B. - UNE ANTICIPATION PLUS POUSSÉE DES SITUATIONS POSSIBLES
L'accident survenu à Fukushima nous force à repenser les situations que nous aurions à affronter. Ces réévaluations se posent tant pour l'exploitant qui doit encore accroître son effort de sécurisation, pour la puissance publique qui doit, par exemple, mieux intégrer les questions d'urbanisation, que pour la population, qui doit être sensibilisée plus largement aux actions en place par une meilleure scénarisation des exercices de crise.
1. L'optimisation des procédures de commande
Comme nous l'avons vu, le retour d'expérience (I.B.1.b) a pour but d'améliorer constamment la sécurité des installations nucléaires. Une des premières leçons tirée des accidents graves survenus dans le monde est que le facteur humain est dans tous les cas crucial pour la bonne gestion post-accidentelle, et ce, quelle que soit l'origine de l'accident : technique comme à Three Mile Island (TMI), humaine comme à Tchernobyl ou bien naturelle comme à Fukushima. Ainsi, comme le souligne l'IRSN 20 ( * ) dans un dossier sur l'accident de Three Mile Island 21 ( * ) , « l'homme est aussi un maillon essentiel de la sûreté » . L'IRSN précise même que « dans une période où les réacteurs de génération III (par exemple EPR 22 ( * ) ) sont souvent mis en exergue par leurs concepteurs pour une fiabilité accrue des systèmes de sûreté et la prise en compte des accidents graves à la conception, il est bon de se souvenir du rôle essentiel de l'homme comme maillon de la sûreté » . En effet, comme dans toute activité humaine, la réponse en temps réel des équipes de pilotage peut tout aussi bien limiter la gravité de l'accident comme l'accentuer ; l'accident de Three Mile Island étant un cas d'école de cette dernière situation. Ainsi, une évolution constante des procédures de pilotage, notamment en mode incidentel, est une absolue nécessité.
L'analyse de l'accident de TMI et le retour d'expérience qui a suivi ont été riches d'instructions. Tout d'abord il a mis en avant le rôle crucial du facteur humain dans la gestion d'un accident sur une centrale nucléaire. Mais aussi, il a démontré la possibilité de l'occurrence concomitante d'événements indépendants. Enfin, cet accident a montré le rôle aggravant des défauts latents.
Cet accident a donc conduit les agences de contrôle à édicter de nouvelles normes de sécurité et les exploitants à revoir leurs procédures de pilotage des réacteurs et de gestion d'un fonctionnement en mode incidentel. En France, ces nouvelles normes ont notamment abouti à l'adoption de « l'approche par états » ; approche qui consiste à adopter une stratégie de pilotage d'une tranche en fonction de son état physique et non en fonction des avaries réelles ou supposées.
Vos rapporteurs vont maintenant présenter les éléments techniques et humains mis en place afin d'assurer l'intégrité des centrales nucléaires en cas d'incident ou d'accident et de limiter au maximum les conséquences de ce genre d'évènements.
a) L'effort de sécurisation
A la suite de l'accident de TMI, l'adoption d'une nouvelle approche de pilotage des réacteurs fut décidée en France. Cette décision fut principalement matérialisée par l'ensemble des procédures « SPI 23 ( * ) /U1 24 ( * ) /SPU 25 ( * ) ». Ces procédures utilisées et constamment améliorées depuis poursuivent plusieurs buts.
Le premier est de limiter le pouvoir aggravant du facteur humain. Ainsi une forme de « redondance humaine » doit être assurée. Cette redondance se matérialise notamment par le travail d'ingénieurs de sûreté chargés de vérifier les choix de pilotage effectués par les opérateurs. Ce travail de vérification doit se faire de manière indépendante grâce à la surveillance d'un certain nombre de paramètres de sûreté. Cette approche vise aussi à supprimer les défauts latents, ou à tout le moins, à en limiter la durée. En effet, ces défauts latents, qui sont des problèmes d'origine humains ou technologiques, peuvent aggraver des accidents par effet de cumul, et ce, même s'ils apparaissent comme mineurs. C'est notamment ce qui s'est passé lors de l'accident de TMI où une vanne de vidange du circuit primaire est restée ouverte et à conduit l'asséchement quasi complet de la cuve réacteur. Ainsi, ce défaut latent a été une des causes principales de la fusion partielle du coeur de la tranche n°2 de TMI.
