Définissez votre mission

Section 1 : Définition de la mission

Chaque conception de réacteur commence par une mission. La mission guide toutes les décisions ultérieures.

Puissance de sortie détermine la taille du réacteur, l'inventaire de combustible et les exigences de débit de caloporteur. Un petit réacteur modulaire (SMR) de 100 MWe présente des contraintes d'ingénierie très différentes d'un réacteur à eau pressurisée de 1 200 MWe.

Localisation détermine les critères d'implantation, la source de caloporteur, l'intégration au réseau, la planification d'urgence et la base de conception sismique. Les sites fluviaux intérieurs utilisent l'eau de rivière pour le refroidissement et doivent gérer le risque d'inondation. Les sites côtiers utilisent l'eau de mer mais doivent gérer les tsunamis et les surtensions dues aux tempêtes. Les sites insulaires isolés ou hors réseau peuvent ne pas être connectés du tout à un réseau national.

Intégration au réseau vs. micro-réseau isolé change la manière dont les exigences de suivi de charge sont gérées et ce qui se passe en cas de défaillance du réseau (risque de perte de tension du site).

Durée de vie de conception affecte les limites de fatigue des matériaux, les intervalles d'inspection, les exigences de renouvellement de licence et les réserves de coûts de démantèlement. La NRC autorise actuellement les centrales pour 40 ans avec des extensions de renouvellement de 20 ans. Certains designs visent une durée de vie de 80 ans.

Profils typiques de missions :

- SMR de 300 MWe, île isolée, réseau isolé, durée de vie de 60 ans

- PWR de 1 100 MWe, site fluvial intérieur, réseau national, durée de vie de 60 ans

- EPR de 1 600 MWe, site côtier, réseau national, durée de vie de 60 ans

- 2 × 77 MWe tableau NuScale SMR, site intérieur, réseau régional, durée de vie de 40 ans

Votre déclaration de mission

Définissez la mission de votre réacteur. Celle-ci devient le fondement de chaque décision de conception qui suivra.

Analyse des compromis entre types de réacteurs

Section 2 : Sélection du type de réacteur

Cinq grands types de réacteurs commerciaux sont sérieusement envisagés aujourd’hui. Chacun possède une base physique, un cycle du combustible, un profil de sûreté et un niveau de maturité différents. Vous devez en choisir un et le défendre.

Réacteur à eau sous pression (REP)

Le type de réacteur le plus répandu dans le monde (environ 70 % des centrales en exploitation). L’eau légère (H₂O) sert à la fois de fluide caloporteur et de modérateur. La boucle primaire fonctionne à environ 155 bar / 325 °C : la haute pression maintient l’eau à l’état liquide. Un générateur de vapeur transfère la chaleur vers une boucle secondaire qui entraîne la turbine. L’eau radioactive reste confinée dans la boucle primaire.

Avantages : Des décennies d'expérience d'exploitation, fort coefficient de vide négatif (perte d'eau cause une diminution de la réactivité), bilan de sécurité prouvé, chaîne d'approvisionnement industrielle importante.

Inconvénients : Haute pression d'exploitation (nécessite des cuves sous pression à parois épaisses & pompes robustes), complexité à deux boucles, accident de perte de réfrigérant (LOCA) nécessite une réponse active du SECC.

Réacteur à eau bouillante (REB)

L'eau bout à l'intérieur de la cuve du réacteur. La vapeur va directement à la turbine. Plus simple que le REP : pas de générateur de vapeur nécessaire.

Avantages : Pression d'exploitation plus basse que le REP, conception plus simple à une boucle, cycle direct plus efficace.

Inconvénients : Vapeur radioactive va à la turbine (bâtiment de turbine est une zone de rayonnement), SECC complexe avec multiples systèmes d'injection, coefficient de vide légèrement positif à certains niveaux de puissance nécessite une conception soignée.

CANDU (Canada Deuterium Uranium)

Utilise de l'eau lourde (D₂O) comme modérateur et caloporteur. Peut utiliser du combustible à uranium naturel (pas d'enrichissement nécessaire). Caractéristique unique : rechargement en ligne : les canaux de combustible peuvent être remplacés sans arrêt.

Avantages : Pas de besoin d'enrichissement (avantage sur le coût du combustible), rechargement en ligne signifie un facteur de capacité très élevé, modérateur à eau lourde permet un cycle de combustible flexible.

Inconvénients : L'eau lourde est chère à produire (~1000 $/kg), certaines configurations ont un coefficient de vide légèrement positif dans certaines conditions nécessitant une conception de sécurité minutieuse, grande empreinte physique.

Réacteur à sels fondus (MSR)

Le combustible est dissous dans un sel fluoré ou chloré fondu. Pas de combustible solide à faire fondre : en cas d'échec de refroidissement, le sel se solidifie ou s'écoule vers un bouchon de solidification passif. Peut utiliser le cycle de combustible au thorium.

Avantages : Sûr sans intervention (écoulement passif rend la fusion physiquement impossible), fonctionne à pression atmosphérique (pas de risque de LOCA), rechargement en ligne, cycle de combustible au thorium produit beaucoup moins de déchets à vie longue.

Inconvénients : Défis des matériaux (les matériaux structurels doivent résister au sel chaud, corrosif et radioactif pendant des décennies), technologie pré-commerciale : aucun MSR n'a fonctionné commercialement, production de tritium dans les sels fluorés est un défi réglementaire.

Réacteur modulaire petit (SMR) : type NuScale/Rolls-Royce

Modules PWR fabriqués en usine ou PWR intégral, typiquement 50-300 MWe chacun. Sécurité passive reposant sur la circulation naturelle, aucune pompe requise. Plusieurs modules peuvent être combinés pour une évolutivité.

Avantages : Contrôle qualité en usine, systèmes de sécurité passive (pas de pompes, pas d'alimentation AC nécessaire pour le refroidissement), capacité évolutive, temps de construction plus court.

Inconvénients : Coût en capital par kWe plus élevé que les grandes centrales, la plupart des conceptions sont pré-commerciales ou entrent juste en opération (NuScale VOYGR certifié en 2022 mais projets annulés en 2023), chaîne d'approvisionnement pas encore développée à grande échelle.

La question clé de physique de sécurité pour tout type de réacteur :

Que se passe-t-il si la température du réfrigérant augmente ou si le réfrigérant est perdu ? Un réacteur avec un coefficient de température négatif et un coefficient de vide négatif réduira automatiquement la puissance : une réponse auto-correctrice, intrinsèquement sûre. Un réacteur avec un coefficient de vide positif (la puissance augmente lorsque le réfrigérant est perdu) nécessite des systèmes actifs pour s'arrêter en toute sécurité. C'est ce qui rendait le RBMK de Tchernobyl si dangereux.

Choisissez le type de réacteur

Examinez le diagramme de comparaison des types de réacteurs ci-dessus avant de décider.

Paramètres de conception du combustible

Section 3 : Conception du combustible

La conception du combustible détermine la quantité d’énergie obtenue, la durée de vie du combustible et le comportement en cas d’accident. Chaque paramètre interagit avec tous les autres.

