1/5 – Nouvelles prescriptions de l’AIEA pour la conception des centrales nucléaires

Avant-propos

Les statuts de l’AIEA autorisent l’Agence à établir ou adopter des normes de sûreté pour protéger les populations et l’environnement vis-à-vis des risques nucléaires. Toutefois, la sûreté nucléaire n’est pas une fin en soi mais un prérequis pour la protection des populations et de l’environnement, maintenant et dans le futur. Les risques associés aux rayonnements ionisants doivent cependant être évalués et contrôlés sans limiter de manière indue la contribution de l’énergie nucléaire à un développement équitable et durable.

Les normes de sûreté de l’AIEA représentent l’expression d’un consensus international sur ce qui constitue un degré élevé de protection des populations et de l’environnement vis-à-vis des effets dommageables des rayonnements ionisants. Les normes de sûreté de l’AIEA, complétées par les conventions internationales, les exigences nationales et les normes industrielles, établissent une base solide pour protéger les personnes et l’environnement.

Elles sont publiées dans les « Safety Standards » de l’AIEA qui incluent :

• les Principes fondamentaux de sûreté [1], représentant un consensus international sur ce qui doit constituer un degré élevé de protection et de sûreté. Ils constituent le socle des exigences de sûreté ;
• Les « Prescriptions de sûreté », ensemble cohérent et intégré de prescriptions de sûreté établi pour assurer la protection des populations et de l’environnement ;
• Les Guides de la sûreté détaillant les recommandations et orientations sur la façon de se conformer aux prescriptions de sûreté. Ils présentent une mise à jour des meilleures pratiques internationales.

Pour maintenir un haut niveau de sûreté à la conception et en exploitation, les prescriptions de sûreté sont régulièrement revues et améliorées autant que de besoin pour inclure le retour d’expérience et les progrès des connaissances sur différents domaines d’intérêt. De ce fait, les exigences ou recommandations indiquées par les mises à jour peuvent ne pas être toutes applicables aux installations existantes, construites sur la base de standards antérieurs, et la façon dont les mises à jour doivent y être appliquées relève d’une décision des États membres.

Toutefois, les prescriptions de sûreté ne sont efficaces que si elles sont mises en œuvre correctement.

L’accident de Fukushima Dai-ichi est caractérisé par de multiples défaillances dans les systèmes de sûreté, ayant conduit à la perte totale des systèmes d’évacuation de la chaleur de trois réacteurs, menant rapidement à l’endommagement significatif du cœur puis à d’importants rejets radioactifs, sur le site et au-delà, dus à des défaillances du confinement.

Bien que le tsunami ait été exceptionnellement important, la vraisemblance d’un tel phénomène n’était pas totalement exclue pour cette région. Cet accident a inévitablement soulevé la question de savoir si certaines prescriptions de l’AIEA relatives à la caractérisation du risque avaient été omises ou étaient incomplètes. En conséquence, une mission de revue des prescriptions de sûreté de l’AIEA a été exigée par les États membres lors de la conférence ministérielle de juin 2011 et inscrite au plan d’actions approuvé par la conférence générale de septembre 2011.

Ainsi, et bien que publié en 2012, le document SSR-2/1 relatif aux exigences de l’AIEA à la conception d’une centrale nucléaire a été revu en priorité. L’analyse a conclu que l’amélioration des exigences suite à l’accident de Fukushima Dai-ichi n’était pas substantielle. Toutefois, quelques exigences ont été ajoutées ou renforcées et certaines ont été clarifiées, notamment celles traitant de la robustesse de la centrale face aux dangers naturels, de l’indépendance des différents niveaux de défense en profondeur, des alimentations électriques de secours, de l’entreposage du combustible usé et de leurs systèmes de refroidissement et enfin de la capacité à mettre en œuvre des moyens mobiles de secours.

Toutefois, et bien que la plupart des exigences soient restées inchangées, l’accident de Fukushima et les « stress tests » menés dans plusieurs pays ont révélé des carences ou des interprétations différentes dans leur mise en œuvre. Cela montre le besoin de rendre les attentes associées plus claires et plus compréhensibles.

Nouvelles prescriptions pour la conception des centrales nucléaires – SAFETY STANDARD SSR2/1

Conditions de fonctionnement à considérer à la conception

Pour atteindre l’objectif fondamental de sûreté I de protection des personnes et de l’environnement, les centrales nucléaires doivent être conçues de telle sorte que les conditions normales de fonctionnement, ou les plus probables, n’aient pas ou peu d’incidences radiologiques et que celles qui pourraient entraîner des conséquences radiologiques importantes aient une très faible fréquence d’occurrence (SSR-2/1, exigence 13).

Ainsi, les conditions de fonctionnement prises en compte à la conception doivent être identifiées et groupées dans un nombre restreint de catégories. Pour chacune, des limites de doses maximales ou acceptables doivent être définies. La catégorisation des conditions de fonctionnement est fondée sur leur occurrence. Typiquement les conditions à considérer sont :

