Gazette Nucléaire

La G@zette Nucléaire sur le Net!
N°50/51
THREE MILE ISLAND
Voir également le site de l'U.S. NRC:
Fact Sheet on the Three Mile Island Accident
(United States Nuclear Regulatory Commission)

Pour faire le point 3 ans et demi après l'accident, nous vous présentons plusieurs documents sur le sujet. Nous signalons que la Gazette TMI a présenté en son temps une analyse précise qui n'a jamais été démentie et qui est toujours valable.
Le point que nous faisons porte principalement sur l'après-TMI, c'est-à-dire comment décontaminer, comment utiliser les enseignements de cet accident. Ceci nous paraît d'autant plus important que nos réacteurs sont affectés de tas de problèmes (fissures, corps migrants dus aux détériorations des broches, diesel, surchauffeur, générateurs de vapeur...). Il ne faudrait donc pas faire fonctionner notre parc en connaissant les problèmes et aboutir à plusieurs TMI en négligeant ces problèmes.

EXTRAITS DU RAPPORT ROGOVIN NUREG 1250

CONCLUSIONS GENERALES

- Les principales déficiences dans la sûreté des réacteurs aujourd'hui sont plus des des problèmes d'organisation (management) que problèmes de quincaillerie. Ces problèmes ne peuvent pas être résolus en ajoutant quelques tuyauteries et vannes, ou en mettant un inspecteur fédéral résidant à chaque réacteur. Indubitablement des améliorations dans la conçeption, l'instrumentation, le contrôle des réacteurs peuvent être réalisées pour réduire la probabilité d'accident grave et mieux protéger le public en cas d'accident. Mais les problèmes les plus graves ne seront résolus que par des changements fondamentaux dans l'industrie et la NRC*.
- Le système réglementaire est fait avant tout d'un appareil élaboré pour l'analyse de la sureté des projets de réacteurs qui a bien servi le public dans le passé et a conduit à ce jour à une bonne sûreté, mais n'a pas su prendre en compte à temps les problèmes de fonctionnement des réacteurs actuels. La NRC n'est ni sensibilisée, ni organisée pour traiter les problèmes d'aujourd'hui.

(suite)

suite:
La NRC est incapable, dans son organisation présente, de diriger un programme national de sûreté pour la compréhension des réacteurs en service ou ceux devant être mis en service dans les prochaines années, apte à assurer la sûreté et la santé du public.
     - De nombreux réacteurs sont probablement exploités par des équipes mal entraînées, n'ont pas assez d'ingénieurs qualifiés, aptes à diagnostiquer et arrêter le déroulement d'un accident sérieux. La NRC, pour sa part, a virtuellement ignoré les domaines critiques de l'entraînement des opérateurs, de l'ingénierie avec facteurs humains, de l'organisation de l'exploitation.
     - Dans l'industrie nucléaire, l'expertise et la responsabilité en matière de sûreté sont fragmentées entre multiples parties.
     - l'exploitant, le concepteur, le fabricant, les contractants, les sous-traitants. Et en plus, la NRC. La coordination entre ces parties, entre eux et la NRC, et à l'intérieur de la NRC, est inadéquate.
     - Au sommet de tout cela, on constate qu'avant le 28 mars une attitude de suffisance prévalait aussi bien dans l'industrie qu'à la NRC, comme quoi les dispositions de sûreté prises étaient plus que suffisantes et qu'un accident comme TMI n'arriveraît pas, qu'un tel accident n'était pas un «événement crédible».
     - Pour faire face à ces problèmes, il faut des changements institutionnels, organisationnels, et de management, et il faut y inclure:
· Un changement immédiat, substantiel, dans la répartition des moyens de la NRC, de là, revue des projets vers l'examen des réacteurs en exploitation, et un rassemblement de ces moyens dans un office de la NRC. De nouveaux mécanismes pour évaluer l'expérience d'exploitation et assurer que les modifications nécessaires sont réalisées dans le programme réglementaire; un meilleur système d'inspection.
· Des mesures vigoureuses pour renforcer la capacité technique sur les sites, y compris une nouvelle philosophie et de nouveaux programrnes de formation et d'entraînement; et de nouvelles règles NRC pour s'assurer de la présence d'ingénieurs qualifiés ayant une connaissance interne de l'installation.

p.10

* NRC Nuclear regulation commission, ou la Commission de contrôle américaine.