Type de combustible :

- UO₂ (dioxyde d'uranium) : Le standard mondial. Pastilles céramiques, point de fusion élevé (~2850 °C), chimiquement stable, bien caractérisé. Léger inconvénient : faible conductivité thermique : accumulation de chaleur au centre de la pastille.

- MOX (oxyde mixte) : Mélange de UO₂ et PuO₂. Brûle le plutonium issu des armes ou du retraitement du combustible usé. Point de fusion légèrement inférieur à celui de l’UO₂, nécessite une installation de fabrication MOX agréée.

- TRISO (tri-structural isotrope) : Microsphères de combustible (UO₂ ou UCO) enrobées de plusieurs couches céramiques. Chaque particule constitue son propre minuscule récipient de confinement. Utilisé dans les réacteurs à gaz à haute température et certains designs avancés. Extrêmement robuste : testé à des températures très élevées sans libération.

Enrichissement :

- Uranium naturel (0,7 % U-235) : Utilisé dans les réacteurs CANDU. Aucun coût d’enrichissement, mais nécessite un modérateur à eau lourde.

- UFE 3-5 % (uranium faiblement enrichi) : Standard pour le combustible des REP et REB. Enrichi à 3-5 % d’U-235.

- HALEU 5-20 % (uranium faiblement enrichi à haute teneur) : Utilisé dans de nombreux SMR et réacteurs avancés. Un enrichissement plus élevé permet des cœurs plus petits et compacts ainsi que des cycles de combustible plus longs. Nécessite des mesures de sauvegarde supplémentaires en raison du taux d’enrichissement plus élevé.

- UHE >20 % : Interdit dans les réacteurs de puissance commerciaux.

Matériau de gainage :

- Zircaloy-4 : Gainage standard dans le monde entier. Faible absorption neutronique, bonnes propriétés mécaniques jusqu’à ~400 °C. Point faible critique : au-dessus de ~1200 °C, il réagit avec la vapeur pour produire de l’hydrogène (Zr + 2H₂O → ZrO₂ + 2H₂). C’est la source d’hydrogène à Fukushima.

- M5 (alliage Zr-Nb) : Meilleure résistance à la corrosion que le Zircaloy-4 pour les combustibles à fort taux de combustion.

- Composite SiC/SiC : Gainage de combustible tolérant aux accidents (ATF) de nouvelle génération. Tolérance aux températures beaucoup plus élevée, ne produit pas d’hydrogène en présence de vapeur. En développement actif mais pas encore utilisé commercialement à grande échelle.

Objectif de burnup :

Le combustible LWR standard atteint ~45-50 GWj/tHM (gigajours par tonne métrique de métal lourd) avant retrait. Le combustible haute performance peut atteindre 65-70 GWj/tHM. Certains designs avancés visent 100+ GWj/tHM pour des cycles prolongés. Un burnup plus élevé signifie moins d'arrêts de combustible mais nécessite de meilleures performances de gaine & un enrichissement plus élevé.

Absorbeurs burnables :

Le combustible frais est très réactif : trop réactif si vous chargez un cœur complet. Les absorbeurs burnables (oxyde de gadolinium mélangé dans les pastilles de combustible, ou IFBA : integral fuel burnable absorber, un fine couche de ZrB₂) absorbent les neutrons excédentaires au début de la vie et se consument au fur et à mesure que le combustible s'épuise, aplatissant la distribution de puissance sur le cycle.

Schéma de chargement du cœur :

- Chargement in-out : Combustible frais chargé au centre, déplacé vers l’extérieur au fur et à mesure de son épuisement. Simple mais génère des pics de puissance élevés au centre.

- Chargement à faible fuite : Combustible frais placé à la périphérie du cœur, combustible épuisé au centre. Réduit les fuites de neutrons (meilleure économie de combustible) et diminue la fluence sur la cuve du réacteur. Pratique standard des REP modernes.

Spécifiez votre conception de combustible

Considérez comment vos choix de combustible interagissent avec votre type de réacteur et votre mission. Un concepteur de CANDU n’a pas besoin d’enrichissement. Un concepteur de SMR peut choisir l’HALEU pour un cœur compact. Un concepteur de REP doit traiter le gainage et le risque de production d’hydrogène.

Conception du réfrigérant et du modérateur

Section 4 : Compatibilité du réfrigérant & du modérateur

Votre réfrigérant, modérateur, combustible, & gaine doivent être chimiquement & physiquement compatibles. Une incompatibilité crée soit un problème de sûreté, soit une conception impossible.

Eau légère (H₂O) : REP, REB, SMR :

Le meilleur modérateur par unité de volume. Excellent fluide caloporteur également. Fonctionne à haute pression (REP : ~155 bar, REB : ~70 bar). Danger principal : à haute température, elle se transforme en vapeur (perte simultanée de modération et de refroidissement : scénario d'APRP). Le contrôle chimique est essentiel : pH, oxygène dissous, injection de zinc influencent tous les taux de corrosion des matériaux de structure. Le gainage en Zircaloy est compatible jusqu’à ~400 °C en fonctionnement normal.

Eau lourde (D₂O) : CANDU :

Excellent modérateur avec une absorption neutronique bien inférieure à celle de H₂O : c’est pourquoi le CANDU peut fonctionner à l’uranium naturel. Fonctionne à ~100 bar dans des tubes de force. L’eau lourde coûte environ 1000 $/kg à produire (via le procédé Girdler-Sulfide ou autre séparation isotopique). La production de tritium par D + n → T constitue un défi opérationnel : le tritium est un émetteur bêta et doit être géré. Chimie : similaire à celle de l’eau légère, mais avec des considérations différentes sur les isotopes de l’oxygène.

Graphite : RBMK, HTGR :

Le RBMK utilisait du graphite comme modérateur avec de l’eau comme fluide caloporteur : une combinaison dangereuse en raison du coefficient de vide positif. Le HTGR (réacteur à haute température refroidi par gaz) utilise du graphite comme modérateur avec de l’hélium comme fluide caloporteur : une combinaison sûre car le graphite ne contribue pas à un coefficient de vide positif avec un gaz. Le graphite peut également présenter un risque d’incendie s’il atteint de très hautes températures à l’air : ce fut un facteur dans l’incendie de Windscale en 1957.

Sel fondu : RSM :

Le sel sert à la fois de vecteur de combustible et de caloporteur. Aucun modérateur séparé n’est nécessaire (sauf dans les RSM thermiques qui peuvent inclure du graphite). Fonctionne à pression atmosphérique : aucun risque de LOCA haute pression. Défis principaux : les sels fluorés sont très corrosifs pour les métaux de structure, les sels chlorés peuvent s’activer sous flux neutronique. Les matériaux doivent résister à des décennies d’exposition. Le bouchon de congélation : un bouchon de sel gelé refroidi par un petit ventilateur ; il fond en cas de perte d’alimentation, vidangeant le combustible vers une géométrie sous-critique. Il s’agit d’une caractéristique de sûreté passive.