• « fonctionnement normal », comprenant les opérations d’exploitation en puissance, les modes normaux d’arrêt du réacteur et les transitoires associés, les activités liées au rechargement et à la manutention de combustible, les essais périodiques, les inspections en service et les activités de maintenance prévues sur toute la durée d’exploitation ;
• « incidents de fonctionnement prévus », ou événements probables pendant la durée de vie de la centrale, pour lesquels les régulations ont une capacité de réaction insuffisante et qui, s’ils n’étaient pas stoppés, pourraient mettre en cause la sûreté du réacteur. Ces incidents comprennent aussi la perte des alimentations électriques externes et les fuites radioactives mineures ;
• « les accidents de dimensionnement » sont les événements improbables causés par la défaillance unique d’une structure ou d’un composant. Ils doivent doit être postulés et leurs conséquences analysées pour démontrer qu’aucune mesure hors du site ne serait nécessaire pour protéger les populations et l’environnement s’ils se produisaient ;
• « les conditions additionnelles de dimensionnement » sont des conditions accidentelles différentes de celles considérées pour les accidents de dimensionnement, généralement dues à des causes plus complexes et dont les conséquences radiologiques pourraient être plus importantes. Ces conditions additionnelles de dimensionnement sont généralement analysées avec des méthodes et conditions initiales plus réalistes. Leurs conséquences radiologiques doivent cependant rester acceptables et inférieures à des objectifs de dose maximale définis par l’Autorité de sûreté.

La démonstration prouvant que les conditions pouvant conduire à des rejets précoces ou importants ont été « pratiquement éliminées » doit être faite avec un degré de confiance élevé. De ce fait les dispositions ou moyens permettant d’en limiter les conséquences ne sont pas requis.

Les conditions additionnelles de dimensionnement ont été intégrées dans les prescriptions pour la conception de centrale nucléaire SSR-2/1 (2012) avec pour objectif d’améliorer la sûreté en renforçant la capacité de la centrale à en limiter les conséquences. Dans les normes de sûreté de l’AIEA, les conditions additionnelles de dimensionnement comprennent :

• des situations accidentelles sans dégradation significative du combustible, initiées par des défaillances multiples dont la fréquence d’occurrence ne peut pas être négligée et qui dans certains cas, peut être comparable à la fréquence de certains accidents
• de dimensionnement ;
• des situations accidentelles avec fusion du cœur qui doivent être postulées indépendamment des dispositions prises pour prévenir un accident de fusion du cœur.

Les conditions additionnelles de dimensionnement sans dégradation importante du combustible dépendent assez largement de la technologie et de la conception du réacteur. Elles sont généralement issues d’évaluations déterministes ou probabilistes ou encore, identifiées sur la base d’une bonne connaissance dans la conception des systèmes. En général, trois types de défaillances sont considérés :

• défaillances qui pourraient conduire à des situations dépassant la capacité des systèmes de sûreté conçus pour un événement initiateur unique ;
• défaillances multiples (défaillances de cause commune sur des voies redondantes) qui empêchent les systèmes de sûreté d’assurer correctement leurs fonctions (perte de source froide sans injection de sûreté par exemple). La défaillance des systèmes supports est une des causes potentielles de défaillance des systèmes de sûreté ;

défaillances multiples qui causent la perte d’un système de sûreté également utilisé en exploitation normale. Ceci s’applique aux conceptions qui utilisent, par exemple, la même chaîne de transfert de chaleur pour évacuer la puissance résiduelle

en conditions accidentelles et lors de l’arrêt du réacteur.

Les conditions de fonctionnement sont également utilisées pour définir la base de dimensionnement des structures, systèmes et composants :

• les conditions de fonction-nement normal fournissent majoritairement des éléments pour la conception des équipements de fonctionnement normal et des systèmes de contrôle, des systèmes de limitations et les systèmes d’arrêt automatique ;
• les accidents de dimensionnement fournissent des éléments pour la conception des systèmes de sûreté (contrôle des accidents de dimensionnement) ;
• les conditions additionnelles de dimensionnement fournissent des éléments pour la conception des mesures de sûreté requises pour ces conditions.

Les méthodologies et règles utilisées pour évaluer les conditions additionnelles de dimensionnement peuvent être moins conservatives que celles utilisées pour évaluer la conception des accidents de dimensionnement. La figure 1 représente de façon simplifiée les différents composants contribuant à la définition de la conception de la plupart des équipements importants pour la sûreté. 

Tableau 1 : conditions de fonctionnement et bases de dimensionnement des structures systèmes et composants

Défense en profondeur

La stratégie de défense en profondeur a été reconnue comme principe fondamental pour garder extrêmement basse la probabilité d’un accident aux conséquences radiologiques importantes. Celle-ci doit s’appliquer à toutes les activités de sûreté, qu’elles aient trait à l’organisation, au comportement des personnes ou à la conception. Son application conduit à mettre en place des niveaux de défense successifs et complémentaires pour qu’une éventuelle défaillance de l’un puisse être compensée ou corrigée. Correctement appliquée, la défense en profondeur garantit qu’aucune défaillance technique, humaine ou organisationnelle n’ait de conséquences radiologiques significatives, et que la combinaison de défaillances qui pourrait conduire à des effets radiologiques importants soit très peu probable.

Pour les centrales nucléaires, même si le concept initial sur la façon d’appliquer la défense en profondeur a été régulièrement étendu et renforcé, le concept de base qui requiert plusieurs barrières successives de confinement entre les matières radioactives et les travailleurs, le public ou l’environnement, et qui exige qu’un certain nombre de moyens garantissent leur efficacité dans des conditions normales et accidentelles, est resté inchangé [2].

Cependant, et bien que la mise en place de la défense en profondeur soit requise depuis longtemps, l’accident de Fukushima et les évaluations complémentaires de sûreté (appelées « stress tests » en Europe et dans d’autres pays) menées dans différents États membres ont révélé des faiblesses dans sa mise en œuvre. C’est pourquoi, la compréhension des exigences associées au concept de défense en profondeur est importante pour garantir sa mise en œuvre correcte et complète.

