Définition de l’AIEA

Défense en profondeur : la philosophie d’organisation

L’Agence internationale de l’énergie atomique (AIEA) définit la défense en profondeur comme une approche de sûreté multicouche dans laquelle chaque couche sert de secours aux précédentes. Aucune couche n’est considérée comme parfaite. La démonstration de sûreté repose sur l’existence de plusieurs couches indépendantes, de sorte qu’aucune défaillance unique — ni aucune combinaison de défaillances issues d’une même cause initiale — ne puisse entraîner des dommages.

La défense en profondeur s’applique à toutes les échelles :

Barrières physiques : matrice du combustible → gaine du combustible → cuve du réacteur → enceinte de confinement → bâtiment du réacteur (4-5 barrières physiques entre le combustible et l’environnement)

Systèmes de sûreté : chaque fonction (refroidissement, arrêt, alimentation électrique) est assurée par au moins 3 trains indépendants

Procédures : des procédures écrites encadrent chaque évolution ; procédures anormales et d’urgence pour tout événement de dimensionnement

Opérateurs : titulaires d’une licence, formés, qualifiés, reposés ; autorité indépendante pour initier l’arrêt

Management : culture de sûreté nucléaire, surveillance réglementaire, examens de sûreté indépendants

Réglementation : exigences de dimensionnement NRC 10 CFR 50, exploitation sous licence, inspections périodiques

Principe clé : aucun crédit pour les couches défaillantes. Si vous ne pouvez pas confirmer qu’une barrière est intacte, vous devez supposer qu’elle ne l’est pas. L’ensemble du système est conçu pour rester sûr même si un composant actif quelconque est défaillant : c’est ce qu’on appelle le critère de défaillance unique.

Redondance, Diversité et Indépendance

Trois propriétés qui rendent la défense réelle

Les systèmes de sûreté nucléaire doivent satisfaire trois propriétés distinctes. Les confondre est une erreur courante et dangereuse.

Redondance signifie disposer de plus d’un exemplaire d’une même chose. Trois groupes électrogènes diesel sont redondants. Mais s’ils partagent tous le même réservoir de carburant, la même logique de démarrage ou la même salle physique, la redondance seule ne protège pas contre une défaillance de cause commune.

Diversité signifie utiliser des principes physiques ou des équipements différents pour accomplir la même fonction. Une pompe d’injection haute pression et un accumulateur pressurisé à l’azote délivrent tous deux de l’eau au cœur, mais ils fonctionnent selon des principes entièrement différents. La diversité neutralise les modes de défaillance qui mettraient hors service toutes les copies redondantes d’une même conception.

Indépendance signifie que la défaillance d’un train ne peut ni provoquer ni empêcher le fonctionnement d’un autre. L’indépendance exige :

- Des bus d’alimentation séparés (différentes sources électriques)

- Une séparation physique (barrières, bâtiments distincts, côtés opposés du réacteur)

- Une logique d’actionnement séparée (un court-circuit dans le Train A ne peut pas désactiver le Train B)

- Une instrumentation séparée (les capteurs du Train A n’alimentent pas l’actionnement du Train B)

Défaillance de cause commune (DCC) est le scénario cauchemar : un seul événement désactive simultanément plusieurs trains redondants. Fukushima en est l’exemple emblématique : le tsunami n’a pas seulement provoqué une perte de l’alimentation électrique externe. Il a simultanément mis hors service les trois groupes électrogènes de secours parce qu’ils se trouvaient tous dans le même bâtiment en contrebas. La redondance sans indépendance n’est qu’une illusion.

Critère de défaillance unique

Le critère de défaillance unique de la NRC (10 CFR 50, Appendix A, General Design Criterion 17) stipule que les systèmes de sûreté doivent être conçus de sorte qu'aucune défaillance d'un composant actif unique n'empêche le système d'accomplir sa fonction de sûreté.

Une défaillance « active » est celle qui nécessite un changement d'état : une pompe qui ne démarre pas, une vanne qui ne s'ouvre pas.

Une défaillance « passive » (par ex. une fissure dans une tuyauterie) est traitée par des exigences de conception distinctes.

Pourquoi trois voies ?

Chaque système critique pour la sûreté : trois voies indépendantes

La règle de la triple redondance n’est pas simplement « trois est plus sûr que deux ». Il s’agit d’une exigence d’ingénierie précise avec des propriétés spécifiques.

Chaque train doit être capable d’assurer 100 % de la fonction de sûreté de manière indépendante. Si le Train A assure le refroidissement, il assure tout le refroidissement nécessaire. Les Trains B et C ne sont pas des contributeurs partiels : ils sont des sauvegardes complètes.

Les trains doivent être physiquement séparés. Bâtiments différents, ou au minimum séparés par des barrières coupe-feu. Itinéraires de câbles différents. Canalisations différentes. Si un incendie, une inondation ou une explosion affecte un train, cela ne doit pas atteindre les autres.

Les trains doivent avoir des alimentations électriques séparées. Bus électriques différents alimentés par des sources distinctes. Train A sur le Bus A, Train B sur le Bus B, Train C sur le Bus C : chaque bus avec son propre diesel de secours.

Les trains doivent avoir une logique d’actionnement séparée. Une défaillance de relais dans le circuit d’actionnement du Train A ne doit pas empêcher le Train B de s’actionner. Idéalement, ils utilisent des principes d’actionnement entièrement différents (diversité).

Pourquoi trois et non deux ? Avec trois voies, la logique de vote deux sur trois permet qu’une défaillance unique laisse encore deux voies fonctionnelles : vous respectez le critère de défaillance unique ET vous obtenez une protection contre les défaillances de cause commune. Avec deux voies, une seule défaillance ne laisse qu’une voie : aucune marge, aucune défense contre une seconde défaillance.

Diversité vs. Redondance

Considérez le système de refroidissement d’urgence du cœur d’un réacteur PWR. Une approche : trois pompes d’injection haute pression identiques, chacune alimentée par un groupe électrogène diesel distinct, dans des salles séparées.

