A propos de l'incident du Bugey
Nous avons déjà publié
une relation de l'incident de Bugey 5 dans la La Gazette Nucléaire
N°64/65. Nous vous donnons donc les conclusions du rapport
d'analyse. Il nous semble significatif à plus d'un titre.
D'une part, c'est la preuve que 5 ans
après TMI, les
mesures que devait prendre EDF de toute urgence n'ont pas été
prises: en effet, il y a encore regroupement d'alarme sur une
même vérine et ces alarmes sont différentes
(défaut isolation, défaut alimentation) et surtout
non hiérarchisées. Ceci conduit donc l'opérateur
à négliger le signal ou même à l'interpréter
dans le mauvais sens. Il y a également encore un problème
avec les vannes, leur position physique n'est toujours pas signalée,
on ne signale que l'ordre envoyé !!
D'autre part, la réaction d'EDF
a été sans commune mesure avec l'incident. Certes
le Canard Enchaîné
a créé un choc psychologique en le rappelant au
moment où tout le monde se gargarisait sur la bonne conduite
de nos réacteurs mais tout de même il est particulièrement
instructif de prendre nos officiels en flagrant délit de
mensonge car ils ont menti: les procédures accidentelles
n'étaient pas opérationnelles en avril 84. Qu'elles
le soient maintenant ne change rien. Il a fallu 5 incidents précurseurs
et 1 incident grave pour changer. C'est un peu long tout de même.
La question qui se pose avec acuité
c'est: qu'a-t-on réellement fait à la suite de Bugey
5 ?
Conclusions
L'incident survenu sur la tranche 5 du centre de production nucléaire
de Bugey le 14.04.1984 est sans aucun doute celui pour lequel
on a approché le plus près d'un accident grave
depuis le démarrage de la première tranche du parc
REP français. Une défaillance
unique supplémentaire sur l'autre voie électrique
aurait en effet conduit à une perte complète des
alimentations électriques, situation hors dimensionnement
pour laquelle les dispositions palliatives prévues (procédure
H3) n'étaient pas encore opérationnelles sur le
site.
La présente analyse n'a porté
que sur les causes de l'incident et ses aspects liés aux
systèmes électriques; elle devra se poursuivre par
un examen du comportement des autres parties de l'installation
notamment au cours de la phase de récupération du
contrôle de la tranche.
Cette analyse permet cependant de mettre
en lumière trois éléments principaux de réflexion:
1) l'importance d'une bonne organisation des alarmes tant en matière
de regroupement que de codification de leurs couleurs: il s'agit
là du premier élément de l'interface homme-machine
au cours d'un transitoire incidentel ou accidentel qui n'a sans
doute pas été suffisamment analysé dans le
cadre des actions post-TMI. Quoique le plus spectaculaire, l'incident
de Bugey est loin d'être le seul à souligner cet
aspect,
2) la possibilité de défaillance non franche jusqu'à
présent, toutes les analyses de sûreté, qu'elles
soient déterministes ou probabilistes, ne prennent en compte
que des défaillances complètes des équipements
(il marche ou ne marche pas) à l'exclusion de mode de fonctionnement
dégradé ou aléatoire. La prise en considération
de ces défaillances non franches laisse l'analyste de sûreté
désarmé devant l'infinité du nombre de configurations
qu'il faudrait envisager. Tout doit donc être mis en oeuvre
pour éviter ce type de défaillance et limiter le
domaine dans lequel elle peuvent survenir,
3) la complexité des systèmes de distribution électriques:
l'incident de Bugey met en évidence à la fois les
interdépendances entre source de contrôle-commande
et source de puissance et le fait qu'une défaillancé
de source électrique peut affecter simultanément
les moyens d'actions et les informations fournies aux opérateurs
ce qui rend le contrôle de telles situations particulièrement
délicat. Malgré le développement récent
par EDF des procédures «perte de source» l'incident
de Bugey montre que les opérateurs sont insuffisamment
armés pour faire face à certains types de défaillance
des sources électriques. L'effort entrepris après
TMI pour améliorer les procédures accidentelles
destinées à parer à toute sorte de défaillance
«de type mécanique» - avec notamment l'approche par état et la procédure
UI - mériterait d'être poursuivi pour parer à
toute sorte de défaillance «de type électrique»
compte tenu de leur impact spécifique sur les informations
fournies aux opérateurs.
