Les bévues du fleuron du nucléaire français
Les trois derniers réacteurs nucléaires de 1450 Mwé mis en service par EDF, Chooz B-1, Chooz B-2 et Civaux-1 (réacteurs du nouveau palier N4) sont les plus puissants du monde et, au dire de leurs concepteurs, les plus sûrs et les plus performants grâce aux nombreuses modifications qui ont été apportées aux anciens réacteurs.
Les deux réacteurs de Chooz ont été mis en service en août 1996 et avril 1997 avec 5 ans de retard sur le planning initial et leur démarrage a été émaillé d'incidents variés dont les plus importants ont été des problèmes liés à une informatique inadaptée à la conduite d'un réacteur nucléaire et à la mise en oeuvre de pompes primaires "trop efficaces" pouvant conduire à une perturbation des assemblages de combustible et à un freinage de la descente des grappes de contrôle (ce sont elles qui permettent d'arrêter la réaction nucléaire en cas de besoin). Sans parler des pannes sur les turbines et des pièces que l'on prélève sur le réacteur Civaux-2 en cours de finition pour dépanner en urgence les réacteurs de Chooz. Quant à Civaux-1 il a fonctionné à peine depuis son couplage au réseau la veille de Noël 1997 et à 50 % de sa puissance seulement.
Le 12 mai 1998, fuite d'eau sur le circuit de refroidissement du réacteur à l'arrêt, (RRA), du réacteur Civaux-1. Saluons l'exploit des concepteurs géniaux des réacteurs 100% français du palier 1450 Mwé : le changement qu'ils ont introduit dans ces réacteurs avec une nouvelle configuration de ce circuit auxiliaire important va entraîner, après l'incident survenu sur le réacteur Civaux-1, le déchargement du combustible non seulement de Civaux-1 mais aussi de Chooz B-1 et B-2.
Il va falloir vérifier l'intégrité des circuits de refroidissement de l'ensemble des réacteurs, 900 et 1300 MWé compris. Il est indispensable que les autorités de sûreté aient un réel pouvoir de décision tant sur la conception que sur la réalisation et les contrôles.
Cet incident est beaucoup plus important qu'il n'y paraît à première vue car il ne se résume pas à l'isolement d'une fuite sur un circuit. Il met en évidence la complexité et la sophistication des réacteurs dont les dysfonctionnements peuvent conduire à un accident grave.
Rôle du circuit de refroidissement à l'arrêt (RRA)
Citons le rapport d'activité de 1997 de la Direction de la sûreté des installations nucléaires dans le chapitre concernant les principaux circuits auxiliaires (page 165) : "Le circuit de refroidissement du réacteur à l'arrêt (RRA) a pour fonction, lors de la mise à l'arrêt normal du réacteur, d'évacuer la chaleur du circuit primaire et la puissance résiduelle du combustible, puis de maintenir l'eau primaire à basse température pendant toute la durée de l'arrêt. En effet, après l'arrêt de la réaction en chaîne, le coeur continue à produire de la chaleur, appelée puissance résiduelle [due à la seule radioactivité du coeur]. Il est nécessaire d'évacuer cette puissance, qui autrement pourrait suffire à endommager, voire à faire fondre, le combustible, dégageant une grande quantité de produits radioactifs [souligné par moi]. Le circuit RRA sert également à vidanger la piscine du réacteur après rechargement du combustible".
Il faut donc refroidir le coeur d'une façon suffisante par de l'eau convenablement borée. Le circuit RRA remplit ce rôle après l'arrêt du réacteur quand température et pression du liquide primaire, (initialement à 320 °C et 155 bars), descendent aux valeurs respectives de 180 °C et 28 bars puis jusqu'aux conditions d'intervention incluant le déchargement du combustible à basse température et pression atmosphérique. Idemen sens inverse lors du chargement. Ce circuit comprend deux voies indépendantes A et B séparées géographiquement dans le bâtiment réacteur.
