§ 40
Ochranné systémy
(1) Projekt jaderného zařízení s jaderným reaktorem musí stanovit požadavky na ochranné systémy. Ochranné systémy musí
a) rozeznat vznik abnormálního provozu a základní projektové nehody,
b) automaticky uvést do chodu bezpečnostní systémy ke zvládání abnormálního provozu a základní projektové nehody, včetně výkonného systému pro rychlé odstavení jaderného reaktoru,
c) umožnit pracovníkům obsluhy jaderného zařízení záložní ruční spuštění zásahů ochranného systému v případech předpokládaných projektem jaderného zařízení,
d) být odděleny od řídicích systémů; propojení ochranných a řídicích systémů je přípustné, neovlivňuje-li negativně jadernou bezpečnost,
e) být navrženy tak, že jejich zásahy jsou v případě konfliktu nadřazeny činnosti řídicích systémů a zásahům pracovníků obsluhy v míře dovolující plnit požadavek podle písmene f),
f) plnit automatické funkce ochranných systémů, aniž by bránily pracovníkům obsluhy jaderného zařízení v nápravných zásazích podle havarijních předpisů a návodů pro zvládání těžkých havárií,
g) být vysoce spolehlivé a zálohovány tak, aby jednoduchá porucha nezpůsobila ztrátu funkce ochranného systému,
h) být navrženy tak, aby výpadek, zkoušení nebo uvedení mimo provoz kanálu tvořeného komponentou nebo jedním ze zálohujících se funkčních řetězců od čidla po zpracování signálu (dále jen "kanál") nezpůsobily snížení počtu provozuschopných zálohujících se kanálů na jeden,
i) mít nezávislé kanály v počtu, který zajistí, že jednoduchá porucha nezpůsobí ztrátu funkce ochranného systému,
j) mít společné obvody zpracování zálohujících se signálů navržené tak, aby jejich poruchy nemohly způsobit ztrátu funkce systému rychlého odstavení jaderného reaktoru, a
k) být navrženy tak, aby bylo minimalizováno ohrožení funkcí ochranného systému, a to i při výskytu předem neidentifikovatelných poruch ze společné příčiny v ochranných systémech.
(2) Požadavky na ochranný systém a nastavení jeho parametrů musí být v projektu jaderného zařízení stanoveny tak, aby nemohlo dojít k překročení projektových kritérií a projektových limitů jaderného paliva.
(3) Ochranný systém musí být v projektu jaderného zařízení navržen tak, aby umožňoval
a) periodické zkoušky funkce jednotlivých kanálů při provozu jaderného reaktoru a
b) vyzkoušení společných obvodů zpracování zálohujících se signálů při odstaveném jaderném reaktoru.
(4) Ochranný systém musí být v projektu jaderného zařízení navržen tak, aby při zjištění poruch jeho komponent pomocí průběžně automaticky prováděné diagnostiky nebo při vzniku podmínek znemožňujících řádné provádění jeho bezpečnostních funkcí umožnil pracovníkům obsluhy jaderného zařízení dosažení bezpečného stavu jaderného zařízení nebo stabilizovaného podkritického stavu.
(5) Projekt jaderného zařízení musí při použití digitálních programovatelných prostředků v ochranném systému stanovit požadavek na jejich kvalitu a její nezávislé posouzení. Nelze-li zajistit potřebnou spolehlivost projektovaných bezpečnostních funkcí ochranných systémů v důsledku nízké odolnosti těchto systémů proti poruše ze společné příčiny v programovém vybavení, musí být funkce ochranného systému zálohována diverzními prostředky.