Post on 16-Apr-2018
Bab 2 PENDEKATAN TERHADAP PERTAHANAN BERLAPIS
15. Pertahanan berlapis merupakan penerapan hierarkis berbagai lapisan peralatan dan
prosedur untuk menjaga efektivitas penghalang fisik yang ditempatkan di antara bahan
radioakatif dan pekerja, masyarakat atau lingkungan, dalam operasi normal, kejadian
operasional terantisipasi, dan untuk beberapa penghalang, dalam kecelakaan-kecelakaan di
dalam instalasi. Pertahanan berlapis diimplementasikan melalui desain dan operasi untuk
memberikan proteksi yang sesuai terhadap berbagai macam transien, insiden dan
kecelakaan, termasuk kegagalan peralatan dan kesalahan manusia di dalam instalasi serta
kejadian-kejadian yang berasal dari luar instalasi.
16. Untuk implementasi yang konsisten, resiko yang dinyatakan dengan jumlah dan tipe bahan
radioaktif yang ada di dalam instalasi; potensi dispersinya karena sifat kimia dan fisika
bahan-bahan ini; dan kemungkinan terjadinya reaksi nuklir, kimia atau panas yang dapat
terjadi dalam kondisi normal atau abnormal dan kinetika dari kejadian-kejadian yang
demikian perlu diperhitungkan. Hal-hal tersebut mempengaruhi jumlah serta kekuatan
lapisan pertahanan yang dibutuhkan, bergantung pada jenis reaktornya.
2.1. TUJUAN PERTAHANAN BERLAPIS
17. Basic Safety Principles for Nuclear Power Plants (INSAG-3) [1] membahas penerapan
konsep pertahanan berlapis yang berpusat pada beberapa lapisan proteksi, termasuk
lapisan-lapisan penghalang untuk mencegah pelepasan bahan radioaktif ke lingkungan.
Tujuannya adalah sebagai berikut:
• mengkompensasi potensi kegagalan manusia dan komponen;
• menjaga efektivitas penghalang dengan mencegah kerusakan instalasi dan
penghalang itu sendiri; dan
• melindungi masyarakat dan lingkungan terhadap bahaya apabila penghalang-
penghalang ini tidak sepenuhnya efektif.
2.2. STRATEGI UNTUK PERTAHAN BERLAPIS
18. Strategi untuk pertahanan berlapis ada dua: pertama, untuk mencegah terjadinya
kecelakaan dan, yang kedua, apabila tindakan pencegahan gagal, untuk membatasi akibat
yang mungkin dan untuk mencegah evolusi ke arah kondisi yang lebih serius. Pencegahan
kecelakaan merupakan prioritas yang pertama. Alasannya adalah bahwa ketentuan-
ketentuan untuk mencegah penyimpangan keadaan reactor dari kondisi operasi yang sudah
dikenal dengan baik biasanya lebih efektif dan lebih dapat diperkirakan dari pada
tindakan-tindakan yang ditujukan untuk memitigasi akibat dari penyimpangan, karena
unjuk kerja reaktor biasanya menurun ketika status atau komponennya menyimpang dari
kondisi normal. Dengan demikian mencegah penurunan status dan unjuk kerja reaktor
biasanya akan memberikan proteksi yang paling efektif terhadap masyarakat dan
lingkungan serta kapasitas produktif reaktor. Akan tetapi, apabila tindakan pencegahan
gagal, tindakan-tindakan mitigasi, khususnya penggunaan fungsi pengungkung yang5
didesain dengan baik, dapat memberikan proteksi tambahan terhadap masyarakat dan
lingkungan.