En particulier :

• le concept de défense en profondeur ne doit pas être compris comme étant seulement la mise en œuvre d’un certain nombre de barrières et de niveaux de défense successifs, mais doit bien être compris comme un principe plus général englobant l’ensemble des exigences nécessaires pour atteindre la qualité et l’efficacité attendues dans la conception et la fabrication des barrières confinement et des systèmes assurant leur intégrité ;
• certains aspects, comme la vulnérabilité due à des défaillances de cause commune, l’indépendance appropriée entre les différents niveaux, la robustesse et l’évitement d’effets falaise sont des facteurs clés pour renforcer l’efficacité globale de la mise en œuvre de la défense en profondeur ;
• sachant que l’efficacité de la défense en profondeur repose sur l’intégrité des barrières, le concept comprend à la fois la protection des barrières elles-mêmes, et la protection des systèmes requis pour limiter les conséquences des accidents.

La prévention et la mitigation sont des termes largement utilisés en sûreté nucléaire. Ils font majoritairement référence aux accidents (prévention d’accident et mitigation de leurs conséquences).

Le principe des « poupées russes » de la défense en profondeur

Lorsque l’on décrit la défense en profondeur, les moyens essentiels de chaque ligne de défense doivent prévenir la sollicitation du niveau suivant et, dans le même temps, limiter les conséquences de la défaillance des niveaux précédents. Le niveau 1 étant le premier niveau, il a une fonction préventive prédominante. Le niveau 5 étant le dernier, il a principalement une fonction de mitigation des conséquences radiologiques.

Le concept complet a été défini et clarifié avec la publication de -l’INSAG 10 en 1996 et les exigences du document NS-R-1 de 2000 dans lequel les attentes et exigences associées sont plus détaillées. Dans le SSR2/1[3], le concept reste inchangé, mais la définition des niveaux a été légèrement modifiée.

Les niveaux de défense sont principalement définis ainsi :

• le 1er niveau de défense a pour objet d’empêcher tout écart par rapport au domaine de fonctionnement normal, et d’éviter les défaillances de constituants importants pour la sûreté. Il précise aussi les éléments protection contre les dangers externes et internes ;
• le 2e niveau doit déceler et maîtriser les écarts au fonctionnement normal pour éviter qu’un incident ne dégénère en une condition accidentelle ;
• le 3e niveau doit maîtriser les accidents de dimensionnement avec pour objectif de limiter l’endommagement du combustible. Il exige la mise en place de caractères de sûreté intrinsèque, de systèmes de sauvegarde, et de tout autre moyen de sûreté permettant d’éviter un dommage important du combustible ou un rejet radiologique significatif et enfin de ramener le réacteur dans un état sûr ;
• le 4e niveau a pour but de limiter les conséquences d’accidents qui résulteraient de la défaillance du 3e niveau, en particulier celles causées par un accident avec fusion du combustible ;
• le 5e et dernier niveau atténue les conséquences radiologiques de rejets radioactifs importants. Il requiert la mise en œuvre d’un centre de crise convenablement équipé, et la préparation de plans d’urgence sur site et hors site.

Conçu pour prévenir dans la mesure du possible des dommages importants sur le combustible, le 3e niveau comprend donc tous les éléments importants pour la sûreté (systèmes de sauvegarde et mesures de sûreté additionnelles) nécessaires pour contrôler l’accident de dimensionnement postulé et les conditions additionnelles de dimensionnement sans endommagement du combustible. En pratique, le niveau 3 peut être considéré comme étant constitué de deux sous-niveaux 3a (accidents de dimensionnement) et 3b (conditions additionnelles de dimensionnement sans dégradation importante du combustible). Cette subdivision est nécessaire, car les règles de conception des systèmes et mesures de sauvegarde, ainsi que les critères d’acceptabilité des accidents de dimensionnement et des conditions additionnelles de dimensionnement peuvent être différentes.

Pour une compréhension commune, le niveau 4 est nécessaire pour limiter les conséquences d’accidents impliquant des dommages importants du combustible, y compris de fusion du cœur, afin que les mesures de protection des populations et de l’environnement liées aux rejets radioactifs soient limitées en temps et étendue. Le niveau 4 comprend les mesures de sûreté nécessaires pour prévenir une défaillance précoce ou ultérieure du confinement en cas d’accident grave.

Le concept de défense en profondeur est résumé dans le tableau 1. 

Tableau 1 : les lignes de défense

Les systèmes de sauvegarde sont conçus en leur appliquant un ensemble de règles conservatives et prescriptives et des exigences de conception spécifiques (par exemple l’application du critère de défaillance unique), qui donnent une confiance élevée dans leur capacité à satisfaire les critères d’acceptabilité et respecter les limites de sûreté spécifiées, tandis que les mesures de sûreté pour les conditions additionnelles de dimensionnement peuvent être conçues avec des règles et des critères de conception moins conservatifs, sous réserve de la justification de leur capacité à accomplir leur fonction prévue.

Typiquement, une fiabilité élevée est attendue pour les mesures de sûreté qui préservent l’intégrité du confinement en cas d’accident avec fusion du cœur. Les mesures de sûreté complémentaires installées pour renforcer la prévention de fusion du cœur doivent avoir la fiabilité suffisante pour atteindre l’objectif global de fusion du cœur.