En France, l'IRSN analyse tous les incidents liés à un défaut latent répertoriés dans les centrales afin d'évaluer leurs conséquences potentielles et de proposer des mesures correctives permettant d'éviter la reproduction de ce type de défaut. L'identification de l'importance de la conséquence de ce type de problèmes a aussi conduit à revoir la fiabilité des informations fournies aux pilotes d'une centrale. En effet, sur la centrale de TMI les voyants n'indiquaient que l'effectivité de l'envoi de l'ordre et non son exécution. Ainsi, la vanne est apparue fermée aux pilotes alors qu'elle était en fait ouverte. Ce qui les a conduits à adopter une mauvaise stratégie de pilotage.
Le second but de ces procédures est de pallier la difficulté de gérer des événements indépendants mais concomitants. L'ensemble des procédures ultimes (représentées par un acronyme du type Ux) adoptées en 1981 visent à limiter les conséquences d'un accident en adoptant une démarche alors nouvelle. Ces procédures (U1 à U5) permettent en effet de couvrir la totalité des situations potentielles, et ce, indépendamment de leur cause ; c'est ce que l'on dénomme la logique de commande par « états ». A titre d'exemple « la procédure U1 a pour objectif d'éviter la dégradation du coeur ou, en cas de dégradation, de maintenir le coeur dans la cuve, en utilisant tous les moyens d'injection d'eau disponibles ».
b) La logique de « l'approche par états »
La logique de « l'approche par états » doit permettre d'adopter la stratégie de conduite d'une tranche appropriée quel que soit son état (i.e. fonctionnement en mode normal ou en mode incidentel), et ce, indépendamment de son état préalable (notamment indépendamment de l'origine du ou des problèmes ayant conduit à un mode de fonctionnement incidentel).
• Les origines de « l'approche par états »
Précédemment à l'accident de TMI « l'approche événementielle » était utilisée. Cette procédure prévoyait une identification préalable de la ou des sources du problème survenu afin d'adopter la réponse adéquate. Cette procédure, une fois le problème identifié, a l'avantage de permettre une réaction plus rapide et plus efficace. Néanmoins, cette approche présente plusieurs inconvénients majeurs qui ont conduit à l'aggravation de l'accident de Three Mile Island. Le principal problème est lié à la difficulté, voire l'impossibilité, de prévoir tous les problèmes pouvant survenir sur une centrale, notamment dans le cas où plusieurs seraient concomitants mais indépendants.
De plus, le risque d'un mauvais diagnostic ou d'un diagnostic partiel des sources du problème est important, et ce, pour des raisons qui peuvent être d'origine humaine comme technologique (par exemple dans le cas de mauvaises informations fournies aux pilotes). Enfin, cette approche rend très difficile l'évolution de la stratégie de pilotage de la centrale dans le cas où les paramètres physiques de celle-ci n'évolueraient pas comme prévu. L'ensemble de ces problèmes et de leur impact potentiellement très aggravant a donc conduit à l'abandon de cette approche pour l'exploitation des centrales nucléaires françaises.