19. Pertahanan berlapis biasanya terdiri atas lima lapisan. Apabila satu lapisan gagal, lapisan
berikutnya akan mengambil peranan. Tujuan lapisan proteksi yang pertama adalah
pencegahan operasi abnormal dan kegagalan sistem. Apabila lapisan pertama gagal,
operasi abnormal akan dikendalikan atau kegagalan akan dideteksi oleh lapisan proteksi
yang kedua. Apabila lapisan yang kedua gagal, lapisan ketiga akan menjamin bahwa
fungsi-fungsi keselamatan selanjutnya akan dilakukan dengan mengaktifkan sistem-sistem
keselamatan tertentu atau sistem-sistem keselamatan yang lain. Apabila lapisan ketiga
gagal, lapisan keempat akan membatasi penjalaran kecelakaan melalui manajemen
kecelakaan, dengan tujuan untuk mencegah atau memitigasi kondisi kecelakaan parah
yang disertai dengan pelepasan bahan-bahan radioaktif keluar. Tujuan terakhir (lapisan
proteksi kelima) adalah memitigasi konsekuensi radiologis dari pelepasan yang cukup
besar melalui penanggulangan keadaan darurat luar-tapak.
20. Untuk mencerminkan pertahanan berlapis seperti yang dijelaskan di sini, lapisan-lapisan
proteksi dapat dinamakan menurut tujuannya atau cara-cara utama untuk mencapai tujuan
tersebut. Basic Safety Principles for Nuclear Power Plants (INSAG-3) [1] pada sebagian
besar bagiannya menerapkan pendekatan yang kedua. Pada tulisan ini, pilihan lebih
ditekankan pada pengenalan tujuan masingmasing lapisan proteksi dan cara-cara untuk
mencapainya. Tujuan dan cara-cara ini ditunjukkan di Tabel I.
21. Untuk implementasi pertahanan berlapis yang efektif, beberapa prasyarat dasar berlaku
untuk semua tindakan pada Lapisan 1 sampai dengan 5. Prasyarat-prasyarat ini, yang
saling terkait dan harus dipenuhi sebagai bagian dari kebijaksanaan untuk desain dan
operasi yang aman, adalah konservativisme yang sesuai, jaminan kualitas dan budaya
keselamatan.
22. Tujuan umum pertahanan berlapis adalah untuk menjamin agar suatu kegagalan tunggal,
pada salah satu lapisan pertahanan, dan bahkan kombinasi kegagalan pada lebih dari satu
lapisan pertahanan, tidak akan menjalar sehingga membahayakan lapisan-lapisan
berikutnya. Independensi lapisan-lapisan pertahanan yang berlainan merupakan elemen
kunci untuk mencapai tujuan ini.
23. Keberadaan beberapa elemen pertahanan berlapis tidak menjustifikasi dilanjutkannya
operasi apabila salah satu elemen tidak ada. Semua elemen pertahanan berlapis biasanya
tersedia ketika reaktor bekerja pada daya penuh serta jumlah elemen yang mencukupi
harus tersedia pada saat-saat lainnya.6
24. Lapisan Tujuan Cara Lapisan 1 Pencegahan operasi abnormal dan kegagalan Desain yang
konservatif dan kualitas konstruksi dan operasi yang tinggi. Lapisan 2 Kendali operasi
abnormal dan deteksi kegagalan Sistem kendali, pembatas dan proteksi serta sistem-sistem
pengamatan (surveillance) yang lain. Lapisan 3 Pengendalian kecelakaan dalam dasar
desain Sistem keselamatan rekayasa dan prosedur kecelakaan. Lapisan 4 Pengendalian
kondisi reaktor yang parah, termasuk pencegahan penjalaran kecelakaan dan mitigasi
terhadap akibat kecelakaan parah Tindakan pelengkap dan manajemen kecelakaan.
Lapisan 5 Mitigasi akibat radiologis dari pelepasan bahan-bahan radioaktif yang cukup
besar Penanggulangan keadaan darurat luar-tapak.
25. Cara yang paling penting untuk mencegah kecelakaan adalah kualitas yang tinggi dalam
desain, konstruksi dan operasi reaktor, dan dengan demikian menjamin agar
penyimpangan dari operasi yang normal jarang terjadi. Sistem operasi didesain untuk
menghadapi dengan cara langsung kejadian-kejadian yang, seperti yang diperkirakan oleh
pendesain reaktor, kemungkinan dapat terjadi pada masa umur operasi reaktor, disebabkan
oleh kegagalan peralatan ataupun manusia. Ketersediaan fungsi-fungsi keselamatan yang
fundamental - pengendalian daya, pendinginan bahan bakar dan pengungkungan bahan
radioaktif - biasanya dijamin melalui penggunaan sistem keselamatan dan kendali otomatis
dan tindakan staf yang telah dipersiapkan.