Sodium : Réacteur rapide (RNR-Na) :

Le sodium liquide est un excellent caloporteur pour les réacteurs rapides. Très haute conductivité thermique, fonctionne à pression atmosphérique, la circulation naturelle est efficace. Danger majeur : le sodium brûle violemment au contact de l’air et réagit de façon explosive avec l’eau. Tous les systèmes sodium nécessitent des échangeurs de chaleur à double paroi et une atmosphère inerte. Un incendie de sodium a constitué un incident majeur à Monju (Japon) et Superphénix (France).

Matrice de compatibilité (ce qui doit fonctionner ensemble) :

- La chimie du caloporteur ne doit pas corroder la gaine sous irradiation

- Le modérateur doit être compatible avec le caloporteur (l’eau lourde et l’eau légère sont compatibles ; le graphite et l’eau créent le problème de coefficient de vide positif du RBMK)

- Le combustible doit être chimiquement stable dans le caloporteur (UO₂ dans l’eau : acceptable. UF₄ dans un sel fluoré : acceptable. UO₂ dans le sodium : acceptable. Mais l’uranium métallique dans l’eau se corrode.)

- La température et la pression de fonctionnement doivent rester dans les limites de qualification des matériaux

Justifiez votre caloporteur et votre modérateur

Votre type de réacteur détermine votre caloporteur primaire. Justifiez maintenant la compatibilité de l’ensemble du système : caloporteur, modérateur, combustible et gaine, et identifiez le principal risque chimique ou thermique.

Trois boucles de refroidissement indépendantes

Section 5a : Systèmes de refroidissement triple redondance

Pourquoi trois boucles de refroidissement ?

Fukushima disposait d’un système de refroidissement de secours. Il a échoué parce que tous les systèmes de secours partageaient une vulnérabilité commune : ils nécessitaient une alimentation électrique AC, et le même tsunami qui a coupé le réseau électrique a également détruit les groupes électrogènes diesel. Une seule défaillance a entraîné une perte totale de refroidissement.

La triple redondance ne consiste pas simplement à avoir trois copies du même système. Une véritable redondance exige une indépendance sur trois dimensions :

- Séparation physique : Bâtiments différents, quadrants différents, altitudes différentes. Une inondation dans un quadrant ne peut pas désactiver un autre.

- Différentes sources d’alimentation : Bus électriques distincts, alimentations de secours différentes. Une défaillance d’un bus ne peut pas désactiver une autre boucle de refroidissement.

- Logiques d’activation différentes : Une boucle s’active sur haute température, une autre sur basse pression, une autre en cas de perte totale d’alimentation. Des modes de défaillance différents déclenchent des boucles différentes.

Les trois boucles de refroidissement standard d’un REP moderne :

Boucle 1 : Refroidissement normal à l’arrêt (SCS / RHR) :

Système actif. Des pompes font circuler le fluide caloporteur à travers des échangeurs de chaleur pour évacuer la chaleur résiduelle après l’arrêt. Alimenté par le réseau AC normal ou de secours. Fonctionne à basse pression après dépressurisation. Seuil d’activation : généralement lorsque la température du RCS descend sous ~177 °C (350 °F) et la pression sous ~28 bar (400 psi). C’est le système principal d’évacuation de la chaleur résiduelle lors des arrêts planifiés.

Boucle 2 : Système de refroidissement d’urgence du cœur (ECCS) : injection haute pression et basse pression :

Système actif. Intervient en cas d’accident de perte de fluide caloporteur. L’injection haute pression (HPI) se déclenche pour les petites brèches : elle maintient la pression du circuit de refroidissement du réacteur (RCS) et injecte de l’eau borée. Injection par accumulateurs : grands réservoirs d’eau borée sous pression d’azote (~40 bar) qui se déchargent passivement lorsque la pression du RCS descend en dessous de la pression des accumulateurs (aucune pompe ni alimentation électrique requise à ce stade). L’injection basse pression (LPI) prend le relais une fois le RCS entièrement dépressurisé. La concentration en bore est critique : elle doit permettre d’atteindre et de maintenir l’arrêt à froid sans les barres de commande.

Boucle 3 : Refroidissement passif du cœur (par gravité ou circulation naturelle) :

Système passif : aucune pompe, aucune alimentation électrique AC, aucune action de l’opérateur requise. Deux approches :

- Style AP1000 (Westinghouse) : Grand réservoir d’eau situé au-dessus du réacteur (réservoirs de compensation du cœur, échangeurs de chaleur passifs de refroidissement résiduel). Alimentation par gravité. En conditions accidentelles, la circulation naturelle évacue la chaleur résiduelle du circuit primaire vers l’eau du réservoir, qui bout et se ventile : la vapeur se condense sur l’enveloppe en acier de l’enceinte de confinement, refroidie par l’air extérieur. Entièrement passif.

- Style NuScale : Le module du réacteur est immergé dans une piscine d’eau. La circulation naturelle dans le circuit primaire transfère la chaleur vers la piscine. Aucune pompe dans les circuits primaire ou de sûreté.

- PRHR HX (Échangeur de chaleur passif de refroidissement résiduel) : Immergé dans un grand réservoir rempli d’eau (réservoir de stockage d’eau de refroidissement en enceinte, IRWST). La circulation naturelle à travers le PRHR HX évacue la chaleur résiduelle sans aucune pompe. Fonctionne pendant 72 heures sans aucune action de l’opérateur.

Vérification d’indépendance : ce qui doit être vrai :

- Les boucles 1, 2 et 3 doivent être alimentées par des jeux de barres électriques différents (1A, 1B, 1C ou Div I, II, III)

- La boucle 3 doit fonctionner en cas de perte totale de l’alimentation CA

- Chaque boucle doit se trouver dans une division physique différente (séparée par des barrières ou par la distance)

- Défaillances de cause commune : comme le tsunami de Fukushima : doivent être analysées et prévenues

Analyse des défaillances de cause commune :

Quelle défaillance unique pourrait désactiver les trois boucles ? Vous devez l’identifier et montrer comment votre conception l’empêche.

- Cause commune sismique : les trois boucles doivent se trouver dans des structures de catégorie sismique I conçues pour le séisme de sûreté de site (SSE)

- Cause commune d’inondation : boucles situées à des élévations différentes ou dans des compartiments protégés contre les inondations

- Cause commune d’incendie : barrières coupe-feu (résistance 3 heures), câblages séparés, séparation redondante

- Cause commune de perte du puits thermique : si les trois boucles rejettent la chaleur vers le même puits thermique ultime (rivière, océan), une perte de ce puits doit être analysée

Conception de la boucle 1 : refroidissement normal à l’arrêt

Concevez votre première boucle de refroidissement : le système de refroidissement normal à l’arrêt / RHR.

Concevoir la Boucle 2 : Injection haute pression du système de refroidissement d’urgence (ECCS)

La Boucle 2 est votre refroidissement d’urgence du cœur : activée par des accidents, pas par les opérations normales.

Concevoir la boucle 3 : refroidissement passif du cœur

La boucle 3 doit fonctionner sans alimentation électrique AC et sans action de l’opérateur. C’est la dernière ligne de défense : le système qui empêche le scénario de Fukushima.

Analyse des défaillances de cause commune

Vous disposez de trois boucles de refroidissement. Prouvez maintenant qu'elles sont réellement indépendantes.