L'incident
Le réacteur de Civaux-1 était à l'arrêt depuis 5 jours (en attente d'autorisation pour monter à 90 % de puissance nominale, les tests à 50 % étant terminés ?) Dans le circuit RRA en relation avec le circuit primaire, circulait de l'eau chaude encore à 180°C et sous pression de 28 bars. Le 12 mai vers 20 heures, irruption de vapeur (faiblement radioactive) dans le bâtiment réacteur et perte de visibilité due à une fuite d'eau sur le circuit à raison de 30 m3/heure environ. La procédure suivie a consisté à ramener le réacteur dans un état "sûr" sans se préoccuper de la fuite jugée "tolérable". Il a fallu 9 heures pour baisser la température et la pression et pour isoler la fuite due à la fissuration d'une soudure longitudinale (18 cm sur 1-2 mm) sur un coude de la tuyauterie en acier inox d'une des voies.
Ensuite il a fallu un mois pour arriver aux conditions rendant possible l'ouverture de la cuve afin de pouvoir décharger le combustible. Ce long délai semble refléter un "pataugeage" d'EDF pour mettre le réacteur dans des conditions "sûres" de déchargement. Le 25 juin il n'était toujours pas déchargé à cause d'un autre "aléa", une histoire de porte à verrouiller et qui ne marchait pas entre le compartiment transfert et la piscine de désactivation. (C'est encore pas de chance Il n'a vraiment pas été vérifié sous toutes les coutures avant sa mise en route ce réacteur). Le déchargement a enfin commencé le 29 juin.
Leçons immédiates de cet incident : lacunes dans le contrôle-qualité et erreurs de conception
EDF et Framatome ont d'abord cru qu'il ne s'agissait que de la fissuration d'une soudure, qu'ils pourraient s'en tenir là et qu'il suffirait de contrôler les 39 autres coudes du circuit RRA car le coude défectueux provenait d'un lingot d'acier inoxydable ayant été utilisé uniquement sur Civaux-1. Bien sûr ça aurait signifié que le contrôle-qualité était déficient tant du point de vue de la fabrication de l'acier par un sous-traitant de Framatome que du contrôle des soudures. En ce qui concerne les soudures cela n'aurait pas été la première fois que leur contrôle aurait été mal fait puisqu'ily a quelques années une entreprise de sous-traitance (Spie-Batignolles) avait falsifié des clichés de rayons X sur un réacteur de Dampierre. (Le "contrôle des contrôleurs" demeure une des faiblesses insolubles du nucléaire). Dans le cas de Civaux-1 si les contrôles ont été faits correctement ce serait encore plus grave car cela indiquerait que les contrôles sont inefficaces. Il faut signaler une grosse lacune dans le contrôle-qualité puisqu'aucune méthode de contrôle par ultrasons n'était validée pour le contrôle en service des tuyauteries en acier inox de ce circuit.
Mais tout cela ne remettait pas en cause la toute nouvelle conception du circuit RRA inaugurée sur ce palier N4. Il a bien fallu se rendre à l'évidence : une fois ce coude "fuitard" découpé, la tuyauterie restante montrait un réseau de microfissurations ("faïençage thermique") sur les deux tronçons situés de part et d'autre du coude, et c'est là que cela devient intéressant.