En conclusion, et puisque le concept de défense en profondeur a été confirmé comme un élément essentiel pour protéger les populations et l’environnement et rendre extrêmement basse la probabilité d’un accident aux conséquences néfastes, certaines prescriptions du -SSR-2/1 ont été renforcées, sachant que :

• l’objectif premier est de pouvoir contrôler les accidents de dimensionnement et les accidents sans dommages importants sur le combustible pour qu’ils n’aient pas ou peu d’impacts radiologiques et ne nécessitent pas de mesures d’intervention hors du site ;
• pour les conditions additionnelles de dimensionnement avec endommagement significatif du combustible, seules des mesures de protection avec une portée limitée en termes de durée et de superficie doivent être nécessaires. Un délai suffisant pour la mise en place de ces mesures doit être considéré dans l’analyse de la dynamique des rejets ;
• chaque séquence qui pourrait conduire à des doses élevées ou à des rejets radioactifs précoces ou importants doit être pratiquement éliminée. Pour répondre à cet objectif d’éliminer les doses et rejets importants, la conception du système d’entreposage de combustible usé doit inclure les provisions nécessaires pour prévenir le dénoyage des assemblages combustible ;    
• l’indépendance des lignes de défense successives doit être mise en œuvre dans la mesure du possible, avec une attention particulière pour les niveaux 3 et 4 du fait de la gravité des conséquences en cas de leur défaillance simultanée ;
• la conception des systèmes et structures strictement nécessaires pour éviter des rejets radioactifs inacceptables doit inclure des marges significatives de façon à accomplir leur fonction en cas de danger naturel très improbable caractérisée par une sévérité dépassant de façon significative celle retenue pour la conception, elle-même déduite des études de caractérisation ;
• pour éviter la contamination significative de larges territoires en cas de situations accidentelles non prises en compte à la conception, les mesures appropriées permettant l’utilisation de moyens non permanents permettant de restaurer les fonctions fondamentales de sûreté doivent être mises en place. 

Centrale de Paluel : enceinte de confinement du bâtiment réacteur

La mise en œuvre correcte des principes associés à la défense en profondeur sous-entend aussi que la multiplication des niveaux de défense ne soit pas utilisée comme une justification pour réduire l’efficacité de certains niveaux. Dans une conception équilibrée, les systèmes, structures et composants de chaque ligne de défense doivent être caractérisés par une fiabilité proportionnelle à leur fonction et à leur importance pour la sûreté. L’indépendance des redondances d’un même niveau de défense est également nécessaire et doit être prise en compte pour évaluer l’efficacité globale de la stratégie de défense en profondeur. L’indépendance des redondances est bien un élément indispensable de la conception des systèmes de sauvegarde pour lesquels une grande fiabilité est requise.

L’indépendance des niveaux de défense en profondeur

Les multiples niveaux de défense successifs permettent d’atteindre l’objectif de la défense en profondeur si, à la suite de la défaillance d’un niveau de défense, le niveau suivant ne fait pas l’objet d’une défaillance pour la même cause. Néanmoins, la conception idéale dans laquelle chaque système, structure et composant serait dédié à un niveau de défense en profondeur est irréaliste du point de vue des concepteurs et pourrait mener à une complexité excessive de la conception. Ainsi, tant que l’indépendance totale des niveaux de la défense en profondeur est un but qui ne peut pas être effectivement atteint, il est plus approprié de parler de réduire le degré de dépendance entre les niveaux et la formule « indépendance des niveaux de défense en profondeur » doit être comprise comme « le degré d’indépendance », qui doit être le plus grand possible.

En général, savoir quel degré d’indépendance doit être atteint reste une question ouverte qui nécessite un effort pertinent pour identifier les mesures pratiques d’une mise en œuvre satisfaisante. La récente formulation des exigences du -SSR-2/1, doit néanmoins être considérée comme un pas vers plus de clarification des exigences d’indépendance et des attentes associées :

« les niveaux de défense en profondeur sont indépendants, dans la mesure du possible, pour éviter que la défaillance de l’un d’entre eux ne réduise l’efficacité des autres. En particulier, les caractéristiques de sûreté pour les conditions additionnelles de dimensionnement (notamment les caractéristiques d’atténuation des conséquences d’accidents impliquant la fusion de combustible) sont, dans la mesure du possible, indépendantes des systèmes de sûreté. »

Des dispositions et recommandations additionnelles sont donc nécessaires, comme :

• les moyens successifs nécessaires pour atténuer un événement initiateur postulé doivent être identifiés ;
• les dispositions de sûreté spécifiquement conçues pour atténuer les conséquences d’accidents de fusion du cœur doivent être indépendantes de celles conçues pour prévenir de tels accidents ;
• les dispositions de sûreté pour les conditions additionnelles de dimensionnement, conçues en tant qu’alternatives à la défaillance des systèmes, structures et composants assurant des fonctions de sûreté, doivent être indépendantes des systèmes, structures et composants postulés défaillants dans la séquence accidentelle ;
• l’indépendance entre les systèmes, structures et composants doit être recherchée en identifiant toutes les possibilités de dépendances et en éliminant les plus significatives ;
• les caractéristiques de sûreté prévues pour répondre en premier ne doivent pas être compromises par l’incident initiateur.

Défaillance de cause commune, indépendance et diversité

Rendre extrêmement basse la probabilité d’un accident avec des conséquences néfastes ne peut être atteint sans considérer l’élimination des défaillances de cause commune. Leurs origines devraient être analysées dans une limite raisonnable.

Une défaillance de cause commune est définie comme étant la défaillance de deux ou plus structures, systèmes ou composants due à un seul événement ou cause.

Les défaillances de cause commune peuvent être initiées par la propagation des effets d’un danger externe ou interne à différents systèmes, structures ou composants, par la propagation d’une défaillance causée par un système à d’autres systèmes, par un défaut latent et imprévisible dans la conception ou la fabrication ou par des erreurs humaines qui peuvent causer la défaillance simultanée de plusieurs équipements.