Trois moyens indépendants d’arrêter la réaction

Section 5b: Systèmes d’arrêt triple redondants

Arrêter une réaction en chaîne nécessite plus que des barres de commande. Un réacteur moderne sûr dispose de trois mécanismes d’arrêt complètement indépendants, dont chacun suffit à atteindre et maintenir l’arrêt à froid.

Pourquoi ne pas simplement utiliser les barres de commande ?

Les barres de commande n'ont pas réussi à arrêter le réacteur de Tchernobyl assez rapidement : le RBMK avait un coefficient de scram positif : l'insertion de barres à pointe de graphite a d'abord provoqué une brève augmentation de puissance avant l'arrêt. À TMI, les barres de commande se sont insérées correctement, mais la confusion de l'opérateur concernant le niveau de refroidissant a quand même conduit à un cœur découvert. La leçon : aucun système unique ne doit être le seul moyen d'arrêt.

Système d'arrêt 1 : Barres de commande :

Le système d'arrêt principal. Des barres contenant un matériau absorbant les neutrons (carbure de bore B₄C, hafnium ou alliage Ag-In-Cd) sont insérées dans le cœur. Les barres sont insérées par gravité ou par ressort (SCRAM) : en cas de perte de puissance ou de signal de sécurité, les électroaimants maintenant les barres en position haute se désactivent et les barres tombent dans le cœur. Temps de SCRAM : généralement, les barres sont complètement insérées en 2 à 4 secondes.

Exigences de conception : (1) Valeur des barres : toutes les barres ensemble doivent pouvoir arrêter le réacteur dans n'importe quelle condition de fonctionnement, avec la barre de plus grande valeur coincée en position retirée. C'est le « critère de barre coincée ». (2) Temps de SCRAM : mesuré et vérifié lors des essais de démarrage. (3) Fréquence des tests : les barres de commande doivent être actionnées (partiellement retirées et réinsérées) selon un calendrier régulier pour vérifier leur fonctionnement.

Système d'arrêt 2 : Borication d'urgence :

Injecter de l'eau borée dans le circuit de refroidissement du réacteur. Le bore-10 est un excellent absorbeur de neutrons. Une injection suffisante de bore permet d'atteindre l'arrêt à froid même si toutes les barres de commande sont coincées en position retirée. Deux mécanismes : (1) Injection par colonne : réservoir d'acide borique relié au RCS par des pompes et des vannes d'isolement. (2) Injection de bore par l'ECCS : l'eau des accumulateurs de l'ECCS est déjà borée ; l'injection ECCS fournit automatiquement du bore. La concentration de bore requise pour l'arrêt à froid avec toutes les barres coincées est calculée dans l'analyse de sûreté et est généralement de 2000 à 2500 ppm (sous forme d'acide borique, H₃BO₃).

Système d'arrêt 3 : Vidange passive de l'absorbeur (basé sur la physique, sans alimentation) :

Un mécanisme d'arrêt passif et diversifié utilisant un principe physique différent. Exemples :

- Injection de billes de bore (style CANDU) : Des billes de matériau absorbant tombent par gravité dans des compartiments séparés du modérateur en cas de perte d'alimentation.

- Injection passive de bore depuis un réservoir surélevé : Un réservoir surélevé d'acide borique concentré se vide par gravité dans le RCS lorsqu'une vanne normalement ouverte s'ouvre en cas de perte d'alimentation. Aucune pompe, aucun signal requis.

- Vidange de sel fondu vers une géométrie sous-critique : Pour les MSR, le bouchon de congélation fond en cas de perte de puissance de refroidissement, vidangeant le combustible vers une géométrie physiquement incapable de soutenir une réaction en chaîne (géométrie sous-critique intégrée dans le réservoir de vidange).

- Barres de poison consommable avec éjection par ressort : Dans certains designs, des barres d'arrêt secondaires peuvent être éjectées vers le haut par ressort dans le cœur en cas de perte du mécanisme de maintien.

Exigences de test et de surveillance :

Chaque système d'arrêt doit être testé indépendamment selon un calendrier régulier, avec les résultats consignés et transmis à la NRC. Les constats d'inspection de la NRC concernant des systèmes d'arrêt inopérants constituent des événements à signaler. Les tests doivent démontrer que chaque système seul peut atteindre l'arrêt à froid.

Concevez vos trois systèmes d'arrêt

Concevez les trois systèmes d'arrêt de votre réacteur.

Trois sources d'alimentation indépendantes

Section 5c : Sources d'alimentation triplement redondantes

Leçon clé de Fukushima : le station blackout : perte totale de l’alimentation en courant alternatif : ne doit pas entraîner de dommages au cœur. Les exigences post-Fukushima de la NRC (FLEX) imposent aux centrales de démontrer qu’elles peuvent faire face à un station blackout prolongé grâce à des sources d’alimentation diversifiées et indépendantes.

Source d’alimentation 1 : Réseau extérieur :

L’alimentation normale. Deux lignes de transmission indépendantes ou plus provenant de sous-stations indépendantes (circuits de réseau différents). Protection des transformateurs : relais de pression soudaine, relais différentiel, relais de verrouillage : empêche un transformateur défaillant de se propager aux autres jeux de barres. Si le générateur principal de la centrale se déclenche, l’alimentation extérieure prend le relais automatiquement en quelques secondes via le transformateur auxiliaire.

Faiblesse : tout ce qui endommage le réseau (intempéries graves, événement sismique, instabilité du réseau) peut couper l’alimentation extérieure. L’alimentation extérieure est la source normale la plus fiable, mais la source d’urgence la moins fiable.

Source d’alimentation 2 : Groupes électrogènes de secours (EDG) :

La source principale d’alimentation électrique de secours en CA. Exigence minimale de la NRC : 2 groupes électrogènes de secours (EDG) par tranche, chacun capable d’alimenter la totalité des charges de secours d’une division de sûreté. Exigence de démarrage : l’EDG doit atteindre la tension et la fréquence nominales dans les 10 secondes suivant le signal de démarrage (exigence NRC). Réserve de carburant : la NRC exige un minimum de 7 jours d’autonomie à pleine charge. Bonne pratique post-Fukushima : concevoir pour 14 jours d’autonomie, avec des contrats de livraison de carburant garantissant le réapprovisionnement.

Essais : essai mensuel de charge (démarrage à vitesse nominale sans charge), essai trimestriel de charge (à charge nominale), essai d’endurance de 18 mois (fonctionnement à pleine charge pendant toute la durée de l’essai).

Un REP typique de 1100 MWe dispose de 2 à 4 EDG, chacun d’une puissance nominale comprise entre environ 7 000 et 9 000 kW.

Source d’alimentation 3 : Batteries de la station (alimentation CC, Class 1E) :

La source ultime de secours pour l’instrumentation, la commande, l’éclairage de secours, l’actionnement des vannes et les communications. Les bus CC sont alimentés par les batteries, qui sont rechargées par les bus CA en fonctionnement normal. En cas de perte totale du CA : les batteries fournissent l’alimentation CC de manière indépendante.