Au-delà de ces réflexions
générales, les principales mesures correctives destinées
à éviter le renouvellement de cet incident ou d'incidents
analogues paraissent devoir être les suivantes:
Mesures préventives
Les actions déjà entreprises
ou prévues par EDF en matière de séparation
d'alarmes des tableaux LCA sont satisfaisantes. Le problème
de fond ne sera toutefois réglé que par la mise
en application des conclusions issues du groupe de travail sur
les alarmes mis en place par EDF et auxquelles il conviendra d'attacher
une attention toute particulière.
Le basculement automatique des redresseurs
(remplacement du redresseur en service tombant en panne, par le
redresseur en réserve) de la source LCA mis à l'étude
par EDF paraît également une modification nécessaire
et satisfaisante.
Cet automatisme devrait être élaboré
à partir des informations «niveau de la tension régnant
sur le jeu de barres de distribution» et «sens du
courant circulant dans la batterie». Il conviendra d'examiner
l'extension éventuelle de cette mesure à d'autres
sources de contrôle-commande.
Mesures palliatives
Compte tenu de l'impossibilité
d'analyser le comportement de l'installation avec une tension
dégradée du contrôle-commande, en application
du principe de défense en profondeur, les mesures palliatives
doivent s'orienter dans deux directions:
a) Eviter les pannes non franches.
Si la coupure automatique d'une source
sur seuil de tension basse paraît une solution peu recommandable
compte tenu des risques de déclenchement intempestif, la
coupure manuelle proposée par EDF, à un seuil où
le fonctionnement correct du relayage est garanti, est acceptable.
Il convient toutefois d'examiner attentivement l'intérêt
d'anticiper un passage à l'état de repli de façon
à ne pas superposer la perte de la source à un transitoire
d'arrêt d'urgence en puissance.
b) Réduire le domaine de fonctionnement
aléatoire de certains équipements.
L'analyse a mis en évidence certaines
anomalies de conception (utilisation de relais électromagnétiques
instantanés «tout ou rien» à la place
de relais voltmétriques par exemple) et des possibilités
d'améliorations techniques ponctuelles qui permettraient
de garantir le bon fonctionnement de matériels importants,
même dans des situations de tension dégradée
des sources de contrôle-commande.
Mesures ultimes
Devant l'impossibilité de définir
autant de procédures que de combinaisons envisageables
de perte de source, il paraît nécessaire d'examiner
la faisabilité d'une procédure U «perte de
source» selon une démarche analogue à celle
utilisée pour le développement de SPI et U1.
Commentaire
La publication par le Canard Enchaîné
d'extraits du rapport SASR no 45 a entraîné EDF
dans des grandes manoeuvres médiatiques:
- conférence de presse avec distribution
de documents complémentaires
- voyage à Bugey avec Madelin
et une sélection de «bons» journalistes (comme
par hasard Louis-Marie Horeau du Canard Enchaîné
n'était pas du voyage)
- petit déjeuner avec les journalistes,
distribution de fiches techniques, en fait de notes de propagande
maniant avec élégance le mensonge par omission.
A chaque fois, des articles furent publiés
par les journaux et Le Monde sous la plume de MM Augereau
et/ou Arvony se fit l'écho des informations d'EDF.
A la suite de l'article du 4 juin, n'y
tenant plus, nous avons envoyé une lettre ouverte à
la direction du Monde pour lui signaler le comportement
surprenant de leurs journalistes scientifiques. En voici le texte:
Lettre ouverte au Monde à propos du retour d'expérience post-TMI ou quand Le Monde fait de la publicité gratuite à EDF Le lecture de l'article de Maurice Arvonny dans Le Monde daté de mercredi 11 juin est fort édifiante à plus d'un titre.
Il s'agit sous la signature d'Arvonny de la reprise intégrale de fiches EDF. Le moins qui aurait pu être fait eût été de le signaler. Mais il eût été tout de même plus correct de signaler aussi qu'il reste beaucoup à faire pour que les enseignements de TMI (Three Mile Island) soient effectivement mis en oeuvre. L'incident du Bugey d'avril 1984 en est d'ailleurs un exemple frappant:
- les incidents précurseurs au nombre d'au moins 5 (Dampierre 1, Dampierre 3, Tricastin 2 (2 fois !), Blayais 4), n'ont pas été pris en compte.