Dans le circuit RRA le refroidissement de l'eau chaude venant du circuit primaire est obtenu par passage d'une partie de l'eau chaude dans un échangeur de chaleur, l'autre partie étant déviée dans un by-pass. Ces deux veines d'eau, l'une chaude, l'autre froide après passage dans l'échangeur, circulent dans les deux branches d'une tuyauterie ayant la forme d'un T (" téde mélange") et se rejoignent dans la troisième branche du T soudé au reste du circuit. L'eau de mélange est ensuite refoulée dans le circuit primaire contribuant ainsi à refroidir le coeur. La portion de tuyauterie où, après le té, circulent eau chaude et eau froide avant de se mélanger, subit des chocs thermiques. Par rapport aux anciens paliers la configuration géométrique du circuit RRA a été modifiée. C'est ainsi que le coude qui s'est fissuré est soudé juste au-dessus de la troisième branche du té, sans tronçon intermédiaire, et perturbele mélange eau chaude/eau froide. Nos concepteurs semblent avoir complètement ignoré l'effet introduit par ce coude, (les essais hydrodynamiques ont été insuffisants) ils ont sous-estimé le rôle de la fatigue thermique sur l'acier inox. Il est résulté de cet incident environ 350 m3 d'eau radioactive et d'eau de rinçage qui ont été collectés dans les puisards du bâtiment réacteur et qu'il faut traiter dans la station d'effluents. (A la réunion de la Commission Locale d'Information du 17 juin il n'était plus question que de 250 m3).
La culture de la sûreté chère à M. Pierre Tanguy lorsqu'il était Inspecteur général pour la sûreté et la sécurité nucléaire à EDF ne semble pas avoir fait des progrès chez les concepteurs. Au vu des performances de l'innovation concernant le circuit RRA il y a lieu de faire un inventaire critique de toutes les innovations qui ont été introduites dans le nouveau palier. EDF et Framatome ont certainement en réserve d'autres améliorations surprenantes pour le futur réacteur EPR "absolument" sûr.
Bégaiements de la procédure suivie pour mettre le réacteur dans un état sûr ou/et lacunes dans l'information
EDF était confrontée à deux problèmes, d'une part continuer à refroidir le coeur et amener le circuit primaire à basse pression et basse température, d'autre part isoler la fuite.
Depuis l'accident de Three Mile Island aux USA en mars 1979 on utilise la procédure dite incidentelle par états où on essaie de ramener le réacteur à des états prédéterminés bien codifiés et non une procédure événementielle où il s'agit de supprimer en priorité la cause de l'événement (ici isoler la portion de tuyau présentant la fuite). Pression et température ont été abaissées, la fuite a été isolée en dernier lieu.
Il a été dit que les deux voies indépendantes du RRA étaient en fonctionnement au moment de la survenue de l'incident, qu'il a été difficile de savoir quelle voie fuyait et à quel endroit, d'où la difficulté d'isoler la fuite et que cela expliquerait qu'il ait fallu 9 heures pour isoler la voie A fuitarde. Or il y a sur ce circuit des capteurs de pression et de débit d'eau et des alarmes différentes en salle de contrôle correspondantaux deux voies qui sont séparées géographiquement dans le bâtiment réacteur. Posons alors quelques questions naïves:
Qu'en est-il du nombre de capteurs sur le circuit et comment sont-ils situés par rapport aux vannes permettant d'isoler les différents tronçons du circuit ? N'avait-t-il pas été envisagé qu'un coude situé juste derrière le té de mélange pouvait être un endroit à protéger alors qu'il est situéen amont du refoulement vers la branche froide du circuit primaire ?
A-t-il été bien pris en considération qu'une dépressurisation du circuit due à la fissuration du tuyau, (de 28 bars à la pression atmosphérique), entraînait immanquablement une vaporisation de l'eau lorsqu'elle passe de 180 °Cà 20 °C, la vapeur -radioactive- envahissant le bâtiment réacteur et rendant la visibilité nulle ? Dans le cas présent la vapeur n'était que faiblement radioactive le réacteur ayant fonctionné peu de temps et à puissance réduite. Il a fallu attendre d'y voir clair ! (Une équipe n'a pu pénétrer dans le bâtiment réacteur qu'à 4 heures du matin pour vérifier de visu que c'était bien un coude de la voie A qui fuyait). Et si la fuite avait été beaucoup plus importante que se serait-il passé ?
