal dalam melindungi integritas penghalang,

dan seandainya kondisi kecelakaan timbul dengan akibat yang melampaui apa yang

diantisipasi dalam desain, lapisan pertahanan berikutnya akan digunakan untuk menangani

kecelakaan seperti mencegah penjalaran kecelakaan, membatasi pelepasan radioaktif dari

reaktor atau memitigasi akibat pelepasannya.

32. Sehubungan perkembangan yang lambat pada sebagian besar kejadian awal ketika menuju

kondisi kecelakaan parah, pada prinsipnya adalah mungkin bagi personil reaktor untuk

mendiagnose status reaktor dan mengembalikan fungsi yang berkaitan dengan keselamatan

yang gagal. Hal ini dapat dilakukan, sebagai contoh, dengan kembali mengaktifkan sistem

operasional atau keselamatan atau dengan mengaktifkan sistem-sistem yang lain. Tindakan

ini memiliki prioritas melebihi tindakan mitigasi. Meskipun demikian, tindakan untuk

melindungi penduduk 8 dalam jangka pendek dan panjang (seperti pemantauan tingkat

aktivitas, penampungan, pengungsian dan pengendalian bahan pangan) apabila terjadi

pelepasan yang cukup besar perlu direncanakan dan siap untuk diterapkan dalam jangka

waktu tertentu oleh pihak yang berwenang.

2.3. PENGHALANG

33. Pada umumnya, dipasang beberapa lapis penghalang fisik untuk mengungkung bahan

radioaktif. Desainnya dapat bervariasi bergantung pada aktivitas bahan dan penyimpangan

yang mungkin terjadi dari operasi normal yang dapat menyebabkan kegagalan pada

beberapa penghalang. Untuk reaktor berpendingin air yang beroperasi pada daya penuh,

penghalang yang digunakan untuk mengungkung produk fisi pada umumnya meliputi:

• matriks bahan bakar;

• kelongsong bahan bakar;

• batas (boundary) sistem pendingin reaktor;

• sistem sungkup reaktor.

Masyarakat dan lingkungan terutama dilindungi dengan menggunakan penghalangpenghalang

ini, yang dapat digunakan untuk maksud-maksud operasional maupun keselamatan atau

khusus hanya untuk maksud-maksud keselamatan. Konsep pertahanan berlapis berlaku untuk

perlindungan integritas penghalang terhadap kejadian-kejadian internal dan eksternal yang

dapat membahayakannya. Keadaan di mana satu atau lebih penghalang tidak difungsikan

(seperti misalnya dalam keadaan shutdown) memerlukan perhatian khusus.

2.4. LAPISAN-LAPISAN PERTAHANAN

34. Tindakan-tindakan yang berhubungan dengan pertahanan berlapis biasanya dibagi dalam

lima lapis pertahanan. Empat lapis yang pertama diarahkan untuk perlindungan

penghalang dan mitigasi pelepasan, sedang lapisan yang terakhir berhubungan dengan

tindakan kedaruratan luar-tapak untuk melindungi masyarakat apabila terjadi pelepasan

yang cukup besar. Meskipun penerapan konsep pertahanan berlapis dapat berbeda dari satu

negara ke negara yang lain dan pada tingkatan tertentu dapat bergantung pada desain

reaktor, prinsip-prinsip utamanya adalah sama.

Lapisan 1: Pencegahan operasi abnormal dan kegagalan

35. Tindakan-tindakan pada Lapisan 1 meliputi cakupan yang luas mengenai ketentuan-

ketentuan yang konservatif dalam desain, dari kegiatan pemilihan tapak sampai dengan

akhir umur reaktor, yang dimaksudkan untuk mengungkung bahan radioaktif dan

meminimalkan penyimpangan dari kondisi operasi normal (termasuk kondisi transien dan

keadan shutdown reaktor). Ketentuan keselamatan pada Lapisan 1 diambil melalui

pemilihan tapak, desain, pabrikasi, konstruksi, komisioning, persyaratan-persyaratan

operasi dan perawatan seperti:

• definisi yang jelas mengenai kondisi operasi normal dan abnormal;

• margin yang mencukupi pada desain sistem dan komponen reaktor, termasuk kekuatan

dan ketahanan terhadap kondisi operasi, khususnya dimaksudkan untuk meminimalkan

kebutuhan untuk melakukan tindakan-tindakan pada Lapis 2 dan Lapis 3;9

• waktu yang mencukupi bagi operator untuk memberi tanggapan terhadap berbagai

kejadian serta antar-muka (interface) manusia-mesin yang sesuai,

• termasuk peralatan yang dapat membantu operator, yang dimaksudkan untuk

mengurangi beban operator;

• pemilihan bahan secara hati-hati dan penerapan proses pabrikasi yang memenuhi syarat

serta teknologi yang telah terbukti yang disertai dengan pengujian yang ekstensif;

• pelatihan yang komprehensif terhadap personil operasi yang dipilih secara teliti yang

tingkah-lakunya konsisten dengan budaya keselamatan yang sehat;

• petunjuk operasi yang memadai dan pemantauan yang dapat diandalkan terhadap status

reaktor dan kondisi operasi;

• pencatatan, evaluasi dan pemakaian pengalaman operasi;

• perawatan pencegahan yang komprehensif yang diberi prioritas menurut kepentingan

keselamatannya dan persyaratan keandalan sistem.

36. Selain itu, Lapisan 1 memberikan dasar awal untuk proteksi terhadap kejadian-kejadian

eksternal dan internal (misalnya gempa bumi, kejatuhan pesawat, hantaman

gelombang, kebakaran, banjir), meskipun beberapa proteksi tambahan mungkin

diperlukan pada lapisan-lapisan pertahanan yang lebih tinggi.

Lapisan 2: Kendali operasi abnormal dan deteksi kegagalan

37. Lapisan 2 menyertakan sifat-sifat reaktor yang inheren, seperti stabilitas teras dan

inersia termal, dan sistem-sistem untuk mengendalikan operasi abnormal (kejadian

operasional terantisipasi (anticipated operational occurences)), dengan

memperhitungkan kejadian-kejadian yang dapat menyebabkan penurunan status

reaktor lebih lanjut. Sistem untuk memitigasi akibat-akibat dari kejadian operasi yang

demikian didesain berdasarkan persyaratan-persyaratan khusus (seperti redundansi,

tata-letak (layout) dan kualifikasi). Tujuannya adalah untuk membawa reaktor kembali

ke kondisi operasi normal sesegera mungkin.

38. Peralatan diagnostik seperti sistem kendali otomatis dapat disediakan untuk

mengaktuasi tindakan korektif sebelum batas proteksi reaktor tercapai; contohnya

adalah katup pembebas yang dioperasikan dengan listrik (power operated relief

valves), sistem pembatas otomatis pada daya reaktor dan tekanan pendingin,

temperatur atau ketinggian air, dan sistem fungsi kendali proses yang mencatat dan

memberitahukan tentang terjadinya kesalahan di dalam ruang kendali utama.

Pengamatan yang terus-menerus terhadap kualitas dan ketaatan terhadap asumsi desain

dengan menerapkan inspeksi in-service dan pengujian sistem dan komponen reaktor

secara berkala juga perlu untuk mendeteksi kerusakan peralatan dan system sebelum

kerusakan tersebut mempengaruhi keselamatan reaktor.

Lapisan 3: Kendali kecelakaan dalam dasar desain

39. Kendati terdapat ketentuan-ketentuan untuk pencegahan, kondisi kecelakaan masih

dapat terjadi. Sistem keselamatan rekayasa disediakan untuk mencegah perkembangan

menuju ke arah kecelakaan parah dan juga untuk mengungkung bahan-bahan radioaktif

di dalam sistem sungkup. Tindakan-tindakan yang diambil pada lapis ini pada

khususnya ditujukan untuk mencegah kerusakan teras. 10

40. Sistem keselamatan rekayasa didesain berdasarkan pada kecelakaan-kecelakaan

postulasi yang mewakili beban-beban batas dari serangkaian kejadian yang sejenis.

