Mon exposé portera sur trois sujets : les principes de conception des systèmes de protection, la façon dont ils sont dimensionnés et l'évaluation de leur robustesse.
Les principes de conception reposent sur une démarche systématique. Comme pour les aléas naturels, on commence par recenser les fonctions de sûreté à assurer. Leur maîtrise assure la protection de l'homme et de l'environnement contre les effets des accidents.
Nos installations bénéficient de trois fonctions de sûreté principales : la maîtrise de la réaction nucléaire, l'évacuation de la puissance et le confinement de la radioactivité.
Pour dimensionner les systèmes de protection, on définit la stratégie de défense en profondeur de ces trois fonctions et on cumule les lignes de défense, qui peuvent être multiples, successives et diversifiées.
La conception de ces systèmes est contemporaine de celle des centrales, et se concrétise par les autorisations de création et de mise en service. Mais il est tout aussi important de les soumettre à révision lors de chaque examen de sûreté, notamment lors des réexamens décennaux, conformément au principe d'amélioration continue de la sûreté. La vérification de la robustesse des systèmes peut alors déboucher sur des modifications d'installations, qui peuvent être décidées sur trois fondements : le retour d'expérience, national et international ; l'amélioration des connaissances scientifiques avec, en particulier, le perfectionnement des moyens de calcul et des modélisations numériques ; enfin, l'augmentation générale des exigences de sûreté.
Il existe trois lignes de défense en profondeur : celle des dispositifs de protection passifs, celle de la protection active automatique, et celle de la protection active mis en oeuvre par les opérateurs.
Les dispositifs passifs consistent d'abord à dresser trois barrières entre le combustible du coeur du réacteur et l'extérieur de la centrale. La première est composée des gaines qui entourent le combustible dans la cuve, la deuxième est le circuit primaire dans lequel circule l'eau de refroidissement, la troisième est l'enceinte de confinement.
Le parc français est constitué de réacteurs standardisés de la filière à eau pressurisée – en anglais PWR. La vapeur sortant de l'enceinte de confinement et actionnant la turbine n'est pas radioactive car l'eau n'a pas circulé dans le coeur, contrairement à ce qui se passe dans les réacteurs à eau bouillante – la technologie BWR de Fukushima. On peut donc dire que la technologie PWR offre une ligne de défense supplémentaire.
La conception même du coeur du réacteur le rend « auto-stable » : une excursion de puissance, pour quelque raison que ce soit, provoque une élévation de la température qui, elle-même, étouffe la puissance nucléaire. À Tchernobyl, au contraire, le coeur s'« auto-emballait » en cas d'augmentation de la puissance.
Autres dispositifs passifs : la réaction nucléaire s'arrête en cas de perte d'alimentation électrique – les barres chutent alors dans le coeur sous l'effet de leur propre poids – et, en cas de chute de pression, des réservoirs sous pression déclenchent d'eux-mêmes une injection d'eau de sécurité dans le coeur.
Certains dispositifs actifs – pompes, générateurs – interviennent de façon automatique pour rétablir une situation de sûreté dans un délai qui ne laisserait pas à l'homme le temps d'agir. Il en va notamment ainsi de l'arrêt automatique de la réaction nucléaire, des soupapes de sécurité, de l'injection d'eau de secours dans le circuit du coeur du réacteur ainsi que dans le générateur de vapeur, de l'aspersion de l'enceinte et du démarrage, en dix secondes, des générateurs diesel de secours.
Les dispositifs de protection actifs qui sont mis en oeuvre par les opérateurs interviennent plusieurs heures ou plusieurs jours après un accident.
La première tâche des opérateurs consiste à vérifier que tous les systèmes automatiques sont bien entrés en service. Il s'agit ensuite pour eux d'engager les actions à long terme permettant de regagner un état sûr par refroidissement et par dépressurisation du réacteur, par contrôle de la concentration en bore de l'eau, etc. L'ensemble de ces actions fait l'objet de procédures de conduite accidentelles auxquelles les opérateurs sont formés et rompus, grâce notamment à la présence d'un simulateur pleine échelle sur chaque site.
La robustesse des systèmes de protection repose sur trois types de mesures : de redondance – on multiplie les systèmes identiques –, de diversification – des systèmes différents assurent une même fonction de sûreté – et de vérification périodique et fréquente du bon fonctionnement de l'ensemble.