Une deuxième approche : une pompe d’injection haute pression, plus un accumulateur pressurisé à l’azote ne nécessitant aucune alimentation électrique, plus un réservoir d’eau alimenté par gravité depuis un réservoir surélevé.

Les deux approches fournissent trois moyens d’acheminer de l’eau vers le cœur.

ECCS : la dernière ligne de défense du cœur

Systèmes de refroidissement d’urgence du cœur

L’accident de référence pour un REP est l’accident de perte de réfrigérant primaire (LOCA) : une rupture du circuit de refroidissement primaire permettant au fluide primaire de s’échapper. Un LOCA de grande taille peut découvrir le cœur en quelques secondes. Sans injection immédiate, la température des gaines dépasse 1 200 °C, le zircaloy s’oxyde et des dommages au combustible apparaissent.

L’ECCS d’un REP typique comprend quatre sous-systèmes, chacun intervenant à une phase différente de l’accident :

Système d’injection à haute pression (HPIS) : S’active immédiatement en cas de faible pression du caloporteur du réacteur ou de haute pression dans l’enceinte. Injecte de l’eau borée dans le circuit de refroidissement du réacteur alors que la pression est encore élevée (supérieure à environ 200 psi). Utilise des pompes entraînées par moteur alimentées par les diesels de secours. Débit : 500-1 500 gpm selon la conception.

Accumulateurs (également appelés réservoirs d’inondation du cœur) : Réservoirs passifs sous pression d’azote contenant de l’eau borée. Ils s’injectent automatiquement lorsque la pression du caloporteur du réacteur descend en dessous de la pression d’azote (généralement 600-700 psi). Aucun besoin d’alimentation électrique : la pression d’azote propulse l’eau dans le cœur. Chaque accumulateur contient environ 1 000 gallons.

Système d’injection à basse pression (LPIS) : S’active à basse pression (<200 psi). Fournit des débits élevés (plusieurs milliers de gpm) pour les ruptures importantes du circuit primaire. Une fois le réservoir d’eau de refroidissement de secours (RWST) vidé, le système passe en recirculation de puisard : recirculation de l’eau du puisard de l’enceinte vers le cœur. Doit fonctionner pendant plusieurs semaines (évacuation de la puissance résiduelle).

Système d’évacuation de la chaleur résiduelle (RHR) : Aussi appelé système d’évacuation de la puissance de décroissance. Objectif principal : évacuer la puissance résiduelle après que le réacteur a atteint l’arrêt à froid. Fonctionne à basse pression et basse température, en faisant circuler le caloporteur à travers des échangeurs de chaleur. Assure également la fonction d’injection à basse pression.

Systèmes de pulvérisation du cœur des REB : Les réacteurs à eau bouillante utilisent des buses de pulvérisation du cœur au-dessus du combustible qui pulvérisent de l’eau directement sur les assemblages de combustible : une géométrie différente de l’inondation des REP.

Courbe de puissance résiduelle

La courbe de puissance résiduelle est l’un des paramètres les plus importants en sûreté nucléaire. Après l’arrêt du réacteur :

- t = 0 seconde : environ 7 % de la puissance nominale (240 MW pour un réacteur de 3 400 MW)

- t = 1 minute : environ 3,5 %

- t = 1 heure : environ 1 % (environ 34 MW)

- t = 1 jour : environ 0,3 % (environ 10 MW)

- t = 1 semaine : ~0,1 %

- t = 1 an : le combustible continue de produire une chaleur mesurable provenant des isotopes à longue durée de vie

Dix mégawatts de chaleur, maintenus indéfiniment, sans électricité pour faire fonctionner les pompes de refroidissement. C’était exactement la situation à Fukushima Daiichi le 11 mars 2011.

ECCS passive : Conception AP1000

Nouvelle génération : Sécurité passive

Le Westinghouse AP1000 (Advanced Passive 1000 MWe) tire les leçons des systèmes ECCS actifs et inverse la philosophie de conception : au lieu de trois trains de pompes nécessitant de l'électricité, toutes les fonctions de sûreté reposent sur la gravité, la circulation naturelle, le gaz comprimé et l'évaporation.

Réservoirs de remplissage du cœur (CMT) : Deux grands réservoirs d'eau borée froide situés au-dessus du réacteur. Normalement isolés. Lors de l'actionnement, ils se vident par gravité dans le circuit de refroidissement du réacteur. Chaque réservoir contient suffisamment d'eau pour maintenir le cœur couvert pendant plusieurs heures.

Accumulateurs : Identiques aux centrales conventionnelles : injection passive sous pression d’azote.

Réservoir de stockage d’eau de refroidissement de rechargement dans l’enceinte (IRWST) : Grand bassin d’eau situé à l’intérieur du bâtiment du confinement, au-dessus du réacteur. Alimentation par gravité. Assure le refroidissement à long terme après vidange des CMT. Aucun pompe. Aucune alimentation électrique.

Échangeurs de chaleur passifs de refroidissement de la puissance résiduelle (PRHR HX) : Immergés dans l’IRWST. La circulation naturelle évacue la chaleur de décroissance du réacteur vers l’eau de l’IRWST, qui s’échauffe, se vaporise et s’évacue vers l’atmosphère par une cheminée. Aucune pompe. Entièrement passif.

Fenêtre de 72 heures : La démonstration de sûreté de l’AP1000 montre 72 heures de refroidissement du cœur sans action d’opérateur ni alimentation électrique. Après 72 heures, les opérateurs peuvent réalimenter l’IRWST avec de l’eau provenant de n’importe quelle source.

Cette diversité de conception : passive vs. active : explique pourquoi la diversité est essentielle. Les systèmes de sûreté de l’AP1000 ne peuvent pas être neutralisés par le mode de défaillance qui a détruit Fukushima.

[TITLE containment/]

Dernière barrière physique

Enceinte de confinement : la dernière frontière

Si tous les autres systèmes de sûreté échouent et que le combustible est endommagé, l’enceinte de confinement est la dernière barrière entre les matières radioactives et le public. Elle doit résister : à la pression interne de la vapeur, à la combustion de l’hydrogène, aux impacts de missiles provenant d’équipements défaillants, et ce aussi longtemps que nécessaire.