· Pour les futurs réacteurs, des sites plus éloignés. Pour les réacteurs existants: promulgation de nouveaux critères NRC pour la détermination de la zone minimum de plan d'évacuation pour chaque réacteur; démonstration que ces plans sont approuvés et réalisables; et fermeture des réacteurs qui ne peuvent se sournettre à de tels critères, sauf si des systèmes supplémentaires de sûreté sont installés pour limiter les accidents ou si le Président des USA décide que leur maintien en service est vital pour l'intérêt national.
· Pour de nouvelles autorisations, un système de licensing complètement exhaustif effectué en une seule étape; une standardisation plus grande.
· Des changement substantiels dans les règles utilisées pour analyser la sûreté des projets, incluant l'application méthodes de «risk assessment» pour les séquences accidentelles, et dans le but de dépasser l'approche habituelle «l'accident de dimensionnement».
     - L'accident de TMI n'a pas conduit à des niveaux de rejets posant problème pour la santé du public. L'angoisse du public à propos de la radioactivité a été allumée par l'avis d'évacuation du Gouvemeur pour les femmes enceintes et les enfants pré-scolaires deux jours après l'accident, et la peur due aux journalistes le jour suivant et à propos du risque d'explosion de la bulle d'hydrogène, largement amplifiée par la réponse désordonnée de la NRC à la situation d'urgence.
     - Mais les calculs montrent que le 28 mars au matin, alors que personne n'appréciait la gravité de la situation, TMI a été près de devenir l'accident que beaucoup dans l'industrie pensaient ne pouvoir arriver: une fusion de coeur. Un chef de quart, arrivant deux heures après le début de l'accident et passant en revue quelques instruments, ferma la block-vanne de la vanne de décharge du pressuriseur restée ouverte. Si cette block-vanne n'avait pas été fermée dans les 30 à 60 minutes, une bonne partie du coeur aurait commencé à fondre, nécessitant au moins l'évacuation de milliers de gens et risquant de causer de sérieux dommages à la santé du public.
     - Un accident identique à TMI n'est pas près de survenir à nouveau, non seulement en raison des modifications pour améliorer le problème particulier révélé, mais aussi parce qu'il a engendré un examen substantiel par l'industrie de la NRC de beaucoup d'aspects de projet et de fonctionnement qui ont contribué à l'accident.
     Cependant, on doit conclure que, à moins de changements fondamentaux tels que ceux définis ci-dessus dans la manière dont les réacteurs sont construits, exploités et analysés, des accidents similaires, peut-être avec des conséquences sérieuses pour le public, arriveront vraisemblablement.
     - L'énergie nucléaire ne sera jamais exempte de risques. Cependant, tout montre que l'énergie nucléaire est unique en ceci que la perception par le public du risque de conséquences graves est bien supérieure aux meilleures évaluations disponibles du risque réel, bien plus que pour toute autre activité nocive. Il faut donc convaincre le public de comparer les risques associés aux autres formes de production d'énergie aux risques dus aux centrales nucléaires.

(suite)

