L’analyse de la sûreté des centrales nucléaires
3.3 L’approche déterministe de la sûreté
3.3.2 Principes généraux de la défense en profondeur
Davantage qu’une méthode, la défense en profondeur est une idée directrice, que l’on peut ainsi résumer : toute installation nucléaire doit être dotée d’un ensemble de lignes de défense organisées de sorte que la protection des hommes et de l’environnement contre les rayonnements ionisants ne dépende jamais d’une ligne seule. Elle consiste à mettre en place, par des interventions à chaque stade de la vie d’une centrale (conception, construction, mise en service, exploitation, mise à l’arrêt, démantèlement), des équipements et des procédures destinés à prévenir tout événement qui pourrait menacer l’une des fonctions de sûreté, à le détecter précocement s’il devait malgré tout se produire
et à empêcher sa progression, enfin à en limiter les conséquences néfastes. Ces équipements et procédures doivent être organisés en une succession de lignes, chaque ligne étant conçue dans le but de limiter les conséquences d’une défaillance au niveau inférieur et d’éviter des dérèglements supplémentaires qui nécessiteraient une réponse au niveau supérieur (voir le tableau 3.1).
Table3.1 – Objectifs et moyens de la défense en profondeur Niveau de
défense Objectifs Moyens principaux 1 Prévention du fonctionnementanormal et des défaillances
Conception selon des hypothèses conservatrices, qualité de réalisation et d’opération 2 domaine autorisé et détection desMaintien de l’installation dans le
défaillances
Systèmes de régulation, de contrôle et de protection et autres mécanismes de surveillance 3 Maîtrise des accidents à l’intérieurdes hypothèses de conception procédures de gestion des accidentsSystèmes de sauvegarde et 4
Prévention de la progression des séquences accidentelles et maîtrise
de leur conséquences
Mesures complémentaires et gestion des accidents graves
5 radiologiques de rejets importantsMitigation* des conséquences Plans d’intervention d’urgenceextérieure au site
Source : à partir de Libmann (1996)
Le premier niveau de la défense en profondeur consiste d’abord à identifier et décrire les situa- tions normales d’opération du réacteur (fonctionnement normal, transitoires* normaux, certaines situations d’arrêt), ainsi que les scénarios d’agression interne* (incendie, inondation) ou externe* (secousse sismique, conditions météorologiques extrêmes, etc.) dont on estime que l’installation doit pouvoir les subir sans que son fonctionnement soit perturbé ou sans que cela conduise à des rejets importants de radionucléides. Il s’agit ensuite de dériver les contraintes physiques (mécaniques, thermiques, de pression, etc.) maximales auxquelles les différents constituants de l’installation sont soumis dans ces situations. Il faut enfin s’assurer de l’existence d’une marge de sûreté suffisante entre ces niveaux de contrainte et les limites techniques de chaque constituant, tel qu’il est conçu, mis en œuvre et exploité. L’ensemble des états de l’installation couverts par les marges de sûreté forme son domaine de fonctionnement autorisé. Le premier niveau comprend des contraintes strictes de qualité dans la conception, la construction et l’exploitation des installations visant à assurer qu’en situation normale, l’installation se trouve toujours à l’intérieur de ce domaine8.
L’objectif du deuxième niveau de défense est de maintenir l’installation à l’intérieur de ce do- maine, grâce à des systèmes de régulation, de contrôle et de protection censés corriger toute évolution
anormale avant qu’elle ne conduise à une sollicitation excessive d’un matériel. Ces systèmes sont ceux qui permettent de réguler l’activité du cœur (température, pression et puissance neutronique ou thermique), de protéger celui-ci de l’effet des dérèglements lorsque la régulation s’avère insuf- fisante (soupapes de sûreté, procédures d’arrêt du réacteur), de surveiller l’efficacité des barrières et des systèmes d’épuration (mesures de la radioactivité et des conditions atmosphériques) et de contrôler périodiquement l’évolution des matériels (recherche de fissures, essai des matériels, etc.). Le troisième niveau est conçu sous l’hypothèse de sortie du domaine autorisé. Il se fonde sur un ensemble hypothétique d’incidents et d’accidents, que l’on postule pour concevoir les systèmes automatiques de sauvegarde : injection d’eau de secours dans le circuit primaire, alimentation de secours en eau des générateurs de vapeur, aspersion à l’intérieur de l’enceinte pour faire baisser la pression, isolement automatique des traversées, etc. Le but, ici, est de ménager aux opérateurs un temps suffisant pour établir un diagnostic fiable avant d’intervenir sur l’installation, et de préserver l’intégrité de la structure du cœur afin de permettre un refroidissement ultérieur et de limiter les rejets dans l’environnement. Les accidents pris en charge à ce niveau peuvent conduire à des rejets incontrôlés, mais non à une fusion du cœur.