Enceinte sèche REP : Structure en béton armé doublée d’acier, d’un diamètre typique de 140 pieds et d’une hauteur de 200 pieds. Conçue pour contenir la pression de vapeur résultant d’une rupture complète en double cisaillement du plus gros tuyau du circuit primaire (pression de dimensionnement ~60 psi). La doublure en acier constitue la barrière de pression ; le béton assure la résistance structurelle et le blindage biologique.

Containment à condenseur de glace : Conception de confinement de REP plus petite et à plus basse pression (utilisée dans certaines centrales Westinghouse) qui emploie des centaines de tonnes de glace pour absorber l’énergie de la vapeur et maintenir une faible pression dans l’enceinte en cas d’ACRP. Cela permet une structure plus petite et moins coûteuse, mais nécessite un entretien périodique de la glace.

Double confinement : Certains designs placent une enceinte intérieure en acier à l’intérieur d’un bâtiment de confinement secondaire en béton. L’espace entre les deux est maintenu à une légère dépression afin que toute fuite de l’enceinte intérieure soit collectée et filtrée avant rejet.

Confinement REB : Mark I, II, III : Les confinements des REB de General Electric sont plus compacts car ils utilisent une piscine de suppression de pression (torus ou wetwell) pour condenser rapidement la vapeur. Le Mark I (conception de Fukushima) est un arrangement drywell-torus : le torus est une grande piscine d’eau en forme de donut située sous le drywell. Un point faible : le torus est fixé au bas du drywell. Si le torus cède, le confinement cède. C’est exactement ce qui s’est produit à l’unité 1 de Fukushima.

Recombineurs autocatalytiques passifs (PAR) : Après Fukushima, la plupart des confinements incluent désormais des PAR : dispositifs contenant un matériau catalytique (palladium ou platine) qui fait réagir l’hydrogène avec l’oxygène pour former de l’eau, sans inflammation, à faibles concentrations. Cela empêche l’accumulation d’hydrogène pouvant provoquer une déflagration ou une détonation.

Ventage filtré de l’enceinte : Exigence post-Fukushima en Europe et de plus en plus aux États-Unis : un circuit de ventilation renforcé équipé d’un système de filtration multi-étages (scrubber venturi + filtre à fibres métalliques) permettant aux opérateurs de purger volontairement l’enceinte tout en retenant plus de 99,9 % de la radioactivité particulaire. Cela évite la rupture incontrôlée de l’enceinte par surpression.

Base de conception et au-delà de la base de conception

Ce pour quoi l’enceinte est conçue

Accidents de base de conception (DBA) : la NRC exige que l’enceinte résiste à n’importe lequel de ces scénarios simultanément :

- Rupture importante de circuit primaire (LOCA) : sectionnement complet de la plus grande tuyauterie du circuit primaire, rejet maximal de fluide caloporteur

- Perte des alimentations électriques extérieures (LOOP) concomitante à la LOCA : absence d’alimentation réseau au moment où elle est le plus nécessaire

- Rupture de la ligne de vapeur principale : libération de vapeur à haute énergie à l’intérieur de l’enceinte

- Accident de manutention du combustible : chute d’un assemblage combustible, libération de produits de fission du combustible endommagé

Accidents hors dimensionnement (BDBA) : après le 11-Septembre et après Fukushima, les centrales doivent également traiter :

- Perte totale de source électrique (SBO) : perte prolongée de toute alimentation électrique en courant alternatif (exigence post-TMI, renforcée après Fukushima)

- Inondation au-delà du dimensionnement : Fukushima a montré que les hauteurs d’inondation de dimensionnement étaient trop faibles

- Impact d’aéronef : la NRC exige, depuis le 11-Septembre, une analyse d’impact délibéré d’aéronef ; les nouvelles centrales doivent démontrer leur résistance structurelle

- Perte de refroidissement de la piscine de stockage du combustible : la piscine de la tranche 4 de Fukushima a failli s’assécher par ébullition ; des exigences post-Fukushima ont ajouté des connexions dédiées d’appoint en eau de la piscine

Vulnérabilité du Mark I

Les tranches 1, 2 et 3 de Fukushima Daiichi étaient toutes équipées d’enceintes de confinement General Electric Mark I. Le Mark I utilise une drywell (une enceinte en acier en forme d’ampoule entourant le réacteur) reliée à une piscine de suppression toroïdale (le torus) par des downcomers. La vapeur provenant de la drywell est dirigée dans l’eau du torus pour être condensée.

Pendant l’accident, le torus de la tranche 2 est supposé avoir été endommagé, permettant aux produits de fission de s’échapper directement vers le bâtiment réacteur puis vers l’atmosphère sans passer par l’intégralité de la barrière de confinement.

Systèmes d’arrêt

Contrôle de réactivité : trois voies indépendantes d’arrêt

Un réacteur doit pouvoir s’arrêter et rester arrêté dans toutes les conditions. Aucune défaillance unique ne doit pouvoir empêcher l’arrêt. Le critère général de conception (GDC 26) exige deux systèmes indépendants de contrôle de réactivité, chacun capable de maintenir le réacteur sous-critique.

Mécanismes d'entraînement des barres de commande (CRDM) :

- CRDM à vérin magnétique des REP : Les barres de commande sont maintenues en position haute par des électroaimants. En cas de perte de puissance (signal SCRAM ou perte d'alimentation), les aimants se désactivent et les barres tombent par gravité dans le cœur. Conception à sécurité intrinsèque : une alimentation est nécessaire pour maintenir les barres SORTIES. Perte de puissance = insertion automatique.

- CRDM hydrauliques des REB : Les barres sont insérées par le bas grâce à de l'eau sous haute pression. L'insertion d'urgence utilise de l'azote sous haute pression pour enfoncer rapidement les barres. Certains réacteurs REB disposent également d'une alimentation électrique de secours pour l'insertion des barres.

Insertion alternative des barres (ARI) : Un circuit électrique distinct et diversifié qui permet d'insérer les barres de commande indépendamment de la logique SCRAM normale. Utilisé en cas de défaillance du circuit SCRAM normal.