Redondance : les actions automatiques de protection du coeur à court terme sont quadruplées dans le contrôle-commande ; les systèmes de sauvegarde – injections de sécurité, diesels de secours, circuits d'aspersion auxiliaires, circuits de refroidissement des piscines de stockage de combustible – sont doublés, chacun d'eux pouvant assurer à lui seul la fonction requise. L'EPR partant d'une nouvelle conception, la redondance de ses systèmes de protection a été encore accrue.
Diversification : il existe, par exemple, cinq moyens de secours électrique différents, dont les diesels de secours, protégés contre les séismes et les inondations. Une seule de ces cinq alimentations est suffisante pour garantir le fonctionnement des matériels de sûreté. D'autre part, pour refroidir le coeur par le générateur de vapeur, nous avons à la fois des pompes électriques et des turbopompes fonctionnant grâce à la vapeur produite par le générateur lui-même, ce qui permet de se dispenser d'alimentation électrique extérieure.
Vérification en permanence du bon fonctionnement des systèmes de protection : les opérateurs procèdent à plus de 2 000 essais périodiques par réacteur et par an – ils se succèdent à intervalles de quelques jours seulement pour les fonctions les plus importantes. La révélation de l'indisponibilité d'un système de protection peut entraîner l'arrêt du réacteur, sous une heure, par les systèmes assurant la protection du coeur à court terme.
Le dimensionnement des systèmes de protection obéit à une démarche déterministe, postulant les défaillances les plus graves. On la complète par une vérification probabiliste exhaustive afin de ne pas passer à côté de certaines situations critiques. Enfin, on suppose la défaillance des deux lignes de défense précédentes et on met en place une ligne de défense ultime.
Démarche déterministe : pour chaque fonction de sûreté – ainsi la maîtrise de la réaction nucléaire –, on suppose la défaillance des systèmes assurant la première ligne de défense et on se dote de dispositifs supplémentaires. Par exemple, pour la fonction d'évacuation de puissance, on suppose la rupture totale et instantanée du circuit primaire, qui entraîne la vidange du coeur du réacteur et l'entrée en service des dispositifs de secours destinés à renoyer le coeur avant atteinte des critères de sûreté.
Démarche probabiliste : on recense tous les systèmes jouant un rôle de sûreté et on quantifie leur fiabilité, ce qui permet d'évaluer la probabilité du risque résiduel de fusion du coeur, ainsi que de réorienter les examens de sûreté vers des sujets qui auraient pu échapper à la démarche déterministe.
Les valeurs du risque de fusion du coeur retenues en France sont inférieures aux objectifs fixés par l'Agence internationale de l'énergie atomique (AIEA) : moins d'un risque tous les 100 000 ans suite à des défaillances internes à la centrale, et moins d'un risque tous les 10 000 ans du fait d'une agression externe.
En ligne de défense ultime, nous mettons en place des moyens de maîtriser les conséquences des accidents graves, l'objectif étant d'éviter des rejets radioactifs sur les populations. Nous en avons déjà fourni des exemples lors de précédentes auditions, tels que l'installation de recombineurs d'hydrogène passifs et de filtres à sable qui retiennent le césium en cas de décompression de l'enceinte de confinement.
À la suite de l'accident de Fukushima, qui a provoqué une contamination par le césium, nous allons réexaminer l'ensemble de ces lignes de défense, conformément au cahier des charges arrêté par l'ASN le 5 mai dernier. Nous pousserons aussi les investigations au-delà des lignes actuelles.
Les atouts du système français de protection résident donc dans la conception initiale du réacteur à eau pressurisée, dans une amélioration continue de la sûreté au fil des réexamens de celle-ci, dans la standardisation d'un parc permettant une mise à niveau régulière des 58 réacteurs, dans une formation des opérateurs de haut niveau, dans une organisation industrielle qui intègre une R & D forte effectuée par l'IRSN, par le CEA ainsi qu'au niveau international, enfin dans l'intégration, au sein d'EDF, d'une ingénierie et de moyens d'exploitation assurant une maîtrise continue de la conception des centrales tout au long de leur cycle de vie.