Dimensionnement : chaque bus CC doit être dimensionné pour alimenter sa liste de charges pendant au moins 2 heures sans recharge CA. Les conceptions modernes prévoient une autonomie de 4 à 8 heures. La liste de charges comprend : les moniteurs des mécanismes de commande des grappes, l’instrumentation de sûreté, l’éclairage de secours, les communications de secours et les actionneurs de vannes critiques.

Remplacement des batteries : selon le calendrier du fabricant, généralement tous les 10 à 20 ans. Essais des batteries : essai de capacité annuel, essai de décharge tous les 18 mois.

Stratégie FLEX : Équipements portables post-Fukushima :

Groupes électrogènes diesel portables, pompes portables et tuyaux prépositionnés à plusieurs emplacements avec des itinéraires d’accès diversifiés (tous non accessibles par la même inondation ou le même incendie). Les points de connexion aux tableaux de sécurité et aux systèmes de refroidissement sont préinstallés et testés. Les équipements FLEX peuvent être déployés par les opérateurs sans alimentation électrique AC. La NRC exige que les stratégies FLEX couvrent : la perte totale de sources électriques (station blackout), la perte du puits thermique ultime, et leurs combinaisons.

Concevez vos trois sources d’alimentation

Concevez votre architecture électrique complète.

Trois chaînes de surveillance indépendantes

Section 5d : Surveillance et instrumentation triple redondante

Les défaillances des systèmes d’instrumentation et de contrôle (I&C) ont causé ou aggravé tous les grands accidents nucléaires. À TMI, les opérateurs ont été induits en erreur par un indicateur unique (une lampe indiquant si une vanne de décharge pilotée avait reçu l’ordre de s’ouvrir, et non si elle était réellement ouverte) et ont pris des décisions qui ont vidé le cœur. À Tchernobyl, les instruments clés étaient désactivés ou trompeurs pendant l’essai fatal.

Trois voies de mesure indépendantes :

Les réacteurs modernes répartissent l’instrumentation de sûreté en trois (ou quatre) voies indépendantes : A, B et C (ou I, II, III, IV). Chaque voie utilise des capteurs différents, acheminés par des câbles distincts dans des conduits séparés et alimentés par des bus de sûreté distincts.

Pourquoi des technologies différentes ?

Défaillance de cause commune dans les capteurs : si les trois voies utilisent le même modèle de capteur, un défaut systématique de ce modèle peut entraîner la défaillance simultanée des trois voies ou leur donner la même lecture erronée. L’utilisation de fabricants différents ou de principes de mesure différents réduit ce risque.

Logique de vote 2 sur 3 :

Trois voies, chacune fournissant un signal oui/non pour une fonction de sûreté (par ex. « haute pression, déclencher SCRAM »). L’action de sûreté est déclenchée si au moins 2 des 3 voies sont d’accord. Pourquoi pas 1 sur 3 ? Parce qu’une seule voie défaillante provoquerait des SCRAM intempestifs (trop de faux positifs : l’installation serait peu fiable). Pourquoi pas 3 sur 3 ? Parce qu’une seule voie en panne empêcherait le SCRAM de se produire (trop peu de vrais positifs : l’installation serait dangereuse). 2 sur 3 est l’optimum mathématique : résistant à une seule fausse alarme ET à une seule défaillance de déclenchement.

Surveillance post-accident : variables de catégorie 1 selon NUREG-0696 :

Les variables suivantes doivent être surveillées après un accident, indépendamment du système de contrôle numérique normal (DCS), afin de fournir aux opérateurs une référence fiable même si le DCS est endommagé ou peu fiable :

- Pression du circuit de refroidissement du réacteur

- Température du circuit de refroidissement du réacteur (jambe chaude, jambe froide)

- Niveau d'eau du circuit de refroidissement du réacteur (niveau dans la cuve)

- Pression de l'enceinte de confinement

- Niveau de rayonnement dans l'enceinte de confinement

- Moniteurs de rayonnement des effluents (réfrigérant, vapeur, atmosphère de l'enceinte)

Qualification environnementale et sismique :

Tous les I&C de sûreté doivent être qualifiés pour les conditions environnementales qu'ils subiraient en cas d'accident : température jusqu'à 150 °C, humidité jusqu'à 100 %, rayonnement jusqu'à 10⁷ rad (100 kGy) cumulés, pour la durée de l'accident (plusieurs mois). On appelle cela la qualification environnementale 10 CFR 50 Appendix B / IEEE 323. Qualification sismique (IEEE 344) : doit fonctionner pendant et après le séisme de sûreté maximal du site (SSE).

Concevez votre architecture de surveillance

Concevez votre architecture de sécurité pour l’instrumentation et la commande.

Sûreté fonctionnant sans électricité ni opérateurs

Section 6 : Caractéristiques de sûreté passive

Les dispositifs de sûreté passive fonctionnent uniquement par la physique : pas de pompes, pas d’électricité, pas d’action d’opérateur. Ils sont toujours actifs, toujours opérationnels et ne peuvent pas être désactivés par une panne totale de courant.

Coefficient Doppler négatif (toujours présent dans le combustible uranium) :

À mesure que la température du combustible augmente, les pics d’absorption résonante de l’U-238 s’élargissent (élargissement Doppler). Plus de neutrons sont capturés par l’U-238 sans provoquer de fission. Cela réduit automatiquement le taux de fission lorsque le combustible chauffe : un mécanisme de rétroaction auto-limitant et toujours présent. Il fonctionne dans tous les types de réacteurs utilisant du combustible à l’uranium. C’est pourquoi un réacteur à uranium ne peut pas s’emballer comme une explosion chimique incontrôlée : la physique contre-attaque.

Coefficient de température modérateur négatif (pour les LWR) :

Dans les réacteurs à eau légère, lorsque la température du caloporteur/modérateur augmente, la densité de l’eau diminue. Une eau moins dense modère moins de neutrons, donc moins atteignent les énergies thermiques nécessaires à la fission. La réactivité diminue automatiquement. Cela explique pourquoi les REP et les REB sont intrinsèquement autorégulateurs sur une large plage de niveaux de puissance.

Coefficient de vide négatif (pour la plupart des LWR en puissance) :

Si des bulles se forment dans le caloporteur ou si celui-ci est perdu, la modération diminue. Dans les LWR, cela réduit la réactivité. C’est la caractéristique de sûreté que le RBMK de Tchernobyl n’avait pas : son grand coefficient de vide positif signifiait que la perte de caloporteur augmentait la puissance, créant une boucle de rétroaction incontrôlée.

Refroidissement passif de la puissance résiduelle : circulation naturelle :

L’eau chaude est moins dense que l’eau froide. Dans la boucle primaire, le caloporteur chaud provenant du cœur monte naturellement. Dans des conceptions comme l’AP1000, cette circulation naturelle entraîne le caloporteur à travers l’échangeur de chaleur PRHR sans aucune pompe. La puissance résiduelle est évacuée par la physique seule.

Rétention en cuve (IVR) : approche de l’AP1000 :

Si un accident grave progresse jusqu’à l’endommagement du cœur, le corium fondu doit être maintenu à l’intérieur de la cuve du réacteur. La conception de l’AP1000 inonde la cavité du réacteur avec de l’eau (alimentée par gravité depuis l’IRWST). L’eau à l’extérieur de la cuve évacue la chaleur de la paroi de la cuve, maintenant la cuve en acier intacte et empêchant le corium fondu de s’échapper vers le plancher de l’enceinte de confinement. Il s’agissait d’une innovation majeure de conception : les précédents REP n’avaient pas cette caractéristique.