Transitoire attendu sans SCRAM (ATWS) : Scénario réglementaire dans lequel les barres de commande ne s'insèrent pas sur demande. Les systèmes d'atténuation des ATWS (ATWS-MF) assurent une injection de bore indépendante du SCRAM normal : généralement une injection automatique de bore sous haute pression déclenchée par un jeu de capteurs distinct.

Borication d'urgence :

- Injection de bore haute pression depuis un réservoir séparé (distinct du circuit de charge normal)

- Borication d'urgence via les lignes d'injection de bore du système d'injection de sécurité (ECCS)

- Borication manuelle depuis les réservoirs d'acide borique

Conceptions passives : réacteur CANDU : Le CANDU dispose de deux systèmes d'arrêt complètement indépendants : (1) des barres d'arrêt mécaniques qui tombent par gravité, et (2) une injection haute pression de solution de nitrate de gadolinium dans le modérateur : un circuit physique séparé. Ces systèmes sont indépendants en tous points : logique d'actionnement différente, systèmes physiques différents, principes différents.

Analyse ATWS

Lors d'un test en 1979 à Three Mile Island Unité 2, une erreur de maintenance a empêché le déclenchement d'un arrêt automatique du réacteur (SCRAM). L'événement a été rapidement maîtrisé, mais il a conduit la NRC à exiger des systèmes d'atténuation des ATWS dans toutes les centrales : car des systèmes « impossibles à faire échouer » avaient, en réalité, échoué.

Un événement ATWS dans un REP : la puissance du réacteur augmente brusquement. Les barres de commande ne s'insèrent pas. La boration d'urgence est la dernière ligne de défense.

Architecture électrique à trois couches

Alimentation électrique de la centrale nucléaire : trois couches indépendantes

Une centrale nucléaire doit maintenir l’alimentation de ses systèmes de sûreté quels que soient les événements affectant le réseau ou ses propres équipements de production. L’architecture électrique comprend trois couches :

Couche 1 : Fonctionnement normal : La centrale produit son propre courant à partir du turbo-alternateur principal. Les charges auxiliaires (pompes, ventilateurs, commandes) sont alimentées par la production propre de la centrale via les transformateurs auxiliaires de tranche.

Couche 2 : Alimentation extérieure (source CA préférée) : Si le générateur principal se déclenche, la centrale se connecte au réseau via les transformateurs de démarrage/réserve. La NRC exige au moins deux lignes de transmission indépendantes provenant de sous-stations différentes : ainsi, une seule défaillance de transmission ne peut pas entraîner une perte totale de l’alimentation extérieure.

Couche 3 : Groupes électrogènes de secours (EDG) : Si l’alimentation extérieure est perdue, les EDG démarrent automatiquement et alimentent les bus de sécurité en moins de 10 secondes. Exigences de la NRC :

- Chaque EDG doit atteindre la tension et la fréquence nominales dans les 10 secondes suivant la réception d’un signal de démarrage

- Stockage de carburant : minimum 7 jours à pleine charge (NRC Regulatory Guide 1.9)

- Essais : essai de charge mensuel + essai d’endurance de 24 heures tous les 24 mois

- Séquence de chargement : les charges de sécurité sont connectées en séquence pour éviter une surcharge du diesel au démarrage

Batteries de station : Alimentation CC pour l’instrumentation, les panneaux de la salle de commande, l’éclairage de secours, les circuits d’actionnement SCRAM, l’actionnement ATWS et les communications. Doivent alimenter les charges pendant au moins 2 heures (Classe 1E) ; la plupart des centrales sont conçues pour 4 à 8 heures. Les chargeurs de batteries rétablissent les batteries lorsque le CA revient.

Stratégie FLEX post-Fukushima : L’ordonnance NRC EA-12-049 exige que toutes les centrales disposent de pompes et de générateurs portables pouvant être déployés dans des délais définis, quelles que soient les conditions du site. L’équipement FLEX est stocké à plusieurs endroits (certains dans des structures robustes, d’autres hors site) et peut être raccordé à des points de connexion externes durcis sur les systèmes de refroidissement du réacteur et de la piscine de combustible usé.

Exigences relatives aux groupes électrogènes diesel

Three Mile Island Unité 2, 1979 : La séquence de l’accident a commencé par un déclenchement de la turbine, suivi d’une perte d’alimentation en eau d’alimentation, puis d’une série complexe d’événements ayant conduit à des dommages au cœur. Les groupes électrogènes diesel de secours ont démarré et fonctionné correctement tout au long de l’événement.

Fukushima Daiichi, 2011 : Le séisme a provoqué un SCRAM du réacteur. Les six diesels ont démarré et fonctionné. Puis le tsunami est arrivé. Les diesels des tranches 1 à 3 se trouvaient dans des locaux en sous-sol qui ont été inondés. Le diesel de la tranche 6 était situé plus haut et a survécu. Les tranches 5 et 6 n’ont pas subi de dommages au cœur.

Système de Protection du Réacteur

Système de protection du réacteur (RPS)

Le système de protection du réacteur est le système automatique qui déclenche un SCRAM du réacteur (arrêt rapide) lorsque les paramètres surveillés dépassent les limites de sécurité. Il constitue la première défense automatique contre les transitoires.

Paramètres surveillés pouvant déclencher un SCRAM :

- Flux neutronique élevé (puissance élevée)

- Température élevée du caloporteur du réacteur

- Pression basse du caloporteur du réacteur (LOCA potentielle)

- Pression élevée dans l’enceinte de confinement

- Débit de réfrigérant du réacteur faible

- Niveau de réfrigérant élevé (REB)

- Niveau d'eau très bas (REB)

- Perte de l'alimentation électrique extérieure

- Déclenchement manuel (initié par l'opérateur)

Logique de vote : Chaque paramètre est mesuré par quatre capteurs indépendants, chacun dans un canal de protection distinct. Un SCRAM nécessite que 2 des 4 canaux dépassent le seuil. Cela signifie :

- Un capteur défectueux unique (fausse lecture haute) ne peut pas provoquer un déclenchement intempestif

- Tout dépassement du seuil par deux voies quelconques déclenche le trip

- Une seule voie défaillante (lecture faussement basse) laisse trois voies, toujours capable de fonctionner en 2-of-3

Système d’actionnement diversifié et dédié (DDAS) : Les systèmes RPS numériques modernes disposent d’une sauvegarde analogique : le DDAS, capable d’initier les fonctions de sûreté indépendamment de l’I&C numérique. Cela assure la diversité : les systèmes numérique et analogique peuvent tomber en panne pour des raisons totalement différentes, et une défaillance n’empêche pas l’autre de fonctionner.