26. Pengamatan in-service (in-service surveillance) seperti pengujian tidak merusak atau uji
fungsi secara berkala memberi sumbangan terhadap pencegahan insiden dan kecelakaan.
Selain itu, tindakan-tindakan ini perlu untuk memberi sumbangan dalam pengendalian
kecelakaan. Pemikiran yang sepadan terhadap kegiatan-kegiatan ini sangat penting pada
tahap desain.
27. Kondisi batas untuk mendesain sistem-sistem keselamatan dan proteksi ditentukan oleh
insiden dan kecelakaan postulasi yang ditentukan dengan baik yang mewakili kelompok
kejadian dengan tanggapan dari instalasi dan beban yang serupa. Pemilihan kondisi-
kondisi postulasi ini dijustifikasi berdasarkan analisis yang didukung oleh pengalaman
operasi baik dari reaktor daya maupun industri secara umum. Keefektifan dan keandalan
sistem keselamatan untuk menghadapi insiden dan kecelakaan semacam ini harus
ditunjukkan dengan jelas dalam proses pengkajian keselamatan. Desain sistem
keselamatan terpusat pada pencegahan kerusakan teras dan jaminan terhadap kemampuan
penahanan sungkup untuk mencegah pelepasan bahan radioaktif ke lingkungan secara
tidak terkendali sesudah terjadinya kejadian postulasi atau untuk memitigasi akibat
pelepasannya.7
28. Kejadian-kejadian seperti kebakaran, banjir atau gempa bumi dapat berpotensi
mengganggu beberapa lapisan pertahanan (sebagai contoh, kejadian-kejadian ini dapat
membawa ke arah situasi kecelakaan dan, pada saat yang bersamaan, menghentikan
kemampuan untuk menghadapi situasi yang demikian). Perhatian khusus perlu diberikan
terhadap kejadian-kejadian yang demikian, tindakan berjaga-jaga (precautions) perlu
diambil untuk menghadapinya, serta reaktor dan sistem-sistem keselamatannya harus
didesain untuk menghadapinya. Sebagai contoh, proteksi terhadap kebakaran memerlukan
pencegahan kebakaran, pendeteksian kebakaran dan pembatasan terhadap akibat-akibatnya
melalui desain zona kebakaran dan pemisahan fisik untuk jalur-jalur sistem keselamatan
yang redundan.
29. Apabila untuk memiliki lapisan-lapisan pertahanan yang independen terhadap beberapa
kejadian (seperti misalnya kegagalan bejana tekan reaktor yang tiba-tiba) adalah tidak
layak, beberapa lapis tindakan berjaga-jaga (precaution) perlu dimasukkan ke dalam
desain dan operasi. Tindakan berjaga-jaga yang demikian dapat diambil, misalnya, dalam
pemilihan bahan, dalam inspeksi berkala atau dalam kegiatan pemilihan tapak (siting),
atau dalam desain dengan memasukkan margin keselamatan tambahan.
30. Tindakan berjaga-jaga yang dijelaskan di atas juga dapat mempertahankan terhadap
beberapa kegagalan yang rumit dan kesalahan manusia. Kegagalan-kegagalan rumit yang
lain yang tidak diperhitungkan secara eksplisit di dalam desain reaktor yang beroperasi
saat ini dapat diteliti melalui studi-studi keselamatan dan penelitian reaktor, yang dapat
memberikan sumbang-saran untuk tindakan-tindakan pencegahan dan mitigasi tambahan.
Berhubung tindakantindakan yang demikian digunakan untuk mengantisipasi potensi
kejadian dengan perkiraan frekuensi rendah, tindakan-tindakan ini biasanya dikenai aturan
tertentu dan kurang ketat dibandingkan dengan tindakan-tindakan untuk system
keselamatan, aturan yang demikian ditetapkan secara kasus per kasus. Sebagai contoh,
kejadian yang demikian dianalisis dengan menggunakan model dan data estimasi terbaik
(best estimate).