Le 13 mai au matin le réacteur était à basse pression (7 bars ou 5 bars selon les sources) et basse température (50 à 60 °C), mais pas dans un état standard. Les jours qui ont suivi, avant et après la réparation de la voie A, le déroulement des opérations a été très fluctuant : on nous annonçait une procédure, le lendemain c'était une autre car celle qu'on avait tentée n'avait pas marché par exemple à cause d'une vanne fuitarde de la "bonne"voie B restante. Nous attendons une chronologie complète de ces allers-retours entre utilisation de la "bonne" voie, puis de l'autre après réparation, ou des deux ; des essais de formation d'une bulle au pressuriseur, de suppression de la bulle, de l'éventage de l'eau du primaire etc. jusqu'à l'obtention d'un état permettant enfin l'ouverture de la cuve et le déchargement du coeur.
Deux éléments nous paraissent importants:
La "bonne" voie du circuit RRA s'est avérée après contrôle par ultrasons pleine de défauts au point que la voie initialement fuitarde a été jugée meilleure après réparation et test sous pression Ainsi il n'est pas idiot de penser que les deux voies du RRA auraient pu se fissurer simultanément, se moquant du principe qu'il faut toujours une redondance dans les circuits, exigeant beaucoup d'eau pour gérer l'incident.
En ce qui concerne la procédure utilisée pour mettre le réacteur dans une configuration standard après le 13 mai qui, nous semble-t-il, a pris beaucoup de temps, on peut s'interroger sur la puissance résiduelle du coeur. N'était-elle pas plus basse que prévu ce qui aurait entraîné une difficultépour monter en température et en pression lors par exemple de la tentative de passer par les générateurs de vapeur (GV) le15 mai dans l'après-midi ? D'où une autre question : les chaînes de mesures neutroniques sont-elles bien calibrées sur ce réacteur pour connaître d'une façon précise l'état du coeur ?
Un exemple de la cune dans l'information : un autre événement n'a pas eu d'explication satisfaisante. Il s'agit d'un rejet de vapeur ayant eu lieu dans la même plage horaire que cette tentative de passer par les GV. Il nous a été dit que c'était une coïncidence, que vu la quantité d'effluents liquides accumulés il s'agissait d'un essai du personnel chargé du traitement des effluents afin de valider une méthode par utilisation de vapeur à l'aide du circuit de vapeur auxiliaire, essai qui aurait échoué. Cette information a été infirmée par une autre source. Il nous a par ailleurs été indiqué que le réacteur Civaux-1 aurait été admis à fonctionner à 50% de la puissance sans que la totalité de l'installation de traitement des effluents ait été requise. Si tel est le cas il nous paraît nécessaire que l'autorité de sûreté exige que la totalité de l'installation des effluents avec sa complète potentialité de fonctionnement soit requise lorsqu'une tranche est mise en fonctionnement dès le démarrage du réacteur, car un incident nécessitant beaucoup d'eau est toujours possible comme le montre cet incident de Civaux ayant conduit au minimum à 250 m3 d'effluents liquides.
Et si l'incident avait eu lieu avec un réacteur ayant fonctionné à pleine puissance pendant de longs mois, ou comment remplir une baignoire qui fuit ?
Sous l'influence d'un coup de bélier, de vibrations anormales, d'un séisme, le tuyau d'une voie aurait carrément pu se rompre à cause des microfissurations dues à la fatigue thermique, ou les deux voies du circuit RRA défectueuses se fissurer simultanément. Dans les deux cas la fuite d'eau aurait été beaucoup plus importante que lors de l'incident du mois de mai. Avec une puissance résiduelle plus élevée, la contamination dans le bâtiment réacteur aurait été plus forte. Il aurait fallu davantage d'eau borée pour compenser la fuite (ils'agit de remplir une baignoire qui fuit ! Cette situation s'appelle gavé-ouvert chez les spécialistes du nucléaire) conduisant à davantage d'effluents liquides et gazeux. Les réserves d'eau, et dont la borication doit être effectuée d'une façon adéquate, auraient-elles été suffisantes pour continuer à refroidir le coeur?