Logique 2-of-4 vs 2-of-3

Le RPS utilise un vote 2-of-4 pour initier le SCRAM (quatre capteurs, deux doivent être d’accord pour déclencher le trip). Mais les capteurs individuels transmettent les informations au système d’actionnement en utilisant un vote 2-of-3 au sein de chaque train (trois mesures, deux doivent être d’accord pour actionner une fonction de sûreté spécifique comme l’ECCS).

Ce n’est pas la même chose, et comprendre la différence est important.

Dotation minimale

Supervision humaine : la couche qui pense

Les opérations d’une centrale nucléaire exigent la présence permanente de personnel titulaire d’une licence. Le NRC 10 CFR 50.54(m) définit les exigences minimales de dotation. Les équipes de conduite comprennent au minimum :

Opérateur de réacteur (RO) : titulaire d’une licence NRC (10 CFR 55). Il manœuvre directement les commandes du réacteur, le pupitre principal et les systèmes de sûreté. Il doit rester aux commandes en continu pendant les opérations à puissance.

Senior Reactor Operator (SRO) : Licence NRC supérieure. Supervise l’RO. Possède l’autorité indépendante d’initier un arrêt. Examine et approuve les actions de l’RO lors d’événements anormaux. Ne peut pas être la même personne que l’RO de quart.

Shift Supervisor (SS) : Senior SRO titulaire de la licence. Responsable de la conduite globale des opérations et de la sûreté de la centrale pendant le quart. Autorité finale sur site pour les opérations de la centrale.

Shift Technical Advisor (STA) : Exigence post-TMI (NUREG-0737). Ingénieur titulaire d’une licence affecté à chaque quart pour fournir un soutien technique indépendant lors d’événements anormaux : non distrait par les commandes, entièrement concentré sur le diagnostic de l’événement.

Pourquoi plusieurs personnes ? Défense en profondeur au niveau humain. Un RO sous stress, concentré sur l’exécution des procédures, peut manquer la vue d’ensemble. Le SRO assure une surveillance indépendante. Le STA fournit une analyse technique indépendante. Le superviseur de quart maintient la conscience de la situation. Aucune défaillance cognitive humaine isolée ne peut empêcher la sûreté de la centrale d’être assurée.

Outils de performance humaine

Réduire l’erreur humaine : outils systématiques

L’industrie nucléaire a quantifié les taux d’erreur humaine pour différents types de tâches. Les taux d’erreur pour la prise de décision complexe sous stress peuvent dépasser 1 sur 10. L’industrie vise des taux d’erreur de 1 sur 1 000 ou mieux pour les tâches critiques : et les atteint grâce à des outils systématiques de performance humaine.

Briefing pré-tâche : Avant toute tâche importante, un briefing couvre : l’objectif de la tâche, les dangers, les conditions attendues, les étapes de vérification de l’achèvement, les conditions d’arrêt (si X se produit, arrêter et appeler le superviseur). Durée : 5-15 minutes. Réduit considérablement les erreurs d’exécution.

STAR (Stop, Think, Act, Review) : Technique d’auto-vérification pour chaque action critique. Stop : pause avant l’action. Think : que vais-je faire et est-ce correct ? Act : exécuter l’action. Review : le résultat était-il celui attendu ? La pause de deux secondes permet de détecter les erreurs de transposition, les sélections de vannes incorrectes et les raccourcis cognitifs.

Communication à trois temps : Pour tous les ordres verbaux à caractère de sûreté : (1) L’initiateur énonce l’ordre : « Aligner la vanne HV-233 en position ouverte. » (2) Le destinataire répète exactement : « Aligner la vanne HV-233 en position ouverte. » (3) L’initiateur confirme : « C’est exact. » Une erreur de communication non détectée dans cet échange est inhabituelle : elle nécessite que les deux parties aient mal entendu ou mal mémorisé.

Intégrité à deux personnes : Pour certaines opérations à haut risque (liées à la sécurité, manipulation de sources), deux personnes autorisées doivent être présentes et vérifier mutuellement leurs actions. Aucune des deux personnes ne peut effectuer l’action sensible seule : la seconde personne doit être physiquement présente et confirmer chaque étape.

Gestion de la fatigue : Le NRC 10 CFR 26 établit des limites : journée de travail maximale de 16 heures, repos minimum de 8 heures avant de reprendre le service, maximum de 54 heures par semaine, maximum de 72 heures par semaine en cas d’heures supplémentaires. La fatigue altère la prise de décision aussi gravement que l’intoxication : ces limites ne sont pas des recommandations de productivité, ce sont des exigences de sûreté.

Procédures d’exploitation d’urgence

Avant Three Mile Island (1979), les centrales nucléaires utilisaient des procédures d’urgence basées sur l’événement : si l’événement X survient, exécuter la procédure X. Les opérateurs devaient identifier correctement l’événement avant d’agir.

À TMI, les opérateurs ont reçu des indications contradictoires. Une vanne de décharge de pression était bloquée ouverte : il s’agissait d’une brèche de petite taille (LOCA) ; mais les opérateurs ont mal identifié l’événement et ont suivi la mauvaise procédure. Au moment où le diagnostic correct a été établi, des dommages importants au cœur s’étaient déjà produits.

Après TMI, l’industrie a développé des procédures d’exploitation d’urgence (EOP) fondées sur les symptômes. Au lieu de « identifier l’événement, sélectionner la procédure », les opérateurs suivent : « observer les symptômes, prendre les actions de protection pour ces symptômes, quelle que soit l’idée que vous vous faites de l’événement ».