Par conséquent, la séparation physique, l’indépendance fonctionnelle et la diversité sont généralement des dispositions mises en place pour réduire la probabilité d’une défaillance de cause commune. Alors que la séparation physique et l’indépendance fonctionnelle sont efficaces pour prévenir la propagation des effets d’un danger ou d’une défaillance, la diversité est plus appropriée pour éliminer les défauts latents.

Les défaillances de cause commune à prendre en compte à la conception peuvent être identifiées par des approches probabilistes ou déterministes. La probabilité de la combinaison d’un événement initiateur et d’une défaillance de cause -commune doit néanmoins être considérée quand l’approche déterministe est privilégiée. De plus, son élimination n’est généralement pas requise tant que le risque (conséquences vs probabilités) reste acceptable. Dans le cas contraire, la décision doit être prise de mettre en œuvre des dispositifs de sûreté non susceptibles d’être soumis à la même défaillance de cause commune.

Dans le premier cas, les défaillances de cause commune doivent être considérées entre les -différentes redondances d’un système. Les systèmes de sauvegarde sont conçus de façon redondante comme l’exige l’application du critère de défaillance unique. C’est le domaine le plus habituel de l’analyse de la sensibilité aux défaillances de cause commune. Les défaillances de cause commune doivent être considérées au niveau du système, du sous-système ou des composants individuels, par exemple au niveau des dispositions permettant d’isoler une tuyauterie, ou au niveau de l’instrumentation.

Par ailleurs, les défaillances de cause commune affectant des composants de différents niveaux de défense impliqués dans une même séquence accidentelle doivent aussi être considérées, car elles sont susceptibles de remettre en cause -l’efficacité de la défense en profondeur.

Pratiquement, les principes de conception suivants doivent être appliqués pour définir les besoins en matière de diversité et d’indépendance entre les différents systèmes :

• l’indépendance est essentielle quand les défaillances simultanées de deux niveaux pourraient conduire à des rejets inacceptables pour les populations ou l’environnement ;
• les causes qui pourraient entraîner la défaillance totale des systèmes de sauvegarde devraient être identifiées et leur combinaison avec un événement initiateur devrait être considérée ou postulée, pour évaluer si elle peut initier un accident avec fusion du cœur. Généralement, pour chaque combinaison analysée, si les conséquences sont susceptibles de dépasser significativement celles acceptées pour les accidents de dimensionnement, des mesures de sûreté séparées, indépendantes et diversifiées, devraient être mises en place pour renforcer la défense en profondeur et prévenir la fusion du cœur (ajout de sources électriques en cas de perte totale des diesels de secours, ajout d’une chaîne d’évacuation de la chaleur résiduelle séparée et diversifiée, etc.).

Les méthodologies et règles utilisées pour évaluer les conséquences de défaillances multiples et celles utilisées pour démontrer l’efficacité des dispositions mises en place peuvent être moins conservatives que celles utilisées habituellement pour les analyses des accidents de dimensionnement.

Dans la mesure où les systèmes d’instrumentation et de contrôle sont nécessaires pour surveiller et exploiter le réacteur dans toutes les conditions de fonctionnement, ces systèmes devraient être conçus selon des principes qui assurent que le concept de défense en profondeur est correctement décliné sur toute l’architecture d’instrumentation et de contrôle, et ne serait pas compromis par la défaillance d’un système.

Pour conclure, une analyse expliquant comment la stratégie de défense en profondeur a été mise en place et justifiant que les possibilités de défaillances par cause commune ont été prises en compte de manière appropriée, devrait être systématiquement réalisée.

Transfert de la chaleur à la source froide ultime

Pour les centrales nucléaires, le principal défi en situation accidentelle est d’assurer la continuité du refroidissement adéquat du cœur et de maintenir l’évacuation de la chaleur résiduelle vers la source froide ultime sur le long terme. En effet, lorsque le cœur est correctement refroidi, la fusion du cœur est évitée et, en cas d’un accident de fusion du cœur, des conséquences inacceptables pour le public et l’environnement peuvent être évitées tant que l’intégrité du confinement est maintenue. Celle-ci est préservée sur le long terme tant que l’énergie relâchée dans le confinement est évacuée.

L’importance du système d’évacuation de la chaleur résiduelle et de sa fiabilité est clairement soulignée dans la prescription 53 du SSR-2/1 : « La capacité de transfert de la chaleur à une source froide ultime est assurée pour tous les états de la centrale. »

Cette exigence globale est complétée par une seconde qui requiert que « les systèmes de transfert de chaleur doivent avoir une efficacité adéquate dans les états d’exploitation au cours desquels ils doivent assurer leur fonction de transfert de chaleur. Ceci peut nécessiter de requérir à une autre source froide ou des accès alternatifs à la source froide. »

La perte du circuit de refroidissement (pour un REP la perte du système de refroidissement de l’îlot nucléaire et de son système de refroidissement associé) est généralement considérée comme la cause la plus crédible d’une défaillance de l’évacuation de la chaleur -résiduelle vers la source froide ultime dans des conditions d’arrêt du -réacteur. Cependant, du fait de l’interface avec la source froide ultime (fleuve ou mer), certains composants et structures sont plus exposés que d’autres aux impacts des risques naturels (comme les tsunamis) comme cela a été vu lors de l’accident de Fukushima.