Kecelakaan postulasi pada umumnya merupakan kecelakaan yang terjadi di dalam

reaktor, seperti pecahnya pipa pendingin reaktor (kecelakaan kehilangan air pendingin)

atau pada pipa uap utama atau pipa air umpan, atau hilangnya kendali kritikalitas,

seperti dalam kejadian pelarutan boron secara perlahan-lahan yang tidak terkontrol atau

penarikan batang kendali.

41. Prosedur desain dan operasi ditujukan untuk menjaga keefektifan penghalang,

khususnya sungkup reaktor, apabila terjadi kecelakaan postulasi. Sistem keselamatan

rekayasa aktif dan pasif dapat digunakan. Dalam jangka pendek, sistem keselamatan

diaktuasi oleh sistem proteksi reaktor ketika dibutuhkan. Untuk menjamin sistem

keselamatan rekayasa agar dalam keadaan keandalan yang tinggi, prinsip-prinsip

desain berikut harus diikuti:

• redundansi;

• pencegahan terhadap kegagalan dengan penyebab bersama (common mode

failure) yang disebabkan oleh kejadian eksternal, dengan menerapkan pemisahan

fisik atau tempat serta proteksi struktural;

• pencegahan kegagalan dengan penyebab bersama karena desain, pabrikasi,

konstruksi, komisioning, perawatan atau campur tangan manusia, dengan

menerapkan penganekaragaman (diversity) atau redundansi fungsional;

• otomatisasi untuk mengurangi kerentanan terhadap kegagalan manusia,

sekurang-kurangnya pada tahap awal suatu insiden atau kecelakaan;

• keujian (testability) untuk memberikan bukti yang jelas mengenai ketersediaan

sistem dan unjuk kerja;

• kualifikasi sistem, komponen dan struktur untuk kondisi lingkungan khusus yang

mungkin terjadi akibat kecelakaan atau kejadian eksternal.

Lapisan 4: Kendali kondisi yang parah termasuk pencegahan penjalaran kecelakaan

dan mitigasi akibat kecelakaan parah

43. Untuk konsep pertahanan berlapis seperti yang diterapkan di reaktor-reaktor yang

beroperasi saat ini, diasumsikan bahwa tindakan-tindakan yang diperhitungkan pada

tiga lapisan pertama akan menjamin terjaganya integritas struktural teras dan

membatasi potensi bahaya radiasi terhadap masyarakat. Meski demikian, usaha-usaha

tambahan perlu dilakukan untuk lebih mengurangi resiko. Tujuan utama lapisan

pertahanan yang keempat adalah untuk menjamin agar kemungkinan kecelakaan yang

mengakibatkan kerusakan teras, serta besarnya pelepasan radioaktif pada peristiwa

yang sepertinya tidak mungkin terjadi di mana timbul kondisi reaktor yang parah,

dijaga agar serendah mungkin (as low as reasonably achievable), dengan

memperhitungkan faktor-faktor ekonomi dan sosial. Manajemen kecelakaan tidak

dapat digunakan sebagai alasan pembenar terhadap adanya cacat desain pada lapisan-

lapisan sebelumnya.

44. Pertimbangan diberikan terhadap kondisi reaktor yang parah yang tidak secara eksplisit

dibahas dalam desain asli (Lapisan 1 sampai dengan 3) reaktor-reaktor yang beroperasi

saat ini karena probabilitasnya yang rendah. Kondisi reaktor yang demikian dapat

disebabkan oleh terjadinya kegagalan ganda, seperti hilangnya seluruh jalur sistem

keselamatan, atau oleh kejadian yang hampir tidak mungkin11 terjadi seperti banjir

besar. Beberapa dari kondisi ini mengandung potensi pelepasan bahan-bahan radioaktif

ke lingkungan. Inersia panas reaktor dapat memberikan waktu untuk menghadapi

kondisi-kondisi semacam ini untuk menerapkan tindakan-tindakan dan prosedur-

prosedur tambahan. Sistem bantu dan pendukung didesain, dipabrikasi, dikonstruksi,

dipasang dan dioperasikan sesuai dengan keandalan sistem keselamatan rekayasa yang

dibutuhkan.

