B. - UNE ORGANISATION DE LA SÉCURITÉ TRÈS COMPLÈTE
Comme exposé à vos rapporteurs lors de l'audition sur « les protections des réacteurs nucléaires » , c'est la conception même du réacteur qui constitue la première ligne de défense : dès la phase de projet, il s'agit de recenser les fonctions de sûreté à assurer.
Leur maîtrise garantit en effet la protection de l'homme et de l'environnement contre les effets des accidents. D'autres dispositifs peuvent ensuite être ajoutés lors des contrôles ou des révisions de sûreté par upgrading, c'est-à-dire une mise à niveau constante de l'ensemble des éléments du réacteur hors cuve et enceinte de confinement.
1. Un bouclier multiforme
Pour dimensionner les systèmes de protection, il s'agit tout d'abord de définir la stratégie de défense et de cumuler les lignes, qui peuvent ainsi être multiples et diversifiées.
Il existe trois angles d'approche : la multiplicité des dispositifs de protection (passifs, actifs, ou pilotés par un opérateur), la robustesse des dispositifs (redondance, diversité, et vérification), et le facteur humain (procédures et formation).
a) Les différentes barrières de protection
Nos installations reposent sur trois critères de sûreté : la maîtrise de la réaction nucléaire, l'évacuation de la puissance et le confinement de la radioactivité.
La conception même du coeur des réacteurs à eau pressurisée (REP) français intègre un système de sûreté passive : l'auto-régulation de la puissance du coeur en cas d'augmentation de la puissance nucléaire.
En effet, ces réacteurs ont un coefficient de vide négatif , qui correspond à un auto-contrôle de la réaction nucléaire : si la puissance neutronique augmente, la densité de l'eau diminue, ce qui a pour effet de diminuer la densité du modérateur (l'eau est à la fois caloporteur et modérateur), d'où une diminution de la puissance.
Un coefficient de vide positif correspond à un auto-emballement potentiel du réacteur ; c'est l'un des facteurs qui ont amené à la catastrophe de Tchernobyl.
L'arrêt de la réaction nucléaire est obtenu en faisant varier la quantité de matériaux absorbant les neutrons dans le coeur. Pour cela, deux moyens complémentaires sont disponibles :
- passivement , par l'utilisation des crayons absorbants, ou « grappes de contrôle », qui peuvent être introduits dans le coeur. Généralement utilisées pour réguler la puissance du réacteur, ces grappes peuvent également chuter très rapidement sous leur propre poids en cas de perte d'alimentation électrique.
- piloté par un opérateur , en faisant varier la concentration en acide borique, un absorbant de neutrons dilué dans l'eau primaire. L'acide borique présente l'avantage d'être réparti uniformément dans le volume du coeur, mais sa concentration ne varie pas rapidement.
Les réacteurs français disposent de soupapes automatiques de sécurité sur le circuit du réacteur et sur les générateurs de vapeur. Il est également possible de procéder à une injection d'eau de secours dans le circuit du coeur du réacteur ou dans les générateurs de vapeur.
Le démarrage des générateurs diesels de secours se fait également automatiquement en cas d'interruption de l'alimentation électrique de la centrale.
Il faut toutefois souligner que, à la différence du Japon, le système de détection sismique des centrales françaises ne conduit pas, en cas de dépassement du seuil visé, à une mise à l'arrêt automatique des réacteurs. Le système de détection a pour vocation de donner l'alarme et de transmettre des données afin d'être en mesure de prendre rapidement les dispositions adéquates pour mettre et maintenir les tranches de la centrale dans l'état de repli considéré pour chacune d'elles comme le plus sûr après l'apparition du séisme, ou pour en poursuivre l'exploitation.
b) La robustesse du dispositif
Comme souligné lors de l'audition du 24 mai 2011, la robustesse de ces systèmes de protection repose sur trois principes :
Ø La redondance
Les actions automatiques de protection du coeur, destinées à agir dès les premiers instants d'un accident, sont quadruplées dans le contrôle-commande. Les systèmes de sauvegarde - injections de sécurité, diesels de secours, circuits d'aspersion auxiliaires, circuits de refroidissement des piscines de stockage de combustible - sont doublés, chacun d'eux pouvant assurer, à lui seul, la fonction requise.