31. Meskipun ada usaha-usaha ini, tidak ada jaminan bahwa kondisi yang melampaui
kecelakaan dasar desain tidak akan pernah terjadi. Kondisi yang demikian diantisipasi
dengan tindakan-tindakan pencegahan dan mitigasi (untuk manajemen kecelakaan).
Seandainya sistem keselamatan rekayasa gagal dalam melindungi integritas penghalang,
dan seandainya kondisi kecelakaan timbul dengan akibat yang melampaui apa yang
diantisipasi dalam desain, lapisan pertahanan berikutnya akan digunakan untuk menangani
kecelakaan seperti mencegah penjalaran kecelakaan, membatasi pelepasan radioaktif dari
reaktor atau memitigasi akibat pelepasannya.
32. Sehubungan perkembangan yang lambat pada sebagian besar kejadian awal ketika menuju
kondisi kecelakaan parah, pada prinsipnya adalah mungkin bagi personil reaktor untuk
mendiagnose status reaktor dan mengembalikan fungsi yang berkaitan dengan keselamatan
yang gagal. Hal ini dapat dilakukan, sebagai contoh, dengan kembali mengaktifkan sistem
operasional atau keselamatan atau dengan mengaktifkan sistem-sistem yang lain. Tindakan
ini memiliki prioritas melebihi tindakan mitigasi. Meskipun demikian, tindakan untuk
melindungi penduduk 8 dalam jangka pendek dan panjang (seperti pemantauan tingkat
aktivitas, penampungan, pengungsian dan pengendalian bahan pangan) apabila terjadi
pelepasan yang cukup besar perlu direncanakan dan siap untuk diterapkan dalam jangka
waktu tertentu oleh pihak yang berwenang.
2.3. PENGHALANG
33. Pada umumnya, dipasang beberapa lapis penghalang fisik untuk mengungkung bahan
radioaktif. Desainnya dapat bervariasi bergantung pada aktivitas bahan dan penyimpangan
yang mungkin terjadi dari operasi normal yang dapat menyebabkan kegagalan pada
beberapa penghalang. Untuk reaktor berpendingin air yang beroperasi pada daya penuh,
penghalang yang digunakan untuk mengungkung produk fisi pada umumnya meliputi:
• matriks bahan bakar;
• kelongsong bahan bakar;
• batas (boundary) sistem pendingin reaktor;
• sistem sungkup reaktor.
Masyarakat dan lingkungan terutama dilindungi dengan menggunakan penghalangpenghalang
ini, yang dapat digunakan untuk maksud-maksud operasional maupun keselamatan atau
khusus hanya untuk maksud-maksud keselamatan. Konsep pertahanan berlapis berlaku untuk
perlindungan integritas penghalang terhadap kejadian-kejadian internal dan eksternal yang
dapat membahayakannya. Keadaan di mana satu atau lebih penghalang tidak difungsikan
(seperti misalnya dalam keadaan shutdown) memerlukan perhatian khusus.
2.4. LAPISAN-LAPISAN PERTAHANAN
34. Tindakan-tindakan yang berhubungan dengan pertahanan berlapis biasanya dibagi dalam
lima lapis pertahanan. Empat lapis yang pertama diarahkan untuk perlindungan
penghalang dan mitigasi pelepasan, sedang lapisan yang terakhir berhubungan dengan
tindakan kedaruratan luar-tapak untuk melindungi masyarakat apabila terjadi pelepasan
yang cukup besar. Meskipun penerapan konsep pertahanan berlapis dapat berbeda dari satu
negara ke negara yang lain dan pada tingkatan tertentu dapat bergantung pada desain
reaktor, prinsip-prinsip utamanya adalah sama.