- le regroupement intempestif d'alarmes en salle de contrôle ne permettant pas aux opérateurs de porter un diagnostic correct est à la base du développement de cet incident.
Ceci est clairement dû au fait que si l'analyse de TMI est bien en fiche, son application concrète n'est pas encore réellement dans les faits.
De même si les vannes de décharge des pressuriseurs ont bien été protégées en série par des vannes d'isolement motorisées, le rapport signale qu'en cas de blocage en position ouverte, la sécurité était inopérante en raison de la perte d'alimentation du tableau LCA (rapport SASR no 46 page 7).
Quant au report en salle commande de la position physique des vannes, il semble aléatoire. Le rapport SPT - DAF -D 546, page 29 signale : «exemple d'incohérence, RCV 46 VP: en salle de commande, indication d'ordre de commande (RCM) donné, et, vanne ouverte en grand (état réel) pas de compte rendu de position».
Pour autre exemple de ces incohérences, on peut citer une demande du service central de sûreté des installations nucléaires (SCSIN) datant du 12 juin 1985 (lettre SIN n°3001/85, annexe II page 2): «ouverture intempestive des vannes de réglage de débit du RRA. Je vous prie de bien vouloir me préciser, sous six mois, les dispositions qui seront prises afin que la position exacte de ces vannes puisse être connue à tout moment, au moins en local».
Or, en 1979, ce fut justement l'une des causes de l'accident. Le voyant en salle machine signalait que l'ordre de fermeture avait été envoyé mais il ne donnait pas la position physique. Six ans après, la lettre du SCSIN permet de comprendre que nous en sommes toujours au même point en France.
Alors cessons de nous gargariser, la sûreté est le garant de notre sécurité. Il ne peut y avoir d'à peu près dans un tel domaine. L'accident résulte toujours de l'enchaînement de petites causes a priori sans liens et surtout sans conséquence, prises isolément.
Nous avions déjà constaté lors de la relation de l'incident du Bugey que, ni Monsieur Arvonny, ni Monsieur Augereau n'avaient lu les dossiers qui leur ont été remis. Sinon, il n'eut pas été affirmé dans l'article du Monde que les mesures H3 permettaient de faire face à un accident. En effet, dans le rapport il est explicitement écrit page 7 (rapport SASR n°45): «... il faut noter que les matériels nécessaires à l'application de la procédure H3 destinée à faire face à cette situation, n'étaient pas encore opérationnels sur le site. Même s'ils l'avaient été, comme on le verra dans la suite de l'analyse, l'application de la procédure H3 telle qu'elle est prévue aujourd'hui aurait été difficile».
Il est clair qu'EDF peut affirmer certaines choses, la moindre des honnêtetés pour un journaliste scientifique est au moins de les vérifier.
Il est fort regrettable de constater que ce n'est pas du tout ce qui est fait dans Le Monde. Tchernobyl est déjà suffisamment révélateur des carences au plan de l'information officielle, si en plus les journalistes ne lisent même pas les dossiers que leur remettent les services officiels, mais se contentent des communiqués, le pire reste à venir.Monique Sené
Présidente du GSIEN
[Rappel d'Infonucléaire: Le Monde titrait pendant l'accident de Three Mile Island en première page « Le pépin ».]
A la suite de la publication
de l'incident du Bugey qui typiquement est le reflet de la non
prise en compte des leçons de TMI, EDF s'est fendue d'un
magnifique dossier sur le sujet.
Il y a quelques perles pas tristes:
- Dès le début du mois d'avnl 1979, un groupe de travail a été créé pour identifier les actions...
...Il convient de relever que l'analyse de sûreté effectuée n'a mis en évidence aucune anomalie susceptible d'interrompre ou de retarder la mise en service des tranches 900 MWe qui se trouvaient à cette époque en construction, ni d'arrêter les tranches en fonctionnement (Fessenheim, Bugey).
...A ce jour, le bilan détaillé des actions est le suivant:
- pour les tranches 900 MWe, les études sont toutes achevées et les modifications sont réalisées à 90%. Le solde sera achevé dans sa quasi totalité fin 86. Leur mise en oeuvre aura représenté un coût de l'ordre de 1 milliard de francs.