• « L'approche par états » et son nécessaire approfondissement
Afin de se doter d'une approche permettant de faire face à un grand nombre d'incidents voire d'accidents, et ce, même s'ils interviennent en parallèle, EDF et Areva (alors Framatome) ont donc proposé d'aborder le choix des mesures correctives à mettre en oeuvre en situation incidentelle ou accidentelle (quelle qu'elle soit), de manière différente : « l'approche par états ». Contrairement à « l'approche évènementielle », « l'approche par états » ne vise pas directement à identifier la ou les causes du problème survenu sur une centrale. En effet, cette approche, en s'appuyant notamment sur l'analyse des paramètres physiques de l'état de refroidissement de la cuve réacteur et de la disponibilité des systèmes de sauvegarde, doit permettre de pallier les problèmes de « l'approche évènementielle ». C'est-à-dire que cette approche permet tout à la fois une bien meilleure évolutivité de la stratégie de conduite et une prise en compte d'évènements concomitants mais indépendants.
Comme toute approche, « l'approche par états » doit nécessairement prendre en compte le retour d'expérience et doit donc évoluer. Plusieurs axes d'évolution sont à poursuivre. Tout d'abord, il faut constamment améliorer la prise en compte de la mesure de l'état physique de la cuve réacteur et des systèmes de sauvegarde. Ce travail doit tout d'abord viser à améliorer la fiabilité des informations fournies aux pilotes (retour d'expérience de Three Mile Island), mais aussi à garantir une redondance suffisante des instruments de mesures et enfin en ajouter dans le cas où ceux présents ne sont pas suffisants. Sur ces deux derniers points, l'analyse de l'accident de Fukushima sera sans doute riches d'instructions tant le manque d'informations fiables, y compris pour l'opérateur TEPCO, a été apparemment criant. D'autre part, ce travail d'approfondissement doit permettre d'encore améliorer la prévision d'accidents éventuels et donc d'y préparer les pilotes de centrales, et ce, même si et peut être surtout parce que ceux-ci n'y seront jamais confrontés durant toute leur carrière. Cette préparation doit permettre notamment l'acquisition d'automatismes qui, le moment venu, doivent permettre de limiter la survenue d'erreurs humaines. Ce dernier travail est notamment le rôle des simulateurs que vos rapporteurs vont maintenant présenter.
c) Le rôle des simulateurs
Les simulateurs sont aujourd'hui monnaie courante dans nombre d'activités. Ils permettent d'une part de faire des tests virtuels (conception assistée par ordinateur, résistance des matériaux et structures, ...) et d'autre part de former des opérateurs sans aucun danger (pilotage d'avion, conduite de train ou de voiture, ...). Il en est de même pour les centrales nucléaires. En effet, des simulateurs permettent :
- la conception initiale et la modification des centrales ;
- de mener des études incidentelles et accidentelles ;
- de concevoir et faire évoluer les procédures de contrôle des réacteurs ;
- l'étude du facteur humain ;
- la formation initiale et continue des pilotes de centrale.
Ainsi, comme pour les pilotes d'avions, ces simulateurs permettent, entre autre, de préparer les opérateurs à toutes les éventualités allant du simple incident jusqu'à l'accident grave.
• Présentation et conception des simulateurs
Plusieurs types de simulateurs sont utilisés pour l'étude des centrales d'un point de vue incidentel et accidentel. Les simulateurs dont nous parlons ici sont les simulateurs de pilotages notamment utilisés pour la formation des pilotes de centrales. Vos rapporteurs ont pu visiter un de ses simulateurs lors de la visite du CNPE de Gravelines.
Ces simulateurs se matérialisent sur chaque site de production électronucléaire par une salle de commande surnuméraire exacte réplique des salles de commandes de chaque tranche du site. Cette salle de commande est couplée à un simulateur informatique qui permet de rajouter une tranche virtuelle à laquelle il peut arriver, sans aucun danger, tous les pires accidents imaginables.