Lapisan 1: Pencegahan operasi abnormal dan kegagalan
35. Tindakan-tindakan pada Lapisan 1 meliputi cakupan yang luas mengenai ketentuan-
ketentuan yang konservatif dalam desain, dari kegiatan pemilihan tapak sampai dengan
akhir umur reaktor, yang dimaksudkan untuk mengungkung bahan radioaktif dan
meminimalkan penyimpangan dari kondisi operasi normal (termasuk kondisi transien dan
keadan shutdown reaktor). Ketentuan keselamatan pada Lapisan 1 diambil melalui
pemilihan tapak, desain, pabrikasi, konstruksi, komisioning, persyaratan-persyaratan
operasi dan perawatan seperti:
• definisi yang jelas mengenai kondisi operasi normal dan abnormal;
• margin yang mencukupi pada desain sistem dan komponen reaktor, termasuk kekuatan
dan ketahanan terhadap kondisi operasi, khususnya dimaksudkan untuk meminimalkan
kebutuhan untuk melakukan tindakan-tindakan pada Lapis 2 dan Lapis 3;9
• waktu yang mencukupi bagi operator untuk memberi tanggapan terhadap berbagai
kejadian serta antar-muka (interface) manusia-mesin yang sesuai,
• termasuk peralatan yang dapat membantu operator, yang dimaksudkan untuk
mengurangi beban operator;
• pemilihan bahan secara hati-hati dan penerapan proses pabrikasi yang memenuhi syarat
serta teknologi yang telah terbukti yang disertai dengan pengujian yang ekstensif;
• pelatihan yang komprehensif terhadap personil operasi yang dipilih secara teliti yang
tingkah-lakunya konsisten dengan budaya keselamatan yang sehat;
• petunjuk operasi yang memadai dan pemantauan yang dapat diandalkan terhadap status
reaktor dan kondisi operasi;
• pencatatan, evaluasi dan pemakaian pengalaman operasi;
• perawatan pencegahan yang komprehensif yang diberi prioritas menurut kepentingan
keselamatannya dan persyaratan keandalan sistem.
36. Selain itu, Lapisan 1 memberikan dasar awal untuk proteksi terhadap kejadian-kejadian
eksternal dan internal (misalnya gempa bumi, kejatuhan pesawat, hantaman
gelombang, kebakaran, banjir), meskipun beberapa proteksi tambahan mungkin
diperlukan pada lapisan-lapisan pertahanan yang lebih tinggi.
Lapisan 2: Kendali operasi abnormal dan deteksi kegagalan
37. Lapisan 2 menyertakan sifat-sifat reaktor yang inheren, seperti stabilitas teras dan
inersia termal, dan sistem-sistem untuk mengendalikan operasi abnormal (kejadian
operasional terantisipasi (anticipated operational occurences)), dengan
memperhitungkan kejadian-kejadian yang dapat menyebabkan penurunan status
reaktor lebih lanjut. Sistem untuk memitigasi akibat-akibat dari kejadian operasi yang
demikian didesain berdasarkan persyaratan-persyaratan khusus (seperti redundansi,
tata-letak (layout) dan kualifikasi). Tujuannya adalah untuk membawa reaktor kembali
ke kondisi operasi normal sesegera mungkin.
38. Peralatan diagnostik seperti sistem kendali otomatis dapat disediakan untuk
mengaktuasi tindakan korektif sebelum batas proteksi reaktor tercapai; contohnya
adalah katup pembebas yang dioperasikan dengan listrik (power operated relief
valves), sistem pembatas otomatis pada daya reaktor dan tekanan pendingin,
temperatur atau ketinggian air, dan sistem fungsi kendali proses yang mencatat dan
memberitahukan tentang terjadinya kesalahan di dalam ruang kendali utama.
Pengamatan yang terus-menerus terhadap kualitas dan ketaatan terhadap asumsi desain
dengan menerapkan inspeksi in-service dan pengujian sistem dan komponen reaktor
secara berkala juga perlu untuk mendeteksi kerusakan peralatan dan system sebelum
kerusakan tersebut mempengaruhi keselamatan reaktor.