Par conséquent, les systèmes qui permettent l’évacuation de la chaleur vers la source froide ultime doivent être conçus avec des marges suffisantes pour résister aux effets produits par des dangers externes, et doivent aussi être très fiables. En effet, en considérant les différents types de réacteurs, il est important de souligner que la fiabilité de la plupart des systèmes de sauvegarde (systèmes nécessaires pour limiter les conséquences des accidents de dimensionnement au niveau 3 de la défense en profondeur) dépend largement de la fiabilité des systèmes d’évacuation de la chaleur. La fiabilité attendue peut s’obtenir par nombre de dispositions appropriées, incluant inter alia une haute qualité de fabrication, la redondance, la diversité, la séparation physique.

L’impact des dépendances fonctionnelles introduites par ces systèmes de refroidissement devrait être -analysé attentivement pour décider du besoin de mesures -complémentaires spécifiques pour les conditions additionnelles de dimensionnement. Si la perte du système d’évacuation de la chaleur devait être retenue comme condition additionnelle de dimensionnement, les dispositions complémentaires pour assurer l’évacuation de la chaleur primaire devraient nécessairement être -indépendantes des systèmes d’évacuation de chaleur résiduelle du niveau 3. Quand il n’est pas possible d’atteindre la fiabilité souhaitée du fait de risques naturels, une solution alternative serait une branche supplémentaire du circuit d’évacuation de la chaleur qui autoriserait un accès différent et protégé à la source froide ultime, ou la connexion du système d’évacuation de la chaleur à une autre source froide ultime. Dans la plupart des cas, la source froide alternative serait un réservoir d’eau ou des dispositifs de refroidissement eau/air ayant une capacité de refroidissement suffisante, localisés à un endroit tel que les effets d’un même risque externe ne pourraient pas affecter simultanément les deux sources de refroidissement ultime.

De même, à la lumière des conséquences potentielles induites par les dangers naturels, la conception d’un nombre limité de structures ou d’équipement (nécessaires pour éviter des conséquences radiologiques inacceptables) devrait inclure des marges de sûreté suffisamment importantes, pour résister a des effets significativement plus sévères que ceux considérés lors de l’évaluation des dangers du site.

L’effet falaise

Les équipements sont généralement conçus selon des spécifications -formant leur base de dimensionnement, assurant que l’équipement accomplira sa fonction dans les conditions d’exploitation pour lesquelles il est conçu. En outre, il est attendu que la conception des équipements importants pour la sûreté intègre des marges adéquates pour éviter les effets falaise. Bien que les exigences et recommandations de l’AIEA soulignent souvent que les effets falaise doivent être évités, le sens de ces recommandations n’est pas toujours bien compris et l’interprétation qui peut en être faite pour son application par les États membres peut être différente. La définition proposée par WENRA peut aider à rendre le concept plus compréhensible : « un effet falaise se produit quand un changement mineur d’un paramètre entraîne une augmentation disproportionnée des conséquences. »

Par conséquent, l’effet falaise implique une forte aggravation des conséquences consécutives à un changement mineur d’un paramètre. Un effet falaise pourrait avoir pour conséquence un rejet radioactif important. Mais il existe d’autres effets falaise : défaillance d’une barrière ou occurrence d’un accident grave. Sachant qu’une barrière physique pourrait faire défaut si les systèmes de sûreté la protégeant faisaient défaut, la perte de ces systèmes consécutive à un changement mineur d’un paramètre doit aussi être considérée comme un effet falaise.

Des exemples typiques d’effets falaise pourraient être :

• la défaillance du confinement causée par une détonation d’hydrogène ;
• un séisme causant un accident de perte de réfrigérant primaire (APRP) ;
• un danger externe (inondation) entraînant la perte des systèmes de sûreté.

L’analyse justifiant que des dispositions sont prises pour éviter les effets falaise devrait être produite dans le cadre de l’analyse de sûreté, comme indiqué désormais dans la dernière révision du SSR-2/1 : « L’analyse de la sûreté donne l’assurance que les incertitudes ont été dûment prises en compte dans la conception de la centrale et notamment que des marges adéquates sont disponibles pour éviter des effets falaise et des rejets radioactifs précoces ou importants. (Prescription 42, point 5.73) »

À cette fin, il n’est pas toujours nécessaire de déterminer l’ampleur de l’écart qui pourrait éventuellement conduire à un effet falaise.

Station de pompage et bassin de rejets de la centrale de Flammanville

Conditions pratiquement éliminées

Pour renforcer la prévention des conséquences radiologiques inacceptables pour le public et l’environnement, les nouvelles centrales nucléaires doivent désormais être conçues de façon à démontrer avec un haut degré de confiance que les possibilités d’atteindre les conditions menant à un rejet radioactif précoce ou important ont été pratiquement éliminées.

Cette exigence a été introduite dans la première publication du SSR-2/1 (2012), mais le concept avait été déjà introduit dans le Guide de sûreté l’AIEA NS-G-1.10 qui traite de la conception du confinement et des systèmes associés. Bien qu’ancien, le concept lui-même, les conditions dans lesquelles il s’applique, et ce qui est nécessaire pour satisfaire l’exigence est souvent mal compris pour son application.

L’objectif de sûreté est d’éviter les rejets radioactifs précoces pour lesquels les mesures de protection nécessaires ne pourraient pas être mises en place en temps utile, et les rejets importants pour lesquels des mesures de protection, limitées en durée et en dimension, seraient insuffisantes pour protéger les populations et l’environnement. C’est pourquoi les conditions pour que de tels rejets se produisent doivent être identifiées. Une fois les conditions identifiées, la démonstration doit prouver que la possibilité est soit physiquement impossible ou bien que des mesures indépendantes et suffisantes ont été prévues à la conception pour que leur probabilité d’occurrence soit extrêmement faible.

