La troisième génération de réacteurs nucléaires français a été conçue après l'accident de Tchernobyl. Elle a donc intégré des exigences de sûreté supérieures avec la prise en compte des risques d'accident les plus graves.
Trois objectifs ont été poursuivis : réduire la probabilité d'un accident grave, par la prévention et en prenant en compte des hypothèses d'agression externes comme internes ; en réduire également l'impact sur les populations en cas de fusion du coeur ; renforcer la capacité de résistance aux agressions externes, y compris la chute d'un avion commercial.
Les moyens de réduire la probabilité d'un accident grave sont les mêmes que pour les générations précédentes : redondance fonctionnelle et diversité des systèmes comme des équipements. Cependant, on a ajouté un élément supplémentaire : une séparation géographique, pour parer un risque de modes communs d'agression.
La protection contre les accidents graves bénéficie d'une innovation caractéristique de cette troisième génération : le récupérateur de corium. Mais il faut aussi mentionner au même titre la coque « anti-chute d'avion » qui, dans l'EPR, défend une partie des systèmes de sauvegarde et le bâtiment renfermant le combustible nucléaire.
Les événements pris en compte sont la perte de réfrigération primaire, la perte des alimentations électriques externes – ce qui s'est produit à Fukushima –, la défaillance des injections de sécurité et celle des diesels principaux, l'incendie, l'inondation, les séismes, les chutes d'avion, ainsi que l'accident grave qu'est la fusion totale du coeur du réacteur.
Les circuits de sauvegarde principaux sont maintenant d'une redondance 4 : chacun des quatre trains de sûreté a la capacité, à lui seul, d'assurer une protection intégrale du réacteur ; chacun est en outre installé dans un bâtiment séparé. La redondance devient ainsi organique et non plus seulement fonctionnelle.
Chaque division est alimentée par la source normale mais, en plus, par un diesel principal de secours. Deux des trains de sauvegarde peuvent en outre être alimentés par un diesel supplémentaire et de technologie différente, dite SBO (pour station black out).
En cas de défaillance du réseau électrique principal, toute une série de mesures sont possibles. La plus simple est l'îlotage, c'est-à-dire l'auto-alimentation de la tranche par son propre turboalternateur. En cas d'échec, on peut recourir au démarrage automatique des quatre diesels de secours. Si l'on a perdu le réseau principal proche de la centrale, on peut basculer sur un réseau auxiliaire, non plus à 400 kilovolts mais à 110 kilovolts, branché plus loin et garantissant un repli sûr. Enfin, même si les diesels de secours refusent de démarrer, on garde toujours la possibilité de faire appel aux deux diesels SBO, un seul pouvant d'ailleurs suffire.
Les quatre trains de sauvegarde sont donc séparés, deux d'entre eux, contigus, faisant l'objet d'une protection supplémentaire par coque anti-avion cependant que les deux autres sont disposés de part et d'autre du bâtiment contenant le réacteur, de sorte qu'aucune agression ne saurait les mettre tous deux hors service en même temps. La coque protège aussi le bâtiment qui renferme le combustible. Il en résulte une protection générale très supérieure à celle des réacteurs des générations précédentes.
Cette coque protège bien sûr contre les agressions externes, mais aussi internes – incendies, inondations, ruptures de tuyauterie. C'est un élément que l'on doit aux Allemands, l'EPR étant à l'origine un projet conjoint.
Pour ce qui est des six diesels aussi, nous avons joué sur la diversification géographique : ils sont logés dans deux bâtiments différents, situés de part et d'autre de celui qui abrite le réacteur, afin de parer au risque d'une agression qui les mettrait hors service en même temps. Recevant donc chacun deux diesels de secours et un diesel SBO à même d'alimenter un des trains de sauvegarde, ces bâtiments sont résistants aux séismes et leurs portes résistent, en outre, aux surpressions. Un réexamen est en cours dans le cadre des stress tests, mais les diesels sont déjà bien protégés.
Pour la protection contre les chutes d'avion, nous avons pris en compte non seulement les avions légers et les avions militaires, mais aussi les avions commerciaux. D'où l'ajout de la « coque avion » qui équivaut à une deuxième enceinte du bâtiment réacteur. Outre donc qu'elle résisterait à l'impact d'un avion commercial gros porteur, le choc ne se répercuterait quasiment pas sur l'enceinte interne – les deux sont, en effet, séparées par un espace important, et ne sont en contact que par l'intermédiaire du radier.
Le bâtiment combustible et les bâtiments de sauvegarde 2 et 3 sont dotés de la même paroi externe, résistant aux mêmes types de chocs, et il y a également un espace entre les parois externe et interne de ces bâtiments.
Les bâtiments non protégés par la coque sont physiquement séparés, de sorte que leur mise hors service simultanée est très peu probable. La perte d'un de ces bâtiments ne remettrait pas en cause la protection de l'ensemble.
J'en viens à la protection du public contre les accidents graves. Dans l'hypothèse où une fusion du coeur surviendrait, un système de récupération du corium est prévu : si le coeur fondu sortait de la cuve, il viendrait s'étaler de lui-même dans une zone réfractaire et il serait passivement refroidi grâce à l'eau du grand réservoir compris dans l'enceinte de confinement. Je dis « passivement » car le réservoir est situé à une altitude plus élevée que le récupérateur du corium. L'eau circulerait d'abord entre les dalles réfractaires du récupérateur et le radier pour protéger le béton de ce dernier ; elle viendrait ensuite, par déversement, renoyer le coeur fondu étalé et le solidifier. À plus long terme, il faudrait mettre en service un système actif pour évacuer la chaleur – c'est le rôle du système d'aspersion –, mais j'insiste sur le fait que les premières actions sont de nature passive.
La double enceinte limiterait les rejets dans l'environnement. L'enceinte interne est dotée d'une peau d'étanchéité métallique et les fuites éventuelles entre les deux enceintes, qui pourraient notamment résulter de faiblesses des traversées, seraient reprises et passeraient par un filtre à sable – c'est le cas depuis la construction des réacteurs de 1 300 MW. Ce dispositif empêcherait, en particulier, le rejet massif de particules de césium.
J'ajoute qu'une cinquantaine de recombineurs passifs sont répartis dans le bâtiment réacteur pour garantir que l'hydrogène brûlera dans chacun des sous-compartiments avant d'atteindre une concentration conduisant à une déflagration. En outre, la zone destinée à accueillir le corium est sèche, ce qui évite les risques d'explosion de vapeur – ils existent seulement lorsque le corium coule dans de l'eau, et non dans le cas contraire.
Dans ces conditions, il ne serait pas nécessaire d'évacuer les populations se trouvant à proximité du site en cas de fusion du coeur, et l'on ne condamnerait pas plus d'une récolte dans l'hypothèse de cet accident maximal. Il y a là une différence considérable avec les événements qu'a connus le Japon.
L'accident de Fukushima appelle toutefois notre attention sur un phénomène que nous n'avons peut-être pas suffisamment pris en compte : la conjonction d'événements exceptionnels. C'est pourquoi AREVA s'est lancée, en coopération très étroite avec EDF, dans un processus de réexamen des installations dans le cadre des stress tests proposés par la WENRA (Western European Nuclear Regulators Association) et dans la lettre de l'ASN en date du 5 mai dernier. Nous allons étudier, en particulier, les questions de la survie des diesels en cas d'inondation jusqu'à une certaine hauteur, de l'étanchéité des portes et de l'accès à la source froide en cas d'obstruction par des débris. Cette évaluation étant en cours, il serait prématuré d'annoncer des résultats tant que nous n'avons pas pu en discuter avec les autorités de sûreté.