Piège à cœur hors cuve : approche de l’EPR :

Une alternative à l’IVR : si le corium s’échappe de la cuve, il tombe dans un compartiment d’étalement (piège à cœur) conçu pour étaler la masse fondue en couche mince et la refroidir par le dessous et par le dessus. L’EPR (European Pressurized Reactor) utilise cette approche. L’IVR et le piège à cœur traitent tous deux le même scénario : la progression d’un accident grave après la rupture de la cuve.

Gestion de l'hydrogène : recombineurs autocatalytiques passifs (PAR) :

Les réactions zircaloy-vapeur produisent de l'hydrogène. L'hydrogène s'accumule dans l'enceinte de confinement. À une concentration de 4-75 % d'hydrogène dans l'air, il est inflammable ; à 13-59 %, il détonne. Les explosions d'hydrogène de Fukushima ont détruit les bâtiments des réacteurs des tranches 1, 3 et 4. Les enceintes de confinement modernes nécessitent une gestion de l'hydrogène : les PAR (recombineurs autocatalytiques passifs) sont des dispositifs contenant un catalyseur au platine ou au palladium. L'hydrogène et l'oxygène se combinent à la surface du catalyseur à température ambiante, sans inflammation, produisant de la vapeur d'eau. Aucun besoin d'électricité, de ventilateurs ni d'action de l'opérateur. Les PAR sont placés dans toute l'enceinte pour éviter les accumulations locales. La quantité et l'emplacement requis sont calculés sur la base du terme source d'hydrogène le plus défavorable.

Quatre barrières physiques : défense en profondeur :

Le diagramme ci-dessus montre les quatre barrières physiques entre le combustible et l'environnement :

1. Matrice combustible (céramique UO₂) : retient environ 95 % des produits de fission dans des conditions normales

2. Gaine combustible (Zircaloy ou SiC) : barrière métallique, premier confinement des produits de fission ayant pu s'échapper

3. Limite de pression du circuit de refroidissement du réacteur : cuve et tuyauteries en acier à parois épaisses

4. Enceinte de confinement : béton armé, typiquement de 1 à 1,5 mètre d’épaisseur, conçu pour la pression et la température d’un LOCA de référence, et pour l’impact d’un avion

Concevez vos dispositifs de sûreté passive

Les dispositifs passifs sont intégrés à la physique et à la géométrie de votre conception : ils ne peuvent pas être désactivés.

Couche de sûreté humaine

Section 7 : Conception de la surveillance humaine

Chaque accident nucléaire majeur a impliqué un facteur humain : non pas parce que les humains sont peu fiables, mais parce que le système de surveillance humaine était mal conçu. Une bonne conception facilite le bon geste et rend difficile le mauvais.

Trois membres du personnel qualifiés minimum sur site en permanence (24/7) :

- Reactor Operator (RO) : titulaire d’une licence NRC (10 CFR Part 55). Exploite les commandes du réacteur. Doit réussir un examen écrit et un test pratique sur le simulateur spécifique à la centrale. Licence valable uniquement pour cette centrale : non transférable.

- Senior Reactor Operator (SRO) : Chef de quart : titulaire d’une licence NRC. Supervise le RO. Possède une autorité indépendante de SCRAM : peut ordonner un arrêt d’urgence quelle que soit toute autre instruction, y compris de la direction.

- Technicien en radioprotection (RP) / Officier de physique sanitaire : surveille les niveaux de radiation, gère la dosimétrie individuelle, autorise l’accès aux zones contrôlées et suit les doses cumulées.

Autorité SCRAM indépendante :

Le chef de quart a l’autorité légale d’initier un arrêt d’urgence à tout moment, sur la base de son jugement professionnel, sans approbation de la direction. Il s’agit d’une exigence réglementaire selon 10 CFR 50.54(x). La leçon de TMI : les opérateurs auraient dû avoir la formation et l’autorité pour reconnaître rapidement un scénario anormal de perte de refroidissant et déclencher un SCRAM en toute confiance. Au lieu de cela, ils ont été désorientés par des indicateurs contradictoires et ont tenté de « corriger » les symptômes plutôt que de reconnaître la condition sous-jacente.

Intégrité à deux personnes (TPI) :

Opérations spécifiées : notamment la manipulation du combustible, la manipulation des barres de commande lors de certains essais, et l’accès à certaines zones vitales : nécessitent la présence de deux personnes qualifiées qui s’observent mutuellement. Aucune des deux personnes ne peut mener l’opération seule. Des contrôles physiques (interrupteurs à clé nécessitant deux clés simultanées, verrouillages) imposent cette règle plutôt que de compter sur le respect des procédures. La TPI prévient les erreurs individuelles et le sabotage.

Limites de quart : gestion de la fatigue :

Conformément à 10 CFR 26 (Aptitude au service) : la durée maximale d’un quart est de 12 heures. La période minimale de repos entre les quarts est de 8 heures. Le nombre maximal d’heures par semaine est de 54 heures (72 en cas d’urgence avec autorisation de la direction). Ces limites existent parce que la privation de sommeil altère significativement la prise de décision : de la même manière que l’alcool : et les opérations nucléaires exigent une vigilance soutenue.

Exigences de formation :

- Programme de formation certifié par la NRC sur un simulateur de portée complète spécifique à la centrale

- Licence initiale : examen écrit (réussite/échec, choix multiples et dissertation) + test pratique (évaluation pratique par un examinateur agréé par la NRC)

- Recyclage : examen écrit annuel, examen pratique biennal sur simulateur

- Exercices d’urgence évalués : exercices trimestriels en service, exercice annuel de réponse d’urgence à grande échelle avec participation des États et des comtés

Procédures d’exploitation d’urgence (EOP) :

Procédures fondées sur les symptômes, approuvées par la NRC. Au lieu de « si vous voyez l’événement X, faites Y », les EOP modernes indiquent « si vous observez ces symptômes (haute pression + bas niveau + température en hausse), entrez dans cette procédure ». Cette approche : développée après TMI : est plus robuste car les opérateurs réagissent à ce qu’ils observent plutôt qu’à ce qu’ils pensent en être la cause.

Conception de la salle de commande : surveillance post-accident indépendante du DCS :

Les instruments de surveillance post-accident doivent être lisibles depuis la salle de commande même si le système de contrôle numérique de la centrale (DCS) est complètement défaillant. Il s’agit d’affichages câblés dédiés : compteurs analogiques ou écrans numériques qualifiés avec des chemins d’alimentation et de signal séparés.

Concevez votre système de surveillance humaine

La surveillance humaine est un système de sûreté. Concevez-la avec la même rigueur que vos circuits de refroidissement.

Choix du site et conception contre les aléas externes

Section 8 : Siting & Civil Design

Le site détermine les dangers externes que votre centrale doit pouvoir supporter. La NRC exige une analyse complète des dangers externes dans le cadre du FSAR (Final Safety Analysis Report).