Ces simulateurs sont conçus par des sociétés externes à EDF. Corys T.E.S.S. 26 ( * ) (filiale d'Areva TA et EDF Développement Environnement) et Atos Origin détiennent actuellement le contrat de simulateurs pour EDF. Ce contrat porte sur la maintenance et la mise à niveau des 19 simulateurs (un par CNPE) et 7 configurations dédiées à la maintenance. Ainsi chacun des 19 CNPE dispose d'un simulateur pour la formation de ses pilotes. Néanmoins seulement 6 configurations existent : une pour chacun des six types de tranches actuellement en fonctionnement en France 27 ( * ) . Ainsi chaque type de simulateur est configuré pour modéliser la tête de série d'une tranche.
Par exemple, les réacteurs REP 900 MW CP1 sont simulés suivant la configuration de la tranche numéro 1 du Tricastin, et ce, quel que soit le type de source froide (tour aéroréfrigérante par convection, tour aéroréfrigérante à air pulsé ou prélèvement d'eau froide). Ainsi, pour 10 configurations actuellement en fonctionnement seulement 6 simulateurs sont conçus, maintenus et mis à niveau.
• Maintenance et mise à niveau des simulateurs
Dans les faits, ces simulateurs sont pensés et entretenus comme 6 tranches supplémentaires dans le parc nucléaire français. Ainsi, dès qu'une modification est effectuée sur la tranche tête de série, la même modification doit être effectuée sur les simulateurs correspondants. Par conséquent, lorsqu'une modification est effectuée par la Division production nucléaire 28 ( * ) (DPN) d'EDF, le Centre d'ingénierie du parc nucléaire en exploitation 29 ( * ) (CIPN) d'EDF, qui a préalablement conçu et validé la modification, transmet le cahier des charges de la modification au prestataire maintenant les simulateurs. Celui-ci conçoit alors une évolution du simulateur qu'il fait valider par EDF. Enfin, le prestataire procède à la mise à jour des simulateurs installés dans les centrales.
En outre, d'après Corys T.E.S.S. « la maintenance des simulateurs et leur rénovation permettent de remédier à l'obsolescence progressive des matériels et logiciels utilisés. Elle prend aussi en compte [...] l'évolution des besoins de formation des personnels. »
• Utilisation des simulateurs
Comme dit précédemment, ces simulateurs permettent de réaliser de nombreuses fonctions. Les simulateurs grandeur nature sont conçus pour se comporter comme une tranche réelle. Ainsi ils sont suffisamment réalistes pour servir à la conception et à l'optimisation des centrales et des procédures de contrôle et d'exploitation. En outre, ils permettent de procéder à des essais grâce à l'émulation de systèmes réels, et de valider des études de sûreté.
Sur le site de Corys T.E.S.S. deux exemples d'utilisation des simulateurs sont donnés. Le premier concerne le développement avec EDF du premier simulateur de réacteur de type EPR. Celui-ci est actuellement employé en support des études d'ingénierie du projet de construction de la future centrale de Flamanville, notamment pour valider les documents de conception. Son contenu et ses fonctionnalités évoluent régulièrement en fonction de l'avancement de la conception de cette centrale. Ce simulateur servira, en outre, à partir de 2010 d'outil de formation pour les futurs opérateurs de conduite. Le second exemple concerne le développement pour CNPEC (Chine) d'un simulateur de vérification et de validation du contrôle commande-numérique de la centrale REP 1000MW de Lingao II.
Les simulateurs sont aussi et avant tout utilisés comme outils de formation initiale et continue des opérateurs de conduite. Ils participent ainsi à la totalité du cycle de vie d'une centrale nucléaire et peuvent être utilisés pour la validation de nouvelles procédures ou des études d'optimisation. L'approche par état est ainsi apprise pas les pilotes de centrale sur des simulateurs complets. L'évolution de ces procédures est aussi validée sur de tels simulateurs. Ainsi l'approche par état est constamment mise à jour suite au retour d'expérience, qu'il soit en conduite normale, incidentelle ou accidentelle. De plus ces simulateurs permettent d'envisager un grand nombre de scénarios d'accidents et donc de préparer les opérateurs à ces situations.