suite: ANALYSES ET RECOMMANDATIONS

1. Evaluation systématique de l'expérience et amélioration de la réglementation des réacteurs en exploitation

     L'accident de TMI était déjà presque arrivé auparavant, deux fois. Des «transitoires» quasiment identiques étaient arrivés en 1974 à Beznau à un réacteur de Westinghouse, et en 1977 à David Besse sur un Babcok-Wilcox identique à TMI. Dans les deux cas il y a eu le même refus de fermeture de la vanne de décharge du pressuriseur et les mêmes indications erronées aux opérateurs les conduisant à croire le système plein d'eau. Dans les deux cas, les opérateurs ont diagnostiqué et résolu le problème avant qu'il y ait de sérieux dommages.
     La NRC n'a jamais rien su de l'incident de Beznau avant TMI 2. Westinghouse en avait eu connaissance, mais en 1974 le constructeur n'était pas obligé de rapporter à la NRC de tels incidents sur les réacteurs étrangers. La conclusion de Westinghouse était que les actions effectuées par les opérateurs suisses prouvaient la validité d'une étude montrant que pour un tel incident, on avait le temps de réagir et corriger la situation. Mais Westinghouse n'a jamais dit à ses clients, ni à la NRC que les opérateurs pouvaient être trompés par leur instrumentation.
     L'incident de Davis Besse avait été intensivement analysé par l'exploitant (Toledo Edison), par B & W et par la NRC. Chaque étude soulignait qu'il aurait pu conduire à un vrai problème de sûreté. Mais aucun de ces résultats n'a été porté à la connaissance de la M et Ed. ou aux opérateurs de TMI 2. Toledo Edison, sur l'insistance d'un inspecteur NRC et de son patron local, a adopté de nouvelles procédures. Mais l'Office Régional d'Inspection n'a pas passé le flambeau au siège de la NRC. Chez B & W, des ingénieurs et leurs patrons ont rédigé de nouvelles procédures, en particulier pour interdire l'arrêt de l'ECCS jusqu'à ce que la cause d'une baisse de pression ait été clairement identifiée et corrigée; ils ont recommandé de les transmettre à tous les clients, mais un autre ingénieur, dans un autre service, a posé des questions sur des effets secondaires et de telles procédures et rien n'a été transmis.
     Il en fut de même à la NRC. Une équipe de NRR a analysé l'accident de Davis Besse mais était plus intéressée par les problèmes d'ingénierie des composants que par les problèmes des opérateurs. Parallèlement, un ingénieur de la TVA, Michelson, également consultant de l'ACRS, a travaillé sur le sujet, de sa propre initiative; une copie de son rapport a été transmise par un membre de ACRS à la NRC. En janvier 1978, un analyste de la NRC a préparé une note sur cette étude, soulignant que les opérateurs pourraient être conduits, par l'instrumentation, à arrêter l'ECCS lors d'un tel transitoire. Mais cette note n'est pas sortie de la NRR et le problème n'a pas été identifié comme un problème de sûreté non résolu.

p.11

     - En somme, la bureaucratie éclatée de la NRC, sa préoccupation de la quincaillerie et des questions de projet, et l'absence d'une claire responsabilité pour identifier les problèmes significatifs d'exploitation et en avertir les opérateurs se sont combinées pour empêcher que le message de Davis Besse ne passe à TMI.
     - Dans le passé, la NRC et l'industrie n'ont quasiment rien fait pour analyser systématiquement le fonctionnement des réacteurs en exploitation, pour signaler les problèmes de sûreté potentiels, et pour les éliminer en demandant des modifications dans les projets, dans les procédures ou dans le système de contrôle. L'absence d'un tel programme de compréhension constitue une situation inacceptable qui compromet la sûreté.
     - Quand la présente génération des grands réacteurs (900-1300 MWe) a été développée il y a quinze ans, la sûreté des projets n'avait pas été vérifiée par l'expérimentation. Les incertitudes ont été analysées et le risque d'accidents estimé, avec des codes et moyens scientifiques sophistiqués, pour défmir le comportement des systèmes durant un accident. Ces prédictions, pour être acceptables comme base de cette nouvelle génération, étaient conservatives à tous les stades, renforcées par la philosopbie de la «défense en profondeur»: systèmes de sûreté multiples, équipements redondants, et la protection ultime du confinement. Mais il était aussi convenu que lorsque le nombre d'années réacteurs s'accroîtrait, les estimations pourraient être confirmées et des modifications faites lorsque nécessaire. Ce processus d'apprentissage par l'expérience n'a pas été entamé sérieusement.
     - La NRC a mis l'essentiel de son effort et de ses priorités sur la revue et l'analyse de la conception des réacteurs et non sur l'exploitation des réacteurs. Ceci pouvait être approprié il y a dix ans, mais aujourd'hui, avec plus de 70 réacteurs en exploitation, cela ne l'est plus.
     - Bien que les exploitants envoient à la NRC une grande quantité de données sur les réacteurs en exploitation, cette information n'est pas systématiquement traitée pour en extraire les problèmes de sûreté potentiels. Ceci est du en partie au fait que le système pour rapporter est lui-même défectueux: il ne distingue pas l'essentiel du détail, et, voir Davis Besse, les rapports ne permettent pas en général d'identifier la cause réelle d'un incident particulier. La NRC reçoit 2 à 3000 LER (Licence Event Report) par an comprenant aussi bien ceux pour lesquels un système de sûreté a été activé que les violations insignifiantes de spécifications techniques. La NRC est envahie d'une masse de données indifférenciées.
     Pour utiliser effectivement l'information, même si le système de rapport des incidents est amélioré, on doit séparer le grain de la paille; à partir de là, les problèmes de sûreté potentiels doivent être approfondis. Rien de tel n'existait à la NRC avant TMI. Les LER étaient envoyés à la NRC, résumés en quelques phrases pour listing, distribués au petit bonheur entre différents bureaux et classés. Les problèmes importants étaient suivis sur une base d'«attrape qui peut», en fonction de l'intérêt d'un inspecteur particulier dans le domaine, ou d'un ingénieur du siège alerté sur un rapport particulier par un copain.
     Peut-être encore plus important, il n'y avait (et il n'y a encore) aucun mécanisme institutionnel à l'intérieur de la NRC pour rechercher des solutions aux problèmes potentiels de sûreté et s'assurer, à travers le système réglementaire, que ces solutions sont intégrées dans les réacteurs en fonctionnement.