Lapisan 3: Kendali kecelakaan dalam dasar desain
39. Kendati terdapat ketentuan-ketentuan untuk pencegahan, kondisi kecelakaan masih
dapat terjadi. Sistem keselamatan rekayasa disediakan untuk mencegah perkembangan
menuju ke arah kecelakaan parah dan juga untuk mengungkung bahan-bahan radioaktif
di dalam sistem sungkup. Tindakan-tindakan yang diambil pada lapis ini pada
khususnya ditujukan untuk mencegah kerusakan teras. 10
40. Sistem keselamatan rekayasa didesain berdasarkan pada kecelakaan-kecelakaan
postulasi yang mewakili beban-beban batas dari serangkaian kejadian yang sejenis.
Kecelakaan postulasi pada umumnya merupakan kecelakaan yang terjadi di dalam
reaktor, seperti pecahnya pipa pendingin reaktor (kecelakaan kehilangan air pendingin)
atau pada pipa uap utama atau pipa air umpan, atau hilangnya kendali kritikalitas,
seperti dalam kejadian pelarutan boron secara perlahan-lahan yang tidak terkontrol atau
penarikan batang kendali.
41. Prosedur desain dan operasi ditujukan untuk menjaga keefektifan penghalang,
khususnya sungkup reaktor, apabila terjadi kecelakaan postulasi. Sistem keselamatan
rekayasa aktif dan pasif dapat digunakan. Dalam jangka pendek, sistem keselamatan
diaktuasi oleh sistem proteksi reaktor ketika dibutuhkan. Untuk menjamin sistem
keselamatan rekayasa agar dalam keadaan keandalan yang tinggi, prinsip-prinsip
desain berikut harus diikuti:
• redundansi;
• pencegahan terhadap kegagalan dengan penyebab bersama (common mode
failure) yang disebabkan oleh kejadian eksternal, dengan menerapkan pemisahan
fisik atau tempat serta proteksi struktural;
• pencegahan kegagalan dengan penyebab bersama karena desain, pabrikasi,
konstruksi, komisioning, perawatan atau campur tangan manusia, dengan
menerapkan penganekaragaman (diversity) atau redundansi fungsional;
• otomatisasi untuk mengurangi kerentanan terhadap kegagalan manusia,
sekurang-kurangnya pada tahap awal suatu insiden atau kecelakaan;
• keujian (testability) untuk memberikan bukti yang jelas mengenai ketersediaan
sistem dan unjuk kerja;
• kualifikasi sistem, komponen dan struktur untuk kondisi lingkungan khusus yang
mungkin terjadi akibat kecelakaan atau kejadian eksternal.
Lapisan 4: Kendali kondisi yang parah termasuk pencegahan penjalaran kecelakaan
dan mitigasi akibat kecelakaan parah
43. Untuk konsep pertahanan berlapis seperti yang diterapkan di reaktor-reaktor yang
beroperasi saat ini, diasumsikan bahwa tindakan-tindakan yang diperhitungkan pada
tiga lapisan pertama akan menjamin terjaganya integritas struktural teras dan
membatasi potensi bahaya radiasi terhadap masyarakat. Meski demikian, usaha-usaha
tambahan perlu dilakukan untuk lebih mengurangi resiko. Tujuan utama lapisan
pertahanan yang keempat adalah untuk menjamin agar kemungkinan kecelakaan yang
mengakibatkan kerusakan teras, serta besarnya pelepasan radioaktif pada peristiwa
yang sepertinya tidak mungkin terjadi di mana timbul kondisi reaktor yang parah,
dijaga agar serendah mungkin (as low as reasonably achievable), dengan
memperhitungkan faktor-faktor ekonomi dan sosial. Manajemen kecelakaan tidak
dapat digunakan sebagai alasan pembenar terhadap adanya cacat desain pada lapisan-
lapisan sebelumnya.