Signalons aussi que le circuit RRA doit pouvoir être utilisé en cas accidentel de rupture de tuyauterie vapeur et de petite brèche primaire. Et s'il n'est pas disponible pour cause de fuite? Peut-on nous garantir qu'une élévation de la réactivité du coeur (pouvant aller jusqu'à la fusion du coeur) serait impossible dans ces conditions et qu'il n'y aurait pas de rejets dans l'environnement?
Et sur les 900 et 1300-1350 MWé ?
Au départ du programme nucléaire et des premiers réacteurs 900 MW, le circuit auxiliaire RRA, pourtant en relation directe avec le circuit primaire, n'a pas été considéré comme important pour la sûreté. Les analyses de sûreté ont par la suite réévalué l'importance de ce circuit. On peut toutefois se demander si cette réévaluation est suffisante.
Quoi qu'il en soit, tous les circuits sont à contrôler partout où il y a des coudes susceptibles de subir des contraintes thermiques. Ces coudes existent aussi sur les réacteurs de Nogent-sur-Seine comme sur les autres réacteurs et pour l'instant nous ignorons tout de la configuration du circuit RRA et de la distance du coude au point de mélange eau chaude/eau froide, distance qui a varié avec les différents paliers et réacteurs mais pour lesquels nous n'avons pas pu avoir d'informations précises, à part que cette distance variait de 20 cm à 3 m !
A propos de ce circuit RRA il y a des situations, lors du chargement et du déchargement de combustible, où, pour gagner du temps EDF utilise le circuit dans des conditions dites de "plage de travail basse". Il y a eu récemment des modifications des règles de sûreté, et seuls sont autorisés un nombre annuel limité de chargements dans ces conditions. Au vu de l'incident de Civaux il ne nous paraît pas raisonnable d'un point de vue de la sûreté d'autoriser un quelconque fonctionnement avec un bas niveau d'eau dans le circuit primaire.
Le non-respect des consignes de conduite : encore une fois EDF a interprété la sûreté à sa façon
Le directeur de la sûreté des installations nucléaires, M. Lacoste, aurait été prévenu parEDF dans la nuit à 3 heures du matin, soit 7 heures après le début de l'incident. Ses représentants, tant à Paris qu'à Bordeaux n'ont été prévenus que le mercredi 13 mai au matin. Rappelons que la Direction Régionale de l'Industrie, la Recherche et l'Environnement (DRIRE) d'Aquitaine à Bordeaux a sous sa responsabilité la centrale de Civaux en plus de celles de Golfech et du Blayais et que le directeur de la centrale de Civaux n'a pasjugé bon de prévenir de l'incident. Il y a au moins deux raisons pour lesquelles le PUI (Plan d'urgence interne) aurait dû être déclenché officiellement en prévenant instances locales et nationales au lieu d'un renforcement des équipes sur le site puis appel aux experts nationaux d'EDF ce qui, en fait, est un PUI "maison".
L'eau de la bâche PTR a été utilisée pour refroidir le réacteur. Le PUI doit être mis en oeuvre lorsque le volume, initialement de 3000 m3, descend à 2800 m3. Ce seuil correspond à une consigne de conduite "applicable en condition de sûreté dégradée" qui a été fixé au préalable par EDF (proposée par EDF et validée par les autorités de sûreté). Il a été atteint lors de l'incident dans la nuit du 12 au 13 mai or EDF n'a pas déclenché le PUI. EDF ayant maîtrisé la situation avec un niveau d'eau final dans la bâche PTR pas tellement plus bas il peut sembler après coup que le déclenchement du PUI n'était pas nécessaire et EDF risque de vouloir faire baisser ce seuil de 2800 m3. Ceci reviendrait à ne pas verbaliser un automobiliste qui franchit une ligne blanche sous prétexte qu'il n'y a personne sur la voie en sens inverse. On sait bien que dans ce cas une voiture peut survenir inopinément d'une voie transversale et provoquer l'accident. De même on ne doit pas "blanchir" EDF de n'avoir pas déclenché le PUI sous le prétexte qu'en définitive l'eau utilisée n'est pas descendue très en dessous du seuil requis car un incident concomitant nécessitant de l'eau supplémentaire est toujours possible. La violation par EDF des consignes de conduite est inadmissible.