Le quatrième niveau est placé sous l’hypothèse d’accidents particulièrement graves (tels qu’un accident de manutention du combustible ou la rupture complète d’une tuyauterie primaire) ou de défaillances multiples (comme la perte totale d’alimentation électrique ou la défaillance de l’ar- rêt d’urgence du réacteur lors d’un transitoire). Comme au niveau précédent, les événements de référence sont déterminés a priori. En présence d’une défaillance multiple, il est fait appel à des systèmes alternatifs qui permettent de prévenir un grave endommagement du cœur du réacteur. Dans un cas d’accident grave, en revanche, il y a fusion plus ou moins complète du cœur, les deux premières barrières de confinement sont franchies et la défense repose donc principalement sur la tenue de l’enceinte de la centrale. Il s’agit alors, à travers le Plan d’Urgence Interne, de prolonger le confinement assuré par l’enceinte aussi longtemps que possible afin de protéger les populations extérieures.
Enfin, le cinquième niveau examine l’hypothèse où, les mesures précédentes ayant failli, des rejets importants peuvent avoir lieu. Des Plans Particuliers d’Intervention mettent en jeu des me- sures de protection civile telles que l’évacuation ou le confinement de la population, la distribution prophylactique de tablettes d’iode, ou les restrictions de consommation. Ces mesures, qui relèvent de décisions des autorités de protection civile et non de l’exploitant, ne sont pas nécessaires lorsque le confinement de la matière radioactive dans l’enceinte de la centrale s’avère efficace.
Les trois premiers niveaux de la défense en profondeur sont censés assurer la maîtrise d’un ensemble d’événements pris en compte dans le dimensionnement de l’installation. Ce sont les seuls que la défense en profondeur comptait à son origine (et jusqu’au milieu des années 1970), lorsque
l’ambition était de parvenir à maîtriser tout événement à l’intérieur des limites de la centrale (voir la sous-section 4.1.1). Les concepteurs des centrales nucléaires étaient alors convaincus que les systèmes de sauvegarde et, en dernier recours, l’enceinte de confinement permettraient d’éviter des rejets importants de matières radioactives (sauf événement a priori extrêmement improbable et, de fait, non pris en compte).
La mise en échec des trois premiers niveaux (c’est-à-dire la survenue d’un accident entraînant de graves dommages du cœur) représente donc en soi une défaillance générale de l’installation. Le quatrième niveau de défense est constitué de mesures additionnelles (c’est-à-dire non intégrées à la conception) visant à limiter les rejets. Le cinquième niveau représente le passage de l’accident hors de l’enceinte, à partir duquel la défense relève de la responsabilité des autorités publiques. Sous l’hypothèse d’un dépassement des trois premiers niveaux, les objectifs de la défense en profondeur deviennent plus limités, et l’appréciation de son efficacité dépend largement du contexte et des conséquences finales de la séquence. Il existe donc une discontinuité importante, en termes de logique et de méthodes, entre le troisième et le quatrième niveaux de la défense en profondeur.
De ce fait, nous commençons dans la suite par analyser les méthodes et les conditions d’efficacité de la défense en profondeur dans les trois niveaux inférieurs avant de nous tourner vers les arguments et les choix méthodologiques qui ont présidé à la transformation du concept d’origine.