La condition d’entrée clé fondée sur les symptômes : tout changement inattendu du niveau, de la pression ou de la température du caloporteur du réacteur, quelle qu’en soit la cause, déclenche la même séquence de vérification du refroidissement du cœur.

ALARA : As Low As Reasonably Achievable

Ingénierie de la protection contre les rayonnements

ALARA : As Low As Reasonably Achievable : n’est pas simplement une limite de dose. C’est une philosophie : la dose doit être réduite autant que possible, et non seulement maintenue en dessous des limites légales. La NRC impose ALARA comme exigence réglementaire (10 CFR 20.1101), et non comme simple bonne pratique.

Gestion de la dose externe : les trois contrôles classiques :

- Temps : Réduire de moitié le temps passé dans le champ de rayonnement réduit de moitié la dose. Des séquences de travail préplanifiées minimisent le temps inutile dans les zones à forte dose.

- Distance : Le débit de dose suit la loi du carré inverse. Doubler la distance par rapport à une source ponctuelle réduit le débit de dose au quart. Travailler à six pieds au lieu de trois pieds réduit la dose de 75 %.

- Blindage : Le plomb, le béton, l’eau et le polyéthylène atténuent différents types de rayonnements. La couche de demi-atténuation (HVL) est l’épaisseur qui réduit l’intensité de moitié. HVL du plomb pour les gamma typiques : ~1 cm. HVL du béton : ~6 cm. Après dix HVL (10 TVL = couche de dixième valeur), l’intensité est réduite à 1/1 000 de la valeur initiale.

Gestion de la dose interne :

- La matière radioactive à l’intérieur du corps continue d’irradier les organes jusqu’à sa désintégration ou son excrétion

- Voies d’exposition : inhalation (aérosols, gaz), ingestion (aliments/eau contaminés), absorption cutanée (rare)

- Concentration dérivée dans l’air (DAC) : concentration atmosphérique d’un radionucléide qui, si inhalée pendant 2 000 heures/an, délivre la limite de dose professionnelle. Les respirateurs et les enceintes à pression négative préviennent la dose par inhalation.

- Annual Limit on Intake (ALI) : quantité totale ingérée (inhalation + ingestion) qui délivre la limite de dose professionnelle

Limites de dose professionnelle (10 CFR 20) :

- 5 rem (50 mSv) par an en dose efficace totale

- 3 rem (30 mSv) par trimestre

- 15 rem (150 mSv) par an pour le cristallin

- 50 rem (500 mSv) par an pour la peau ou les extrémités

- Contrainte de dose pour la planification ALARA : 2 rem/an (les limites administratives spécifiques à l’installation sont souvent plus basses)

Contrôle de la contamination :

- Les Zones Contrôlées Radiologiquement (RCA) ont un accès contrôlé, avec contrôle de sortie par frisking

- Tapis de sortie (step-off pads) : papier ou plastique aux sorties des RCA ; changer les couvre-chaussures ici pour éviter de propager la contamination

- Comptage du corps entier : après un travail dans des zones présentant un risque de contamination interne, les comptages gamma du corps entier permettent de détecter une incorporation interne

- Programmes de bioanalyse : analyses d’urine et de selles pour quantifier la dose interne due à des isotopes spécifiques

ALARA en pratique

Un travailleur en radioprotection doit remplacer une vanne dans une zone à rayonnement élevé. Le débit de dose à l’emplacement de la vanne est de 500 mrem/heure. La tâche nécessite 30 minutes pour être terminée. La dose annuelle reçue par le travailleur à ce jour est de 1 200 mrem, contre une limite administrative de l’installation de 2 000 mrem/an.

En appliquant les principes ALARA et les trois moyens de contrôle, évaluez si cette tâche peut être réalisée et identifiez au moins deux actions concrètes pour réduire la dose.

Three Mile Island (1979)

Three Mile Island Unité 2 : 28 mars 1979

TMI n’était pas une défaillance de conception : c’était une défaillance des lignes de défense en profondeur au niveau humain et procédural.

Ce qui s’est passé :

- Un déclenchement de turbine a provoqué un SCRAM du réacteur (automatique : a fonctionné correctement)

- Une soupape de décharge de pression (PORV) s’est ouverte (correct) mais est restée ouverte (panne d’équipement)

- Un indicateur en salle de commande montrait uniquement que la soupape avait reçu un signal de fermeture : pas qu’elle était réellement fermée

- Le caloporteur s’est échappé par la PORV bloquée ouverte. La pression et la température dans le réacteur ont chuté

- Les opérateurs ont mal interprété les symptômes comme un excès de caloporteur et ont réduit l’injection de refroidissement d’urgence : l’inverse de ce qui était nécessaire

- Pendant plus de deux heures, le cœur du réacteur a été partiellement découvert

- Environ la moitié du cœur a fondu

Ce que l’enceinte de confinement a fait : Elle a tenu. Malgré de graves dommages au cœur et une accumulation d’hydrogène à l’intérieur de l’enceinte, la structure de confinement a retenu essentiellement tous les produits de fission. Les conséquences dosimétriques hors site ont été mineures : aucun effet sanitaire sur le public dû aux rayonnements.

Améliorations post-TMI (NUREG-0737) :

- Procédures d'exploitation d'urgence (EOP) basées sur les symptômes (remplaçant les procédures basées sur les événements)

- Conseillers techniques de quart sur chaque équipe

- Simulateurs pleine échelle certifiés par la NRC pour la formation des équipes

- Instrumentation de surveillance post-accident (PAM) : indicateurs directs de refroidissement du cœur, panneau d'affichage qualifié sur alimentation indépendante du CA

- Normes révisées de conception des salles de commande (NUREG-0700)

- Exigences améliorées pour les examens de licence des opérateurs

Tchernobyl (1986)

Unité 4 de Tchernobyl : 26 avril 1986

Tchernobyl était différent par nature de TMI : il s’agissait principalement d’un défaut de conception combiné à des contournements délibérés des systèmes de sécurité.