44. Pertimbangan diberikan terhadap kondisi reaktor yang parah yang tidak secara eksplisit
dibahas dalam desain asli (Lapisan 1 sampai dengan 3) reaktor-reaktor yang beroperasi
saat ini karena probabilitasnya yang rendah. Kondisi reaktor yang demikian dapat
disebabkan oleh terjadinya kegagalan ganda, seperti hilangnya seluruh jalur sistem
keselamatan, atau oleh kejadian yang hampir tidak mungkin11 terjadi seperti banjir
besar. Beberapa dari kondisi ini mengandung potensi pelepasan bahan-bahan radioaktif
ke lingkungan. Inersia panas reaktor dapat memberikan waktu untuk menghadapi
kondisi-kondisi semacam ini untuk menerapkan tindakan-tindakan dan prosedur-
prosedur tambahan. Sistem bantu dan pendukung didesain, dipabrikasi, dikonstruksi,
dipasang dan dioperasikan sesuai dengan keandalan sistem keselamatan rekayasa yang
dibutuhkan.
45. Tindakan-tindakan untuk manajemen kecelakaan1 juga dimaksudkan untuk
mengendalikan kecelakaan parah dan memitigasi akibatnya. Dalam pengertian
kerusakan teras, manajemen kecelakaan terdiri atas tindakan-tindakan pencegahan dan
mitigasi. Dalam kaitannya dengan penanggulangan keadaan darurat luar-tapak,
tindakan-tindakan ini pada dasarnya adalah pencegahan. Tujuan utama manajemen
kecelakaan adalah:
• memantau karakteristik utama status reaktor;
• mengendalikan subkritikalitas teras, memulihkan pemindahan panas dari teras
dan menjaga pendinginan teras jangka panjang;
• melindungi integritas sungkup reaktor dengan menjamin pemindahan panas
danmencegah beban membahayakan sungkup apabila terjadi kerusakan teras
yang parah atau penjalaran kecelakaan lebih jauh;
• memperoleh kembali pengendalian reaktor bilamana mungkin dan, apabila
degradasi tidak dapat dihentikan, menunda kerusakan reaktor lebih lanjut dan
mengimplementasikan penanggulangan keadaan darurat dalam-tapak dan
luartapak.
46. Tujuan utama mitigasi akibat kecelakaan di Lapisan 4 adalah proteksi sungkup. Pada
desain sebagian besar reaktor terdapat struktur sungkup yang yang tahan terhadap
tekanan, dengan batas-batas desain mengenai bocoran yang diperbolehkan pada
tekanan tertentu yang ketat. Fungsi-fungsi yang melindungi sungkup, seperti
pendinginan sungkup dan pengendalian penetrasi, pada umumnya didesain dan
dianalisis menggunakan standar yang konservatifismenya sama dengan sistem
keselamatan rekayasa. Desain yang demikian memberikan kemungkinan untuk
menjaga fungsi sungkup agar tetap efektif pada kondisikondisi reaktor yang parah.
Tindakan-tindakan khusus dalam manajemen kecelakaan ditetapkan berdasarkan studi
keselamatan dan hasil-hasil penelitian. Tindakan-tindakan ini sepenuhnya
menggunakan kemampuan reaktor yang ada, termasuk peralatan yang tidak berkaitan
dengan keselamatan (non-safety-related) yang ada. Sebagai contoh, setiap sumber air
bersih dapat digunakan apabila terjadi kehilangan pembuangan panas akhir atau untuk
menambah air pada sisi sekunder pembangkit uap. Tindakan-tindakan dalam
manajemen kecelakaan juga dapat meliputi perubahan perangkat keras. Contohnya
adalah pemasangan system pembuangan udara sungkup yang diberi filter dan peng-
inert-an sungkup reactor air mendidih (boiling water reactor) untuk mencegah
pembakaran hidrogen dalam kondisi kecelakaan parah. Untuk tindakan-tindakan
tambahan semacam ini dapat diterapkan aturan desain tertentu secara pragmatis.1
Istilah yang digunakan bergantung pada negara dan desain reaktor: istilah-istilah
umumnya adalah "tindakan pelengkap", "prosedur kedaruratan" dan "manajemen
kecelakaan dalam-tapak". Dalam tulisan ini digunakan istilah "manajemen
kecelakaan".12
47. Peranan operator adalah vital dalam mengaktuasi peralatan perangkat keras untuk
manajemen kecelakaan dan dalam pengambilan tindakan-tindakan di luar fungsi sistem
yang dimaksudkan semula atau menggunakan sistem yang bersifat temporer atau
sementara. Persiapan staf yang memadai serta pelatihan untuk kondisi-kondisi
semacam ini merupakan prasyarat bagi manajemen kecelakaan yang efektif.