Conception sismique : Safe Shutdown Earthquake (SSE) :

Chaque site de centrale possède un Safe Shutdown Earthquake (SSE) : le séisme maximal pour lequel la centrale est conçue afin d’atteindre et de maintenir un arrêt sûr. Les structures de sûreté (bâtiment du réacteur, bâtiment de contrôle, bâtiments ECCS, bâtiments EDG) doivent être de catégorie sismique I : conçues pour résister au SSE et rester fonctionnelles. Le SSE est déterminé à partir d’une analyse probabiliste des dangers sismiques (PSHA) avec une probabilité annuelle de dépassement cible de 10⁻⁴ : un événement de période de retour de 10 000 ans. Le séisme de référence de Fukushima était de magnitude 6,1 ; le séisme réel était de 9,0. Ne sous-estimez jamais le SSE.

Inondation : Probable Maximum Flood (PMF) :

La PMF est la crue maximale qui pourrait survenir sur le site, déterminée par une analyse météorologique et hydrologique. L’altitude du niveau de la centrale doit être fixée au-dessus du niveau de la PMF, ou la centrale doit être équipée de barrières anti-inondation (murs, portes, trappes) dimensionnées pour la PMF. Leçon critique tirée de Fukushima : la digue a été conçue pour 5,7 mètres ; le tsunami réel a atteint 15 mètres. Le calcul de la PMF doit être conservatif.

Risques externes : impact d’avion, vent extrême, explosions externes :

- Impact d’avion : après le 11 septembre, la NRC exige que les grandes centrales commerciales évaluent (sans nécessairement les concevoir pour) l’impact d’un avion. Les nouveaux designs comme l’AP1000 et l’EPR intègrent la résistance à l’impact d’avion dans la conception de l’enceinte de confinement et de la salle de commande.

- Vent extrême / tornade : tornade de référence pour chaque région du site selon le Regulatory Guide 1.76. Protection contre les missiles : les missiles de tornade (poteaux, voitures) ne doivent pas pouvoir pénétrer les structures liées à la sûreté.

- Explosions externes : la proximité d’installations chimiques, de terminaux GNL, de pipelines ou de lignes ferroviaires transportant des matières dangereuses doit être évaluée.

Limite de la zone d’exclusion (EAB) : 10 CFR 100 :

L’EAB est le rayon minimum autour de la centrale dans lequel l’exploitant contrôle l’usage du sol. Au cours des deux heures suivant un accident hypothétique de référence, la dose de rayonnement à l’EAB ne doit pas dépasser 25 rem pour l’ensemble du corps (TEDE). Cette limite conditionne la conception de l’enceinte de confinement et le recul de la limite du site. Une centrale plus grande, avec un terme source plus important, nécessite un EAB plus étendu.

Zones de planification d’urgence (EPZ) :

Deux zones entourent chaque centrale nucléaire :

- EPZ d’exposition au panache : rayon d’environ 10 miles. Actions de protection : évacuation, mise à l’abri, distribution d’iodure de potassium, plans de régulation de la circulation.

- EPZ d’ingestion : rayon d’environ 50 miles. Actions de protection : restrictions de consommation des aliments et de l’eau, surveillance des cultures et des produits laitiers.

La taille des EPZ n’est pas uniquement déterminée par la puissance de la centrale : elle est fixée par la réglementation de la NRC pour tous les réacteurs commerciaux (avec une certaine flexibilité pour les très petits SMR). Les plans d’urgence doivent être élaborés et testés en coordination avec les autorités étatiques et locales.

Défendez votre site

Justifiez maintenant vos choix de conception du site et des ouvrages civils.

Processus de délivrance des licences de la NRC

Section 9 : Parcours de délivrance des licences

Construire un réacteur sans licence est illégal aux États-Unis. Le processus de délivrance des licences de la NRC selon 10 CFR Part 52 est conçu pour détecter les problèmes de sûreté sur le papier : avant que le béton ne soit coulé. C’est également le mécanisme par lequel le public, les intervenants et le personnel technique de la NRC peuvent contester et améliorer la conception.

10 CFR Part 52 : Licence combinée (COL) :

La voie de délivrance moderne principale. Une COL combine l’autorisation de construction et la licence d’exploitation en une seule procédure. Le demandeur démontre que la conception respecte les exigences de la NRC et que le site est acceptable. La NRC délivre la COL avant le début de la construction. Pendant la construction, les Inspections, Tests, Analyses et Critères d’Acceptation (ITAAC) vérifient que ce qui a été construit correspond à la conception autorisée.

Certification de conception (DC) :

Une conception de réacteur peut être certifiée par la NRC indépendamment de tout site spécifique. Une Certification de conception est valable 15 ans. Une fois certifiée, un exploitant qui construit une centrale selon une COL peut se référer à la DC et n’a pas besoin de rediscuter la conception standard. Les conceptions AP1000 et ABWR sont certifiées. Les concepteurs de SMR (NuScale, GEH BWRX-300, Kairos, TerraPower) demandent des certifications de conception pour leurs technologies.

Rapport final d’analyse de sûreté (FSAR) : 17 chapitres :

Le FSAR est le document technique au cœur de toute demande de licence. Il décrit l’installation et démontre qu’elle respecte toutes les exigences de la NRC. Chapitres clés :

- Chapitre 1 : Introduction et description générale

- Chapitre 2 : Caractéristiques du site (sismique, inondation, météorologie, population)

- Chapitre 4 : Réacteur (conception du combustible, physique du cœur, thermique-hydraulique)

- Chapitre 5 : Système de refroidissement du réacteur (boucle primaire, limite de pression, ECCS)

- Chapitre 6 : Systèmes de sûreté (containment, ECCS, contrôle de l’hydrogène)

- Chapitre 7 : Instrumentation et contrôle

- Chapitre 8 : Alimentation électrique (hors site, sur site, batteries, FLEX)

- Chapitre 9 : Systèmes auxiliaires

- Chapitre 13 : Conduite des opérations (organisation, formation, EOP)

- Chapitre 15 : Analyse des accidents (accidents de base de conception : APRP, rupture de la ligne de vapeur principale, éjection de grappe de commande, etc.)

- Chapitre 16 : Spécifications techniques (limites opérationnelles et exigences de surveillance)

Analyse probabiliste de sûreté (APS) :

Une analyse quantitative de sûreté qui calcule la probabilité de fusion du cœur et de rejet précoce important. Deux indicateurs clés :

- Fréquence de fusion du cœur (CDF) : probabilité par année-réacteur de fusion du cœur. Objectif NRC : < 1×10⁻⁴/année-réacteur. Objectifs des réacteurs avancés : < 1×10⁻⁵/année-réacteur.

- Fréquence de rejet précoce important (LERF) : probabilité par année-réacteur d’un rejet important et précoce de radioactivité avant toute action de protection. Objectif NRC : < 1×10⁻⁵/année-réacteur.

L’APS identifie également les séquences accidentelles les plus importantes (contributeurs dominants à la CDF) et les systèmes et composants les plus critiques (mesures d’importance) : cela oriente les ressources de maintenance, d’essais et d’amélioration de la conception.