Ce qui s’est passé :

- Un essai de stabilité de tension a nécessité de faire fonctionner le réacteur à faible puissance (~200 MW, contre 3 200 MW nominal)

- À faible puissance, le réacteur RBMK présentait un coefficient de vide positif : les bulles de vapeur dans le caloporteur augmentaient la réactivité

- Les barres de commande présentaient un défaut de conception : les embouts en graphite déplaçaient l’eau lors de leur insertion initiale, provoquant une augmentation temporaire de la réactivité avant que la partie absorbante n’entre dans le cœur

- Le test a été retardé ; l’équipe de nuit n’était pas formée pour le réaliser

- Plusieurs systèmes de sécurité ont été intentionnellement désactivés pour réaliser le test

- En appuyant sur le bouton d’arrêt d’urgence (AZ-5), les embouts en graphite des barres ont provoqué une augmentation de réactivité au lieu du SCRAM prévu

- La puissance a atteint 30 000 MW en quelques secondes : environ 10 fois la puissance nominale

- Le combustible et le caloporteur se sont instantanément vaporisés, provoquant une explosion de vapeur qui a détruit le réacteur

- L’incendie de graphite a brûlé pendant 10 jours, dispersant les produits de fission à travers l’Europe

Absence d’enceinte de confinement : Le RBMK ne disposait pas d’une enceinte de confinement complète. Le réacteur se trouvait dans un grand bâtiment industriel sans capacité de rétention de pression. Lorsque le réacteur a été détruit, il n’y avait aucune dernière barrière.

Changements post-Tchernobyl :

- Modifications de conception des RBMK : suppression du coefficient de vide positif à faible puissance, refonte des embouts de barres, ajout d’absorbeurs de neutrons supplémentaires

- Renforcement des conventions internationales de sûreté nucléaire

- Formalisation du concept de culture de sûreté nucléaire par l’AIEA (INSAG-7)

- Accent réglementaire occidental sur le confinement comme exigence non négociable

Trois accidents, trois leçons

Vous connaissez désormais les trois principaux accidents nucléaires civils : TMI (1979), Tchernobyl (1986) et Fukushima (2011). Chacun a révélé un type différent de défaillance des lignes de défense en profondeur.

Quantifier le risque

PRA : Passer de « suffisamment sûr » à « combien sûr ? »

L’analyse de sûreté déterministe dit : concevoir l’installation pour qu’elle résiste à ces accidents spécifiques. L’évaluation probabiliste des risques (PRA) pose une question différente : compte tenu de toutes les façons dont les choses peuvent mal tourner, quelle est la probabilité qu’elles se produisent réellement ?

Fréquence de fusion du cœur (CDF) : Probabilité qu’un cœur de réacteur subisse des dommages importants au cours d’une année donnée. Objectif de sûreté de la NRC : CDF < 1×10⁻⁴ par année-réacteur (une fois tous les 10 000 années-réacteur). Les centrales modernes atteignent généralement une CDF < 1×10⁻⁵ (une fois tous les 100 000 années-réacteur).

Fréquence de rejet précoce important (LERF) : Probabilité d’un rejet important et précoce de radioactivité dans l’environnement (avant que l’évacuation puisse être achevée). Objectif de sûreté de la NRC : LERF < 1×10⁻⁵ par année-réacteur.

Arbres de défaillances : Diagrammes logiques graphiques montrant les combinaisons de défaillances de composants qui conduisent à un événement de tête défini (par ex. « le système d’injection de secours ne parvient pas à fournir de l’eau au cœur »). Utilisent des portes ET (toutes doivent défaillir) et des portes OU (une seule défaillance suffit). Les portes ET réduisent la probabilité (nécessitent plusieurs défaillances simultanées). Les portes OU augmentent la probabilité.

Arbres d’événements : Diagrammes graphiques qui partent d’un événement initiateur (par ex. « rupture importante de circuit primaire survient ») et suivent les conséquences selon que les systèmes de sûreté réussissent ou échouent. Chaque branche représente le succès ou l’échec d’une fonction de sûreté. Les nœuds terminaux sont des séquences d’accident : arrêt sûr, endommagement du cœur, rejet important.

Mesures d’importance : L’APS identifie quels composants et systèmes contribuent le plus au risque.

- Importance de Fussel-Vesely (FV) : fraction de la CDF due aux défaillances d’un composant. FV élevé = ce composant est très important.

- Risk Achievement Worth (RAW) : facteur d’augmentation de la CDF si ce composant est supposé défaillant. RAW élevé = ce composant ne doit pas rester hors service longtemps.

Le RAW guide la planification de la maintenance et des essais : les composants à RAW élevé font l’objet d’essais fréquents et de durées d’indisponibilité autorisées courtes.

PRA et planification de la maintenance

Une centrale nucléaire possède trois groupes électrogènes de secours (A, B, C). L’analyse PRA montre :

- CDF avec les trois groupes opérationnels : 2×10⁻⁵ par an

- CDF avec le groupe A indisponible pour maintenance : 8×10⁻⁵ par an (augmentation ×4)

- CDF avec les groupes A et B simultanément indisponibles : 4×10⁻³ par an (augmentation ×200)

L’équipe de maintenance souhaite mettre les groupes A et B hors service simultanément pour une révision majeure d’une durée de 30 jours.

Combustible usé : l’obligation à long terme

Combustible épuisé : gestion active et passive

Lorsque le combustible est retiré du réacteur après 3 à 5 ans d'exploitation, il est fortement radioactif et thermiquement chaud en raison de la chaleur de désintégration. La même courbe de chaleur de désintégration s'applique : 7 % de la puissance nominale immédiatement, puis décroissance sur plusieurs années.

Piscines de combustible usé (SFP) : Immédiatement après le retrait, les assemblages de combustible usé sont placés dans une piscine de combustible usé : un bassin rempli d'eau, généralement profond de 40 pieds, adjacent au bâtiment du réacteur. L'eau remplit deux fonctions : refroidissement et blindage (l'eau au-dessus du combustible absorbe les rayonnements, permettant aux travailleurs sur le pont de la piscine de recevoir de faibles doses).