Lors de notre visite du CNPE, nous avons pu observer pendant quelques minutes une séance de formation sur simulateur. Vos rapporteurs y ont appris que les pilotes passent 10% de leur temps de travail en formation dont 2/3 sur simulateur ; ce qui représente trois semaines par an.
d) Les mécanismes d'arrêt d'urgence
Comme pour tout système complexe, le pilotage d'une centrale nucléaire requiert un mélange d'humains et d'automates. Cette combinaison permet de toute évidence de pallier les limites de chacune des boucles de pilotage (une certaine lenteur pour les humains et une absence d'analyse intelligente pour les automates). On a vu a Fukushima que ce type de contrôle permet aux centrales de se mettre en arrêt d'urgence en quelques secondes ; des temps d'arrêts qui seraient inenvisageables si cet arrêt devait être effectué à la suite d'un ordre humain. Ainsi un ensemble de dispositifs actifs de protection - pompes, générateurs - sont activés de façon automatique dans le but de garantir ou de rétablir la sûreté des installations dans un délai qui ne laisserait pas à l'homme le temps d'agir. Lors d'une audition publique M. Jean-Marc Miraucourt, directeur de l'ingénierie nucléaire d'EDF, a indiqué à la mission qu' « il en va notamment ainsi de l'arrêt automatique de la réaction nucléaire, des soupapes de sécurité, de l'injection d'eau de secours dans le circuit du coeur du réacteur ainsi que dans le générateur de vapeur, de l'aspersion de l'enceinte et du démarrage, en dix secondes, des générateurs diesel de secours ».
Par ailleurs, ces systèmes d'arrêt d'urgence permettent la mise à l'arrêt automatique en cas d'anomalie sur n'importe quel paramètre affectant la sûreté. Ainsi, dans la réponse à une question d'un de vos rapporteurs, lors de l'audition du 24 mai 2011 concernant la vulnérabilité d'un réacteur à une prise de contrôle mal intentionnée - par exemple dans un accès de démence d'un des pilotes - du poste de pilotage, nous avons appris que « cette procédure d'arrêt d'urgence s'engage aussi bien pour des défaillances matérielles que pour des causes humaines. Un arrêt d'urgence du réacteur se produit ainsi en cas d'action inappropriée : une cinquantaine de cas sont enregistrés chaque année en France ».
À la suite de l'accident de Fukushima, qui a notamment provoqué une contamination au césium, l'ASN a adopté un cahier des charges le 5 mai dernier qui prévoit les procédures de contrôle de l'ensemble des systèmes de sauvegarde.
* 20 IRSN : Institut de Radioprotection et de Sureté Nucléaire ( http://www.irsn.fr )
* 21 IRSN. Three Mile Island (Etats-Unis) 1979. Institut de radioprotection nucléaire. [Visualisé le 16 juin 2011]
* 22 EPR : European Pressurized Reactor (réacteur pressurisé européen), réacteur de génération III conçu par Areva NP
* 23 SPI :Surveillance Permanente Incidentelle
* 24 U : procédures Ultimes
* 25 SPU : Sortie de la Phase d'Urgence
* 27 CP0, CP1, CP2, P4, P'4 et N4
* 28 Cette division rassemble les 19 centres nucléaires de production d'électricité (CNPE) en fonctionnement, ainsi que deux unités nationales: UTO (Unité Technique Opérationnelle) et UNIE (UNité d'Ingénierie d'Exploitation).
* 29 Cette unité est responsable de l'ingénierie de la partie nucléaire des centrales (bâtiment réacteur...). Elle assure la conception des modifications ainsi que la préparation et la réalisation des travaux de maintenance lourde sur les gros composants nucléaires (générateurs de vapeur, circuits primaires...). Par la présence d'équipes dédiées sur les sites, le CIPN assure un appui au parc nucléaire en exploitation et contribue au développement de sa durée de fonctionnement.