ITAAC : Inspections, Tests, Analyses, and Acceptance Criteria :

Pour chaque système et structure liés à la sûreté, la COL spécifie les ITAAC : ce qui doit être inspecté, testé ou analysé, et quel est le critère d’acceptation. Avant que la NRC n’autorise le chargement du combustible, tous les ITAAC doivent être achevés et déclarés. Si un ITAAC échoue, la centrale ne peut pas démarrer tant qu’il n’a pas été corrigé et que l’ITAAC n’est pas réussi.

Construction & Tests pré-opérationnels :

Une fois la COL délivrée, la construction commence. La NRC inspecte la construction conformément aux Inspection, Testing, Analysis, & Acceptance Criteria (ITAAC). Les tests pré-opérationnels vérifient que chaque système répond à sa spécification de conception avant le chargement du combustible. L’autorisation de chargement du combustible nécessite que le personnel de la NRC confirme que tous les ITAAC sont satisfaits.

Tracez votre parcours de délivrance de licence

Parcourez le parcours de délivrance des licences pour votre conception de réacteur spécifique.

Présentez votre conception complète

Section 10: Examen final de la conception

Vous avez conçu tous les systèmes majeurs d’une centrale nucléaire. Présentez maintenant votre conception complète, comme le ferait un Directeur nucléaire devant le Comité d’examen de sûreté de la NRC.

Votre conception doit démontrer :

Redondance triple complète pour les quatre fonctions de sûreté :

1. Refroidissement : trois boucles (RHR actif, ECCS actif avec accumulateurs passifs, PRHR passif ou piscine)

2. Arrêt : trois systèmes (barres de commande, borication d’urgence, vidange passive d’absorbant)

3. Alimentation électrique : trois sources (réseau extérieur, diesels de secours, batteries de site) plus FLEX

4. Surveillance : trois voies indépendantes (A/B/C) avec vote 2 sur 3, surveillance post-accidentelle

Caractéristiques de sûreté passive :

- Coefficient Doppler négatif (toujours présent dans le combustible uranium)

- Coefficient modérateur/négatif ou nul pour votre type de réacteur

- Évacuation passive de la chaleur résiduelle (circulation naturelle ou piscine)

- Gestion des accidents sévères (IVR, récupérateur de corium ou vidange MSR vers sous-criticité)

- Gestion de l’hydrogène (PAR répartis dans l’enceinte de confinement)

Supervision humaine :

- Trois postes qualifiés sur site 24/7

- Double contrôle avec application physique

- Limites de durée de service conformes

- Formation sur simulateur spécifique à la centrale

- EOP fondés sur les symptômes

Implantation :

- Base de conception sismique (SSE, structures de catégorie sismique I)

- Protection contre les inondations (PMF ou barrières)

- Limite de dose à la limite du site (25 rem TEDE)

- EPZ (panache de 10 miles, ingestion de 50 miles)

Le test historique :

Votre conception doit montrer comment elle empêche les modes de défaillance spécifiques de TMI, Tchernobyl et Fukushima.

- TMI : Meilleure surveillance post-accident (niveau RCS direct), EOP basés sur les symptômes, opérateurs formés

- Tchernobyl : Coefficient de vide négatif (pas d’effet de scram positif), autorité SCRAM indépendante, interdiction de désactiver les systèmes de sécurité par les opérateurs

- Fukushima : Refroidissement passif (pas besoin d’alimentation CA), équipement FLEX surélevé, carburant diesel pour 14 jours, site au-dessus du PMF

Examen complet de la conception

Ceci est votre défense de conception. Répondez de manière complète : toute omission sera contestée.

Comment votre conception prévient TMI, Tchernobyl et Fukushima

Section 11 : Prévenir le passé

Les trois accidents nucléaires majeurs ont défini les exigences modernes de sûreté des réacteurs. Chaque système de redondance que vous avez conçu a un ancêtre spécifique dans l’un de ces accidents.

Three Mile Island (TMI), 1979 : Pennsylvanie, États-Unis :

Une vanne de décharge pilotée (PORV) restée ouverte a permis au fluide primaire de s’échapper pendant des heures. Le voyant indiquait que la vanne avait reçu l’ordre de se fermer, et non qu’elle était réellement fermée. Les opérateurs, désorientés par des indications contradictoires, ont réduit l’injection du système de refroidissement d’urgence (ECCS) car ils pensaient que le circuit était en sur-remplissage. Le cœur s’est découvert, a surchauffé et a partiellement fondu.

Leçons : (1) Instrumentation post-accident directe : les opérateurs doivent pouvoir visualiser la position réelle des vannes, le niveau réel du fluide et la température réelle du cœur. (2) Procédures d’exploitation basées sur les symptômes : les opérateurs réagissent à ce qu’ils observent, et non à ce qu’ils supposent comme cause. (3) Meilleure formation des opérateurs à la reconnaissance et à la gestion des accidents.

Tchernobyl, 1986 : RSS d’Ukraine, URSS :

Un essai de sûreté a été réalisé avec le réacteur à faible puissance (zone instable) et plusieurs systèmes de sûreté désactivés ou contournés. Le réacteur RBMK présentait un fort coefficient de vide positif : lorsque le caloporteur s’évaporait, la réactivité augmentait. Lors de la tentative d’arrêt, les crayons de commande à embout graphite ont provoqué une brève pointe de puissance (effet scram positif). Une excursion de puissance d’environ 30 000 MW a détruit le réacteur par une explosion de vapeur et un incendie de graphite.

Leçons : (1) Absence de coefficient de vide positif dans les réacteurs de puissance commerciaux. (2) Les systèmes de sûreté ne doivent pas pouvoir être contournés en exploitation normale. (3) Autorité indépendante de SCRAM : aucun responsable d’essai ne peut outrepasser le jugement de sûreté du chef de quart. (4) Formation des opérateurs à la physique des réacteurs, et pas seulement au suivi des procédures.

Fukushima Daiichi, 2011 : Japon :

Un séisme de magnitude 9,0 a déclenché un tsunami de 15 mètres qui a inondé et détruit les groupes électrogènes de secours à Fukushima Daiichi. Sans alimentation électrique et avec les diesels détruits, la chaleur de décroissance a fait bouillir le caloporteur dans les tranches 1, 2 et 3. L’hydrogène produit par la réaction Zircaloy-vapeur a explosé dans les bâtiments réacteurs. Trois cœurs ont fondu en 72 heures. [BLOCK_TYPE CONTENT historical_lessons/history_intro]

Leçons : (1) Refroidissement passif ne nécessitant aucune alimentation. (2) Diesels et batteries situés au-dessus du niveau d’inondation ou protégés contre les inondations. (3) Équipements portables FLEX entreposés dans des emplacements diversifiés et accessibles. (4) La base de conception PMF doit être conservatrice. (5) Les pannes prolongées de la station doivent être prises en compte dans la conception, pas seulement analysées. [BLOCK_TYPE CONTENT historical_lessons/history_intro]

[BLOCK_TYPE TITLE historical_lessons/history_question]

Reliez votre conception à l’histoire [BLOCK_TYPE CONTENT historical_lessons/history_question]

C’est la dernière question du projet final. [BLOCK_TYPE QUESTION historical_lessons/history_question]