- pour les tranches 1.300MW, toutes les actions sont achevées (car les premières tranches étaient juste en début de construction en 1979 et les études ont pu immédiatement prendre en compte l'effet TMI)
- pour les paliers ultérieurs, le plan d'action est intégralement pris en compte dès la conception. Fin 1985 les Autorités de sûreté ont approuvé l'ensemble des résultats du plan d'action français et l'on peut considérer que ce dernier est totalement achevé.
Commentaire
Bel exemple de la publicité EDF
à l'intention des médias et du public.
La réalité est, bien sûr,
bien différente.
Lors de la séance de juin 1985,
le CSSN a examiné ces fameux retours d'expérience.
Et que constate-t-on ?
1. Problème d'alimentation électrique de secours
Divers incidents ont eu lieu
- 11.01.1983: Graveline 4, grippage
d'un piston
- 10.02.1983: Bugey 3, rupture de
2 tiges de culbuteur
- 21.04.1983: Dampierre 4, grippage
d'un piston
- 15.08.1983: Cruas 1, rupture d'une
bielle
- 28.11.1983: Blayais 3, rupture d'une
tuyauterie d'injection du fuel
Or, si on prend l'incident de Bugey 5
d'avril 1984, l'importance de l'alimentation de secours est évidente.
EDF, à la demande des autorités de sûreté,
doit ajouter un équipement complémentaire des turbines
à gaz. L'état d'avancement de la mise en place,
décrit par le SCSIN en juin 1985 était «...
Il y a une turbine à gaz sur chaque site de tranches
900 MWe. Pour les sites de tranches de 1.300 MWe, Electricité
de France s'interroge sur la stratégie à retenir:
une turbine par site ou une par région qui pourrait dans
un délai rapide être amenée sur place.»
... et si cela ne suffit pas, on fera
pédaler le personnel du centre sur des gégènes !!!
2. Mise en oeuvre des mesures de sûreté
«...de me transmettre un certain nombre de dossiers portant
sur 9 pointsprécis: huit de ces dossiers ne me sont pas
parvenus»
Or, il s'agit d'une demande de 1984 et
la lettre date de 1985. Comme on demande la transmission sous
3 mois, on aimerait en 86 savoir si les fameux dossiers sont enfin
arrivés.
3. Délais de réalisation
Le SCSIN écrit à EDF
«S'agissant des délais
de réalisation, j'ai noté que votre établissement
rencontre des difficultes à mettre rapidement en oeuvre
certaines modifications sur les tranches»...
Pas mal, qui choisit ? EDF ou les
autorités de sûreté ? De mieux en mieux,
le SCSIN écrit encore:
«Enfin, j'ai noté
que votre établissement rencontre des difficultés
pour prendre en considération mes demandes; ces difficultés
se traduisent par des retards dans leur prise en compte, voire
par l'absence de leur prise en compte. »
Force est de constater que EDF peut toujours
affirmer que post TMI leur a servi. A faire des papiers sûrement,
à améliorer, la question se pose encore.
Une série d'incidents:
* sont dûs à des alarmes
non hiérarchisées : les agents ne savent donc pas
ce qui est, en fait, en panne.
* sont dûs à des confusions
de tranches : le regroupement des équipements est tellement
bien étudié que les agent se trompent de tranche
en voulant faire une manoeuvre
* sont dûs au fait qu'on n'a pas
tenu compte d'incidents précurseurs.
Dernière citation
«Ouverture intempestive des
vannes de réglage de débit du RRA. Je vous prie
de bien vouloir me préciser, sous six mois, les dispositions
qui seront prises afin que la position exacte de ces vannes puisse
être connue à tout moment, au moins en local. »
Eh bien bravo, en juin 85, en être
encore à demander à connaître la position
exacte de vannes.
En 1979, à TMI, ce fut justement
l'une des causes de l'accident le voyant en salle machine signalait
que l'ordre avait été envoyé mais ne donnait
pas la position.
6 ans après, cette lettre nous
permet de comprendre qu'on en est toujours au même point
Extrait de La Gazette Nucléaire, n°69/70.