Nous verrons (pages 117 et 118) que, dans l'EPR, la redondance de ces systèmes de protection a été encore accrue.
Ø La diversité
Les centrales disposent, en permanence, de cinq sources d'alimentation électrique différentes, dont les diesels de secours. Une seule de ces cinq alimentations est suffisante pour garantir le fonctionnement des matériels de sûreté.
Pour le cas particulier du refroidissement du coeur, outre les cinq sources électriques décrites précédemment, sont également disponibles des turbopompes, fonctionnant grâce à la vapeur produite par le générateur de vapeur lui-même, ce qui permet de se dispenser d'alimentation électrique extérieure.
Ø La vérification
Des vérifications du bon fonctionnement des systèmes de protection sont effectuées en permanence. Ainsi, plus de 2 000 essais destinés à vérifier le bon fonctionnement des systèmes de protection sont réalisés sur chaque réacteur tous les ans, se succédant à intervalles de quelques jours pour les fonctions les plus importantes (la fréquence des essais étant adaptée à la nature et à l'importance de la fonction).
En cas d'indisponibilité d'un système de protection, l'arrêt du réacteur peut être décidé, sous une heure par les systèmes assurant la protection du coeur à court terme.
c) Les piscines d'entreposage
S'agissant des combustibles usés entreposés dans les piscines, l'accident de Fukushima a montré une vulnérabilité d'autant plus préoccupante qu'une piscine peut contenir à un instant donné l'équivalent de plusieurs coeurs de réacteur.
Cette vulnérabilité concerne également les piscines d'entreposage de l'usine de retraitement de La Hague , ainsi que l'ensemble des unités du cycle du combustible qui font de l'entreposage.
Vos rapporteurs considèrent qu'il s'agit d'un point qui devra être pris en compte dans le cadre des évaluations de sûreté conduites par l'ASN au titre du retour d'expérience.
d) Les procédures de conduite et la formation des opérateurs
Ø Les Procédures de conduite
La centrale doit pouvoir être pilotée de manière sûre en situation normale et en situation accidentelle. Pour cela, les exigences et les contraintes à satisfaire sont adaptées selon les types de situation.
• Principes de conduite normale
Les principes de conduite normale recouvrent le fonctionnement en puissance, en suivi de charge, ou l'arrêt et le démarrage du réacteur. Mais ils recouvrent également les évènements non programmés n'entrant pas dans une classification incidentelle ou accidentelle.
Dans ce dernier cas, des conduites particulières doivent être appliquées par l'équipe de conduite en remplacement ou en support des consignes normales.
• Principe de conduite incidentelle ou accidentelle
Les règles de conduite ont pour objet la réduction des conséquences et la sauvegarde du coeur, par des actions à réaliser sur l'installation à partir des informations fournies par l'opérateur.
En cas d'accident grave, c'est-à-dire si la température en sortie de coeur dépasse 650°C, le fonctionnement du réacteur peut exiger une conduite inhabituelle, parfois même en contradiction avec la conduite normale.
Ø La formation du personnel
Les opérateurs bénéficient d'une formation pratique et théorique de 2 ans dispensée par EDF, puis ils rejoignent un réacteur où ils sont encadrés par un opérateur expérimenté pendant une période complémentaire.
L'opérateur bénéficie ensuite de trois semaines de formation par an sur un simulateur, dont la description est faite plus en détail (page 87).
Mais la consolidation de la sûreté ne passe pas uniquement par les dispositions prises par les industriels et l'exploitant, elle se base également sur un arsenal de contrôle et de réexamen exigeant, couvrant l'ensemble des composantes de la filière.