Ketentuan-ketentuan manajerial seperti program kedaruratan dalam-tapak juga
diperlukan.
Lapisan 5: Mitigasi akibat radiologis dari pelepasan eksternal bahan-bahan radioaktif yang
cukup besar
48. Bahkan apabila usaha-usaha yang dijelaskan di depan telah diperkirakan efektif dalam
membatasi akibat kecelakaan parah, adalah tidak konsisten dengan pertahanan berlapis
apabila melupakan program kedaruratan luar-tapak. Program ini mencakup fungsi
untuk mengumpulkan dan mengkaji informasi mengenai tingkat paparan yang
diperkirakan terjadi pada kondisi yang sangat tidak mungkin ini, dan tindakan-tindakan
protektif jangka pendek dan panjang yang merupakan intervensi. Pihak-pihak yang
berwenang perlu mengambil tindakan yang sesuai berdasarkan saran dari organisasi
pengoperasi dan badan pengawas.
49. Prosedur kedaruratan luar-tapak disiapkan dengan berkonsultasi dengan organisasi
pengoperasi dan pihak berwenang yang berkaitan dan harus mematuhi perjanjian-
perjanjian internasional. Program kedaruratan dalam-tapak dan luar-tapak diperiksa
dengan semestinya secara berkala untuk menjamin kesiapan organisasi-organisasi yang
terkait.
Prasyarat dasar
50. Seperti dinyatakan dalam paragraf 21, implementasi pertahanan berlapis yang efektif
memiliki beberapa prasyarat yang berlaku untuk semua tindakan yang dipertimbangkan
pada semua lapisan. Prasyarat ini adalah konservatifisme yang sesuai, jaminan kualitas
dan budaya keselamatan.
Konservatifisme
51. Konservatifisme secara luas diterapkan pada tiga lapisan pertama dari pertahanan.
Asumsi-asumsi yang konservatif diambil dalam pemilihan tapak, desain dan
konstruksi, komisioning dan operasi. Asumsi-asumsi konservatif dan margin
keselamatan yang sesuai juga dipertimbangkan di dalam reviu modifikasi, pengkajian
efek penuaan (ageing), pengkajian-ulang keselamatan berkala, dan pengembangan
program kedaruratan, juga dalam reviu pengawasan dan keputusan-keputusan
pemberian izinnya. Pada Lapisan 4 dan 5, pertimbangan estimasi terbaik menjadi lebih
penting.
Jaminan kualitas
52. Setiap lapisan pertahanan hanya dapat efektif apabila kualitas desain, bahan, struktur,
komponen dan sistem, operasi dan perawatan dapat diandalkan. Program jaminan
kualitas dapat menjamin pengembangan desain yang aman (termasuk evaluasi tapak,
desain proses dan sistem keselamatan, desain penghalang, desain 13 modifikasi dan
analisis keselamatan). Program ini juga dapat menjamin agar tujuan desain tercapai
pada reaktor ketika dibangun dan bahwa reaktor dioperasikan seperti yang dirancang
dan dirawat sebagaimana desainnya.
Budaya keselamatan
53. Organisasi dan perorangan yang terlibat dalam aktivitas yang mungkin berpengaruh
terhadap tiap lapisan pertahanan harus berpegang pada budaya keselamatan yang kuat
(lihat Safety Culture, INSAG-4 [3]). Organisasi pengoperasi dan organisasi
pemerintah, juga organisasi-organisasi yang terlibat dalam desain, pabrikasi,
konstruksi, perawatan, pengujian dan inspeksi in-service dan penanganan kedaruratan,
harus menjamin bahwa persyaratan-persyaratan yang sesuai telah dipenuhi dan bahwa
metode-metode yang sesuai telah diterapkan.14