Après avoir exposé les principes de la défense en profondeur dans les réacteurs à eau pressurisée, je passerai en revue chaque ligne de défense, puis je présenterai les avancées réalisées et les points sur lesquels notre attention doit se porter au vu du retour d'expérience de l'accident de Fukushima.
Pour analyser les risques réels présentés par une installation, il faut d'abord en connaître tous les risques potentiels, ce qui exige de mener des études de sûreté sur des sujets difficiles, tels que les chutes d'avion ou les accidents thermo-hydrauliques, et de faire des recherches en vue de maîtriser les phénomènes physiques en jeu dans chaque cas.
La deuxième étape consiste à étudier l'état des installations, la conception des systèmes et leur exploitation, l'entretien des matériels et le mode de traitement des anomalies. La force de l'IRSN résulte de sa place au coeur de tous les métiers et de ce qu'il considère les deux plateaux de la balance pour porter un jugement. Il intègre dans ses hypothèses à la fois l'évolution du contexte et celle des objectifs de sûreté.
La première ligne de défense consiste en l'obtention d'une installation fiable et robuste, à l'issue des travaux de conception, d'étude et de réalisation. L'action à mener pour contrôler cette efficacité réside dans la vérification de conformité.
La deuxième ligne, c'est la résistance de l'installation à des incidents tels que des pertes de source électrique ou des défaillances de matériels. Le réacteur doit alors rester dans son domaine de fonctionnement autorisé. L'analyse de cette ligne de défense implique de tirer les enseignements des incidents - c'est le retour d'expérience.
La ligne suivante a trait à la maîtrise des accidents susceptibles d'intervenir dans le domaine de conception des installations. En vertu du principe de la défense en profondeur, on prend toutes les précautions possibles dès la conception mais on imagine aussi que celle-ci puisse être défectueuse et on examine un certain nombre d'hypothèses d'accidents, qui vont d'une grosse brèche dans le circuit primaire jusqu'à la rupture d'une tuyauterie de vapeur. On équipe alors l'installation de systèmes supplémentaires : de pompes qui alimentent en eau le circuit primaire afin de refroidir le coeur et de contribuer à la dépressurisation de l'enceinte de confinement ; de lignes d'arrivée d'eau, à la fois d'appoint et de secours, destinées à refroidir le générateur de vapeur. Tous ces systèmes sont redondants et résistent aux séismes dans les hypothèses de charges prévues. Leur fonction est de garantir un circuit d'injection de sécurité, en puisant de l'eau dans des réservoirs ou des bâches qui sont généralement uniques.
La tâche, à ce stade, consiste en des études probabilistes du risque de fusion du coeur.
La dernière ligne consiste à limiter les conséquences des accidents graves. Elle a été mise en place à la suite de l'accident de Three Mile Island car on n'en imaginait pas de tel auparavant. Ce domaine est celui de la recherche & développement, des études de sûreté et de la mise en place de dispositifs ou de compléments de justification sur les installations. Le point essentiel demeurant l'état de celles-ci.
Je reviens maintenant sur chaque ligne.
L'exigence d'une installation fiable et robuste implique, selon l'IRSN, des vérifications de conformité, notamment sur les systèmes passifs : il y a une dizaine d'années, nous avions mis en évidence une insuffisante résistance aux séismes des bâches des dispositifs de sauvegarde. Ce défaut a été corrigé. En plus des séismes, il faut aussi penser aux inondations et à tout ce qui relève de la protection contre les agressions.
Deuxième exigence posée par l'IRSN pour cette ligne de défense : la disponibilité des systèmes de sûreté. Cela peut sembler aller de soi mais il faut savoir qu'EDF engage un vaste programme d'essais périodiques sur les installations, de requalification des matériels, de traitement des écarts. Il faut en effet éviter de régresser sur ces trois points. L'année dernière, un incident aux États-Unis a révélé l'existence, dans une centrale, de trois défauts latents depuis deux ans, qui ont dégénéré en accident relativement grave sur la chaudière, avec deux incendies et le déclenchement du plan d'urgence.
S'agissant de la deuxième ligne de défense, le meilleur moyen d'analyse des incidents est le retour d'expérience. Nous craignons ce que nous appelons les « incidents précurseurs », qui dégénèrent et peuvent se transformer en accidents graves alors qu'aucune ligne de défense effective n'a été mise en place. Se sont ainsi produits, en 2001 et 2006, des incidents à la centrale de Ma'anshan, à Taiwan - la perte totale des sources électriques pendant deux heures - ainsi qu'à celle de Forsmark, en Suède. Ces incidents ont en commun de démontrer qu'un réacteur peut être agressé par son réseau électrique, en raison de parasites ou de surtensions. Ils ont été analysés en tant qu'accidents précurseurs par l'IRSN et par EDF.