La deuxième raison est sans appel : à partir du moment où, par l'existence de la fuite, l'intégrité du circuit primaire était atteinte avec perte du liquide primaire, où il y avait de la radioactivité dans le bâtiment réacteur, la "deuxième barrière" de la défense en profondeur tant vantée par EDF était perdue et le PUI de niveau 2 aurait dû être déclenché. En fait, EDF s'est fait son petit PUI en court-circuitant autorités locales et nationales. Un PUI virtuel en somme. C'est inadmissible.
Il semble bien qu'un bras de fer s'est engagé entre autorités de sûreté et EDF qui veut être seul maître d'oeuvre dans les situations incidentelles et accidentelles ce qui nécessite toute notre vigilance afin que les autorités de sûreté puissent jouer leur rôle de garde-fou
L'échelle INES n'est pas une échelle desûreté
L'incident a été classé au niveau 2 de l'échelle [médiatique] internationale des événements nucléaires (INES). Cette échelle est, pour les autorités de sûreté, un "outil de communication et non pas un outil d'évaluationde la sûreté". En somme, il s'agit de faciliter la tâche des informateurs du public. L'échelle INES leur permet d'éviter l'analyse de tous les aspects de l'événement et d'informateurs ils deviennent transmetteurs. En fait la plupart des journalistes confondent communication et sûreté.
Cette échelle ne tient compte que des conséquences immédiates des incidents ou accidents indépendamment du contexte dans lequel ils se produisent. Il n'est pas correct, du point de vue dela sûreté, d'isoler l'incident de Civaux des diverses anomalies qui ont été relevées sur les réacteurs de Chooz de même conception. C'est l'ensemble des défauts de conception dont il faut tenir compte et cela devrait conduire à une révision complète de ce nouveau type de réacteur et pas seulement à la réparation d'une tuyauterie défaillante et d'une définition d'un nouveau tracé de circuit.
Selon les autorités il n'y a pas eu de rejet de radioactivité hors du site et l'incident de Civaux a été classé au niveau 2.
L'analyse que nous avons faite montre pourtant l'importance potentielle de cet incident et comment il aurait pu dégénérer en incident plus grave, voire en accident. C'est pourquoi il faudrait que citoyens et médias soient un peu plus curieux vis-à-vis des dysfonctionnements que révèlent les incidents du parc français car ils prouvent la potentialité d'accidents graves possibles.
Bella Belbéoch.
P. S. L'incident de Civaux à peine réglé on apprend qu'une grappe de contrôle s'est bloquée en position haute le 11 juin lors d'un arrêt d'urgence sur le réacteur de Belleville-2 provoqué, via l'arrêt des pompes primaires, par le déclenchement intempestif du circuit d'aspersion du coeur. Incident classé en niveau 2 par les autorités de sûreté le 19 juin. Et si au lieu d'être dans une situation où une aspersion intempestive a lieu, traduisant une anomalie dans la commande du dispositif d'aspersion c'est l'inverse qui se produit : on veut asperger car il y a urgence, et une anomalie dans la commande (mais dans l'autre sens) fait que ça n'asperge pas. Ce serait grave Rappelons que le blocage des grappes de contrôle est un problème préoccupant. Dans certains cas la cause en est restée inconnue (voir La Gazette Nucléaire, de décembre 1996 n°153/154 et janvier 1997, n°155/156). Il y a déjà eu en 1996 un problème de grappe qui se bloquait sur le réacteur n°2 de Belleville mettant en cause une dégradation des vis du mécanisme de commande.
Lettre d'information du comité Stop Nogent-sur-Seine n°80, avril-juin 1998.