Les séquences qui peuvent potentiellement mener à un rejet précoce ou important sont celles qui combinent un endommagement grave du cœur avec une perte d’intégrité du confinement Un rejet important peut aussi être causé par un endommagement grave de combustible usé entreposé ou en cours de transfert hors de l’enceinte de confinement.

Des exemples typiques de telles possibilités sont :

• accident ayant conduit à un endommagement important du combustible combiné avec une défaillance précoce ou différée du confinement, causée par un phénomène énergétique puissant (accident de réactivité incontrôlée, explosion vapeur ou d’hydrogène, surchauffe directe de l’enceinte) ou par une montée incontrôlée de la pression enceinte ;
• accident avec endommagement important du combustible suivi d’un percement du radier ;
• accident avec endommagement important du combustible alors que le confinement est ouvert ;
• rupture de la cuve du réacteur.

Prenant en compte les diverses possibilités, les mesures techniques à mettre en œuvre pour chaque possibilité identifiée sont spécifiques et leur efficacité doit être analysée séparément. Aucun des phénomènes mentionnés ici ne peut être exclu uniquement sur la base d’arguments de faible probabilité d’occurrence. Seuls des résultats de recherches crédibles et des dispositions concrètes pour éliminer les conditions identifiées peuvent être utilisés pour soutenir la démonstration.

Utilisation de moyens mobiles d’alimentation électrique et de refroidissement

Depuis la première publication du standard AIEA SSR-2/1 en 2012, il est clair que les nouvelles centrales nucléaires doivent être conçues pour limiter les conséquences radiologiques en cas d’accident avec fusion du cœur. Il est également demandé que les conditions des conditions additionnelles de dimensionnement puissent être contrôlées et que les conséquences radiologiques puissent être conformes aux objectifs de dose annoncés sans avoir recours à des moyens non installés de façon permanente sur l’installation.

Cependant, et indépendamment des dispositions de conception permanente, l’utilisation de moyens non permanents doit être considérée comme un moyen complémentaire pour faciliter la gestion d’accidents causés par des défaillances multiples non considérées comme hors dimensionnement dans la conception initiale.

De plus, le recours à des matériels non permanents n’est possible que s’il peut être démontré que leur installation est possible dans le temps disponible avant que des conséquences inacceptables ne surviennent. La capacité à fournir les équipements en temps voulu doit être démontrée, y compris en cas de dégradation importante des infrastructures et des conditions de transport en dehors du site, qui pourraient être causées par une catastrophe naturelle extrême. La démonstration de l’adéquation de l’utilisation des moyens non permanents est aussi conditionnée à la réalisation des tests complets de mise en service pour s’assurer de l’exactitude des procédures de connexion et de l’utilisation prévue. Le maintien des compétences sur site pour l’installation d’équipements non permanents doit être assuré par la réalisation périodique d’exercices de simulation d’accident.

Néanmoins, l’emploi systématique de moyens mobiles ne peut pas être utilisé comme justification pour ne pas installer, dans la mesure du possible, des équipements complémentaires permanents pour empêcher la progression d’un accident et en limiter les rejets radioactifs. Le temps de réaction, le temps d’installation et la flexibilité sont des paramètres clefs pour décider si des équipements complémentaires doivent être prépositionnés sur site ou stockés dans un lieu d’entreposage à l’écart.

La dernière version du SSR-2/1 exige que les moyens permettant la connexion d’équipements non permanents soient prévus dès la conception, en particulier ceux permettant de restaurer la capacité à évacuer l’énergie relâchée dans l’enceinte de confinement, les alimentations électriques nécessaires et, pour les piscines de stockage du combustible usé, ceux permettant de restaurer un inventaire en eau suffisant pour maintenir le refroidissement sur le long terme, et la protection des opérateurs contre les rayonnements.

Considérations pour les installations existantes

Les prescriptions de l’AIEA pour la conception de centrales nucléaires, et leurs recommandations associées, sont revues périodiquement et améliorées si nécessaire pour ajouter les informations tirées du suivi des incidents nucléaires, et refléter le dernier état de la connaissance sur divers phénomènes qui peuvent influencer la conception.

Cela a été le cas après l’accident de Fukushima, comme après les accidents de Three Mile Islands et de Tchernobyl dont des leçons ont été tirées et les prescriptions de l’époque améliorées. Il est cependant clair que satisfaire les prescriptions les plus récentes contribuera à rendre les nouvelles constructions plus sûres, seulement si ces nouvelles prescriptions sont correctement comprises et appliquées.

Toutefois, pour des raisons pratiques, les nouvelles prescriptions sont principalement applicables aux nouvelles constructions et peuvent ne pas être totalement satisfaites par certaines installations construites plus tôt. Bien que la façon dont les nouvelles prescriptions doivent être appliquées aux installations existantes soit une décision des États, l’AIEA encourage les États membres à mettre en œuvre des revues périodiques de sûreté, pour renforcer périodiquement la sûreté des tranches en exploitation par la mise en œuvre d’améliorations raisonnables.

La réévaluation de la conception et l’amélioration continue des tranches existantes sont deux des dix Principes fondamentaux de sûreté, adoptés par les États membres et reconnus comme un consensus international sur ce qui constitue un degré élevé de protection et de sûreté.