45. Tindakan-tindakan untuk manajemen kecelakaan1 juga dimaksudkan untuk

mengendalikan kecelakaan parah dan memitigasi akibatnya. Dalam pengertian

kerusakan teras, manajemen kecelakaan terdiri atas tindakan-tindakan pencegahan dan

mitigasi. Dalam kaitannya dengan penanggulangan keadaan darurat luar-tapak,

tindakan-tindakan ini pada dasarnya adalah pencegahan. Tujuan utama manajemen

kecelakaan adalah:

• memantau karakteristik utama status reaktor;

• mengendalikan subkritikalitas teras, memulihkan pemindahan panas dari teras

dan menjaga pendinginan teras jangka panjang;

• melindungi integritas sungkup reaktor dengan menjamin pemindahan panas

danmencegah beban membahayakan sungkup apabila terjadi kerusakan teras

yang parah atau penjalaran kecelakaan lebih jauh;

• memperoleh kembali pengendalian reaktor bilamana mungkin dan, apabila

degradasi tidak dapat dihentikan, menunda kerusakan reaktor lebih lanjut dan

mengimplementasikan penanggulangan keadaan darurat dalam-tapak dan

luartapak.

46. Tujuan utama mitigasi akibat kecelakaan di Lapisan 4 adalah proteksi sungkup. Pada

desain sebagian besar reaktor terdapat struktur sungkup yang yang tahan terhadap

tekanan, dengan batas-batas desain mengenai bocoran yang diperbolehkan pada

tekanan tertentu yang ketat. Fungsi-fungsi yang melindungi sungkup, seperti

pendinginan sungkup dan pengendalian penetrasi, pada umumnya didesain dan

dianalisis menggunakan standar yang konservatifismenya sama dengan sistem

keselamatan rekayasa. Desain yang demikian memberikan kemungkinan untuk

menjaga fungsi sungkup agar tetap efektif pada kondisikondisi reaktor yang parah.

Tindakan-tindakan khusus dalam manajemen kecelakaan ditetapkan berdasarkan studi

keselamatan dan hasil-hasil penelitian. Tindakan-tindakan ini sepenuhnya

menggunakan kemampuan reaktor yang ada, termasuk peralatan yang tidak berkaitan

dengan keselamatan (non-safety-related) yang ada. Sebagai contoh, setiap sumber air

bersih dapat digunakan apabila terjadi kehilangan pembuangan panas akhir atau untuk

menambah air pada sisi sekunder pembangkit uap. Tindakan-tindakan dalam

manajemen kecelakaan juga dapat meliputi perubahan perangkat keras. Contohnya

adalah pemasangan system pembuangan udara sungkup yang diberi filter dan peng-

inert-an sungkup reactor air mendidih (boiling water reactor) untuk mencegah

pembakaran hidrogen dalam kondisi kecelakaan parah. Untuk tindakan-tindakan

tambahan semacam ini dapat diterapkan aturan desain tertentu secara pragmatis.1

Istilah yang digunakan bergantung pada negara dan desain reaktor: istilah-istilah

umumnya adalah "tindakan pelengkap", "prosedur kedaruratan" dan "manajemen

kecelakaan dalam-tapak". Dalam tulisan ini digunakan istilah "manajemen

kecelakaan".12

47. Peranan operator adalah vital dalam mengaktuasi peralatan perangkat keras untuk

manajemen kecelakaan dan dalam pengambilan tindakan-tindakan di luar fungsi sistem

yang dimaksudkan semula atau menggunakan sistem yang bersifat temporer atau

sementara. Persiapan staf yang memadai serta pelatihan untuk kondisi-kondisi

semacam ini merupakan prasyarat bagi manajemen kecelakaan yang efektif.