Durée minimale de refroidissement en piscine avant entreposage à sec : Environ 5 ans pour le combustible REP. Le combustible doit refroidir jusqu'au point où le refroidissement passif par air dans un conteneur sec peut évacuer la chaleur de désintégration résiduelle sans eau.

Risque d'incendie de zircaloy : Si les assemblages de combustible usé sont découverts (perte d'eau de la piscine), le gainage en zircaloy peut s'oxyder dans l'air à haute température. Contrairement à la réaction zircaloy-vapeur qui produit de l'hydrogène, l'oxydation zircaloy-air à température rouge peut entretenir un incendie de zircaloy : une réaction exothermique auto-entretenue. La piscine de combustible usé de l'unité 4 de Fukushima était à quelques jours d'atteindre les températures où cela aurait pu se produire.

Exigences SFP post-Fukushima (NRC Order EA-12-051) :

- Instrumentation fiable pour le niveau d’eau et la température du SFP

- Capacité d’ajouter de l’eau de maquillage au SFP depuis des sources diverses

- Stratégies pour maintenir ou restaurer le refroidissement du SFP en cas de perte prolongée d’alimentation électrique

Stockage en conteneurs secs : Après 5 ans ou plus dans la piscine, le combustible est transféré dans des conteneurs secs : des cylindres en acier soudé entourés d’un blindage en béton ou en polyéthylène haute densité. Le refroidissement est entièrement passif : convection naturelle de l’air par des évents dans la structure extérieure. Aucune alimentation électrique requise. Durée de vie de conception : plus de 100 ans. Actuellement plus de 90 000 tonnes métriques de métal lourd sont stockées en conteneurs secs aux États-Unis uniquement.

Élimination des déchets de haute activité : Le combustible usé est classé comme déchet nucléaire de haute activité. La loi américaine (Nuclear Waste Policy Act) désigne Yucca Mountain, Nevada comme le dépôt permanent : mais il n’a pas été ouvert en raison de l’opposition politique. La NRC exige qu’un dépôt assure 10 000 ans de confinement (norme EPA : 1 million d’années pour les doses au-delà de 10 000 ans). L’élimination géologique profonde utilise la formation rocheuse elle-même comme barrière principale, avec des barrières techniques (vitrification dans du verre, conteneurs métalliques, argile bentonite) comme couches supplémentaires.

Déchets de faible activité (LLW) : Vêtements contaminés, outils, filtres, résines. Trois classes NRC :

- Classe A : activité la plus faible, isotopes à vie la plus courte. Enfouissement peu profond, exigence d’isolement de 100 ans

- Classe B : activité modérée. Enfouissement peu profond avec isolement de 300 ans

- Classe C : activité plus élevée, isotopes à vie plus longue. Nécessite un isolement de 500 ans ; élimination en surface avec des barrières techniques renforcées

Les techniques de réduction de volume (incinération, compactage, fusion) sont obligatoires pour minimiser l’espace de stockage

Dry Cask Safety Case

Un critique affirme que le stockage en conteneurs secs est dangereux car les conteneurs n’ont pas de refroidissement actif, pas de connexions électriques et reposent à l’extérieur sur des dalles en béton. Un ingénieur nucléaire répond que les conteneurs secs peuvent en réalité être plus sûrs que la piscine de stockage du combustible usé.

Défense en profondeur : la vue d’ensemble

Ingénierie de sûreté nucléaire : une discipline systémique

Vous avez maintenant étudié chaque couche de l’ingénierie de sûreté nucléaire. Reculez et observez le système :

Les barrières physiques (matrice du combustible, gaine, cuve sous pression, enceinte de confinement) sont passives : elles ne nécessitent aucune action pour fonctionner. Elles constituent la base.

Les systèmes de sûreté (ECCS, RPS, EDG, DDAS) sont actifs avec des secours passifs (accumulateurs, réservoirs gravitaires, batteries). Chaque fonction dispose de trois voies indépendantes. Chaque voie est 100 % capable. Les approches active et passive sont diversifiées.

Instrumentation (RPS, ECCS actuation, PAM) surveille des dizaines de paramètres avec une logique de vote 2 sur 4 : résistante aux déclenchements intempestifs et aux défaillances de capteurs qui empêcheraient le déclenchement.

Procédures (EOP fondées sur les symptômes) guident les opérateurs vers des actions de protection sans exiger un diagnostic correct. Post-TMI. Essentielles.

Facteurs humains (effectifs, formation, outils de performance humaine, limites de fatigue) réduisent la probabilité de défaillance de la couche humaine. Exigence STA post-TMI. Formation sur simulateur. Briefings pré-tâche. STAR. Communication à trois voies.

Gestion et culture de sûreté garantissent que la sûreté n’est pas sacrifiée au profit de l’efficacité. Post-Tchernobyl INSAG-7. La leçon de Tchernobyl est que les systèmes de sûreté désactivés par la gestion sont des systèmes de sûreté qui n’existent pas.

Réglementation (NRC 10 CFR 50, normes AIEA, inspections périodiques) assure une surveillance indépendante au plus haut niveau. Un organisme de réglementation qui n’inspecte pas est un organisme qui n’existe pas.

Les trois accidents majeurs ont montré que la défense en profondeur échoue non pas à cause d’une seule défaillance spectaculaire, mais à cause d’une combinaison de petites défaillances, d’hypothèses incorrectes et de marges inadéquates dans plusieurs couches simultanément. Le dossier de sûreté n’est aussi solide que sa combinaison simultanée la plus faible.

Intégration finale

Question finale : la plus difficile

Un nouveau concept de réacteur prétend être si sûr qu’il ne nécessite qu’un seul train d’ECCS (et non trois), aucun groupe électrogène de secours (refroidissement passif uniquement) et un effectif simplifié avec deux opérateurs par quart au lieu de quatre.

Le concepteur affirme : « Le refroidissement passif signifie qu’aucune puissance n’est nécessaire, donc les diesels sont inutiles. Le réacteur ne peut pas fondre physiquement, donc un effectif simplifié est justifié. »