« Les mesures de sûreté appliquées aux installations et activités qui entraînent des risques radiologiques sont considérées comme optimisées lorsqu’elles apportent le plus haut niveau de sûreté que l’on puisse raisonnablement atteindre tout au long de la durée de vie de l’installation ou de l’activité, sans en limiter indûment l’utilisation ou l’exécution. Pour déterminer si les risques radiologiques sont aussi bas que raisonnablement possible, tous ces risques, qu’ils soient liés à l’exploitation normale ou à des conditions anormales ou accidentelles, doivent être évalués (à l’aide d’une approche graduée) a priori et réévalués périodiquement tout au long de la durée de vie des installations et activités. »

Les risques et l’adéquation des mesures de sûreté de la centrale doivent être réévalués à la lumière des connaissances les plus récentes des risques du site, des retours d’expérience en exploitation, du suivi des événements nucléaires dans le monde, de la mise à jour des bonnes pratiques, méthodologies et standards.

En prenant en compte le fait que la plupart des centrales existantes ont été conçues selon des prescriptions et standards différents, la réévaluation de la conception originale au regard des dernières prescriptions est utile pour comprendre ce que serait le comportement de la centrale en cas de danger, et particulièrement pour des dangers naturels non pris en compte à la conception. Les évaluations de sûreté permettent aussi d’identifier les capacités intrinsèques ou existantes de la centrale à faire face aux accidents, y compris un accident de fusion du cœur, non pris en considération.

En effet, et bien que les installations existantes aient été généralement conçues pour des accidents de dimensionnement qui ne considéraient pas les défaillances multiples ou les accidents graves, leurs évaluations de sûreté montrent que l’approche conservative déterministe suivie lors de la conception initiale leur donne la capacité de résister à des événements plus sévères.

Cependant, même si le principe d’amélioration continue n’est pas discutable, définir jusqu’où l’installation peut être modifiée et améliorée n’est pas simple.

Néanmoins, la récente annonce d’avoir comme objectif d’éviter des conséquences inacceptables1 pour les populations et l’environnement lors d’un accident quel qu’il soit, s’applique aux installations existantes et futures (avoir des objectifs différents n’a pas de sens).

Il est cependant clair que les moyens d’atteindre l’objectif peuvent être différents et notamment, l’utilisation d’équipements non-permanents pourrait être plus large sur les centrales existantes, sous réserve qu’elles disposent de suffisamment de temps pour en faire l’usage.

Poursuite des travaux du centre de crise local de l’EPR

Pour atteindre cet objectif, de nombreux points doivent être considérés pour identifier d’éventuelles améliorations :

• améliorer dans la mesure du possible la protection des installations contre les effets des dangers externes identifiés lors de l’évaluation du site ;
• empêcher une défaillance précoce du confinement en cas d’accident grave. Cela nécessite l’installation de moyens de sûreté permanents ;
• fournir une autonomie suffisante à toutes les installations d’un même site pour qu’elles n’aient pas besoin à court terme de support extérieur. La durée de l’autonomie doit être déterminée en supposant des dommages importants dans les infrastructures et les voies de communication ;
• préserver l’intégrité du circuit primaire et maintenir l’évacuation de la puissance résiduelle en cas de perte totale des alimentations électriques (le retour d’expérience sur les tranches existantes montre que la probabilité d’un tel événement n’est pas si faible) ;
• disposer de moyens différents et diversifiés pour éviter qu’un accident ne dégénère en accident avec fusion du cœur ;
• disposer de moyens différents et diversifiés pour minimiser les rejets radioactifs en cas d’accident avec fusion du cœur ;
• disposer de moyens différents et diversifiés pour fournir une alimentation électrique aux systèmes et équipements nécessaires pour limiter les conséquences d’accidents postulés, y compris ceux impliquant plusieurs défaillances et les accidents avec fusion du cœur ;
• disposer d’un ensemble de protections ou marges suffisantes pour éviter les conséquences inacceptables en cas de catastrophes naturelles extrêmes ;
• disposer de moyens différents et divers pour prévenir le dénoyage des assemblages combustible entreposés dans les piscines ;
• maintenir l’opérabilité de la surveillance des paramètres, des systèmes de communication et l’habitabilité des bâtiments nécessaires en situation d’urgence, y compris en cas de catastrophe naturelle extrême ;
• installer les interfaces appropriées pour utiliser les équipements non permanents utilisés pour des situations accidentelles non retenues.

Comme un certain nombre de conditions additionnelles de dimensionnement sans endommagement significatif du combustible ont déjà été retenues, débuter l’évaluation de sûreté des centrales existantes en utilisant la liste établie pour les conditions additionnelles des futures centrales, fait sens.

Conclusion

Cet article donne un aperçu des attentes des dernières prescriptions de l’AIEA pour la conception de centrales nucléaires. Le Secrétariat de l’AIEA travaille toujours à la clarification de certaines d’entre elles avec des représentants d’un panel d’États membres, pour faciliter leur compréhension et leur mise en œuvre par les États membres. Un large consensus sur la façon de les appliquer facilitera également la mise à jour des différents guides de sûreté publiés par l’AIEA.

Revoir et, si nécessaire, renforcer les prescriptions, contribue à justifier que les centrales nucléaires ont été conçues et sont exploitées avec un haut degré de sûreté. Il est donc important que toutes les parties prenantes de la sûreté (autorités de sûreté, concepteurs, vendeurs, détenteurs de licences, exploitants…) soient informées des nouvelles prescriptions et des attentes associées. Il est attendu que les futures constructions soient conformes aux prescriptions de l’AIEA et, pour ce qui concerne les centrales existantes, que des dispositions supplémentaires soient installées pour faire face aux accidents ou risques non pris en compte lors de leur conception. Les modifications appropriées sont généralement identifiées par une analyse comparative des capacités existantes et des dernières prescriptions.