Ketentuan-ketentuan manajerial seperti program kedaruratan dalam-tapak juga

diperlukan.

Lapisan 5: Mitigasi akibat radiologis dari pelepasan eksternal bahan-bahan radioaktif yang

cukup besar

48. Bahkan apabila usaha-usaha yang dijelaskan di depan telah diperkirakan efektif dalam

membatasi akibat kecelakaan parah, adalah tidak konsisten dengan pertahanan berlapis

apabila melupakan program kedaruratan luar-tapak. Program ini mencakup fungsi

untuk mengumpulkan dan mengkaji informasi mengenai tingkat paparan yang

diperkirakan terjadi pada kondisi yang sangat tidak mungkin ini, dan tindakan-tindakan

protektif jangka pendek dan panjang yang merupakan intervensi. Pihak-pihak yang

berwenang perlu mengambil tindakan yang sesuai berdasarkan saran dari organisasi

pengoperasi dan badan pengawas.

49. Prosedur kedaruratan luar-tapak disiapkan dengan berkonsultasi dengan organisasi

pengoperasi dan pihak berwenang yang berkaitan dan harus mematuhi perjanjian-

perjanjian internasional. Program kedaruratan dalam-tapak dan luar-tapak diperiksa

dengan semestinya secara berkala untuk menjamin kesiapan organisasi-organisasi yang

terkait.

Prasyarat dasar

50. Seperti dinyatakan dalam paragraf 21, implementasi pertahanan berlapis yang efektif

memiliki beberapa prasyarat yang berlaku untuk semua tindakan yang dipertimbangkan

pada semua lapisan. Prasyarat ini adalah konservatifisme yang sesuai, jaminan kualitas

dan budaya keselamatan.

Konservatifisme

51. Konservatifisme secara luas diterapkan pada tiga lapisan pertama dari pertahanan.

Asumsi-asumsi yang konservatif diambil dalam pemilihan tapak, desain dan

konstruksi, komisioning dan operasi. Asumsi-asumsi konservatif dan margin

keselamatan yang sesuai juga dipertimbangkan di dalam reviu modifikasi, pengkajian

efek penuaan (ageing), pengkajian-ulang keselamatan berkala, dan pengembangan

program kedaruratan, juga dalam reviu pengawasan dan keputusan-keputusan

pemberian izinnya. Pada Lapisan 4 dan 5, pertimbangan estimasi terbaik menjadi lebih

penting.

Jaminan kualitas

52. Setiap lapisan pertahanan hanya dapat efektif apabila kualitas desain, bahan, struktur,

komponen dan sistem, operasi dan perawatan dapat diandalkan. Program jaminan

kualitas dapat menjamin pengembangan desain yang aman (termasuk evaluasi tapak,

desain proses dan sistem keselamatan, desain penghalang, desain 13 modifikasi dan

analisis keselamatan). Program ini juga dapat menjamin agar tujuan desain tercapai

pada reaktor ketika dibangun dan bahwa reaktor dioperasikan seperti yang dirancang

dan dirawat sebagaimana desainnya.

Budaya keselamatan

53. Organisasi dan perorangan yang terlibat dalam aktivitas yang mungkin berpengaruh

terhadap tiap lapisan pertahanan harus berpegang pada budaya keselamatan yang kuat

(lihat Safety Culture, INSAG-4 [3]). Organisasi pengoperasi dan organisasi

pemerintah, juga organisasi-organisasi yang terlibat dalam desain, pabrikasi,

konstruksi, perawatan, pengujian dan inspeksi in-service dan penanganan kedaruratan,

harus menjamin bahwa persyaratan-persyaratan yang sesuai telah dipenuhi dan bahwa

metode-metode yang sesuai telah diterapkan.14