Les voies de progrès pour cette ligne de défense résident bien sûr dans la poursuite des analyses de ce type d'incidents, mais aussi dans l'attention qu'il faut porter plus que par le passé aux agressions externes. Il y a ainsi eu suffisamment de tornades et d'ouragans dans une période récente pour que nous nous préoccupions de savoir s'ils peuvent dégénérer. C'est pourquoi l'IRSN a demandé à EDF d'étudier ce point dans le cadre du troisième examen décennal des réacteurs de 1300 mégawatts.
Troisième ligne : les études d'accidents. Au cours de la décennie 1970, l'IRSN et EDF avaient effectué des études de fiabilité montrant que la principale faiblesse des systèmes redondants résidait dans les modes communs. Nous avions alors découvert que la probabilité de perdre ces systèmes était de l'ordre de 10-5 par réacteur et par an, ce qui fut jugé important au vu des risques encourus, car la perte des systèmes redondants conduit à la fusion du coeur. Au cours de la décennie suivante, ont donc été étudiées des situations telles que la perte totale de la source froide, des flux électriques, de l'alimentation en eau... Des procédures ont été mises en place pour trouver des palliatifs. En 2009, nous avons subi une perte totale de source froide à la centrale de Cruas, après 1 500 années/réacteur de service, soit un peu plus tôt que prévu. La capacité de réaction à l'incident a fortement valorisé les dispositifs que nous avions installés. Ce sont des lignes de défense effectives que nous devons maintenant réexaminer à la lumière de l'accident de Fukushima.
L'IRSN comme EDF mènent des études probabilistes de sûreté (EPS) en vue de prévenir la fusion du coeur. Elles ont permis des avancées sur des sujets difficiles comme les risques dans les états d'arrêt, majeurs dans la décennie 1990, et les risques de dilution, mis en évidence par l'accident de Tchernobyl. Ces risques ayant été compris et quantifiés, des mesures correctrices efficaces ont pu être définies. Les EPS doivent donc être poursuivies et déclinées en fonction de chaque type d'agression : séismes, inondations et incendies.
Les accidents graves ont également fait l'objet d'études très poussées, notamment à la suite du rapport Rasmussen de 1975. Ces études ont débouché sur des modifications importantes : la fiabilisation des soupapes du circuit primaire afin de dépressuriser le réacteur, ce qui a été fait à Fukushima ; la mise en place d'un filtre à sable, dit U5, pour contrôler les rejets en cas d'accident avant la rupture de l'enceinte - dispositif dont l'accident de Fukushima a démontré tout l'intérêt ; l'installation de « recombineurs » d'hydrogène afin d'éviter les risques d'explosion à la suite de l'oxydation des gaines de combustible. Tout cela est en place en France depuis plusieurs années.
Les études probabilistes, dans le cadre des troisièmes réexamens décennaux des réacteurs de 900 mégawatts, ont abouti également à trois modifications importantes : le renforcement de la boulonnerie du tampon d'accès matériel afin d'obtenir une meilleure tenue de l'enceinte de confinement, l'implantation de mesures d'hydrogène et la détection de percée de la cuve, laquelle a suscité bien des questions à Fukushima. Ces modifications sont actuellement réalisées à Fessenheim et à Tricastin.
Des réflexions restent cependant à mener sur les cas de charge en situation d'accident grave. Ainsi le filtre U5 ne résiste pas aux séismes. Nous ne disposons pas aujourd'hui de connexion entre les accidents graves et les agressions. Nos exigences sont donc à revoir en termes de durée de mission et de tenue aux agressions.
Les conditions d'intervention en situation ultime sur une centrale nucléaire sont également à réexaminer : comment apporter des moyens mobiles et, surtout, comment les connecter aux systèmes « défiabilisés » ? La question s'est posée à Fukushima.
Lors de l'incident survenu à la centrale du Blayais, l'inondation a bien été traitée en termes de cas de charge. Mais il y eut aussi une approche événementielle, discutée entre l'IRSN et EDF, consistant à étudier ce qui peut se produire sur un site subissant une inondation et soumis à une perte de source externe. Cette approche a conduit à renforcer l'autonomie des systèmes par l'ajout de réserves d'eau et de fioul ainsi que par la fiabilisation des groupes électrogènes. À la suite de Fukushima, il y a probablement lieu de revoir aussi ces lignes de défense.
Le séisme n'est pas seulement considéré comme un cas de charge mais aussi sous d'autres aspects : quel est son impact sur des matériels qui ne lui résistent pas et chutent sur des matériels qui, eux, lui résistent ? On pourrait en donner pour exemples la chute d'un portique sur un groupe électrogène ou l'écroulement d'une salle des machines sur le bâtiment électrique voisin.
Des efforts ont également été faits afin de mieux évaluer les risques sismiques par des cotes de calcul, ce qui a conduit à des renforcements de planchers, comme à Fessenheim, ou à des requalifications de matériels.
Des études probabilistes de sûreté, sismiques et de marge sismique, ont été réalisées à Tricastin. Une autre est en cours à Saint-Alban.