(suite)

suite:
2. Renforcement de la capacité technique et de management des exploitants formation améliorée des opérateurs et ingénieur qualifié dans chaque équipe de quart.

     Un certain nombre d'analyses de TMI ont attribué cet accident à «l'erreur opérateur». Nous rejetons cette conclusion comme étant incomplète.
     Bien qu'il soit évident que les opérateurs ont fait une erreur quand ils sont intervenus dans la séquence automatique de l'injection haute pression alors que les conditions qui l'avaient initiée (basse pression) persistaient, nous estimons qu'il y avait un certain nombre de facteurs hors de contrôle des opérateurs qui ont contribué à l'erreur humaine. Ceci comprend l'entraînement inadéquat, des procédures insuffisantes, un manque d'habileté au diagnostic de la part du groupe de direction du site, une instrumentation trompeuse, des déficiences de l'installation, et une mauvaise conception de salle de commande. Pour ces fautes, l'industrie et la NRC doivent partager la responsabilité avec M et Ed.
A TMI 2 l'opérateur qui était en salle de commande durant un transitoire sévère près d'un an auparavant, répondant à une analyse de sa direction qui attribuait cet événement à une erreur opérateur, écrivait une note qui pourrait servir d'épitaphe à l'accident du 28 mars 1979:
     «J'estime que les défaillances mécaniques, les mauvaises conceptions de système et les dispositifs de contrôle non adaptés étaient beaucoup plus la cause de l'incident que l'action de l'opérateur. Alors que l'entraînement est toujours essentiel et le bienvenu, rien de ce que nous étudions ou pratiquons ne pouvait nous préparer à cette chaîne d'événements.
     Vous feriez bien de vous rappeler que ceci n'est que la partie immergée de l'icerberg. Il est facile de rentrer dans de tels incidents, mais les meilleurs opérateurs du monde ne peuvent rattraper les causes multiples aggravées de défauts mécaniques et de contrôle».
     Les opérateurs à TMI au début de la matinée du 28 mars se sont trouvés devant des instrumentations trompeuses, des paramètres de réacteurs qu'ils n'avaient jamais été entraînés à comprendre et des procédures qui n'offraient aucune assistance utile. Les dirigeants qui arrivèrent quelques heures après le début de l'accident ne demandèrent, ni ne reçurent l'information nécessaire pour examiner la situation. Plus tard dans la joumée, ils ne crurent apparemment pas ou ne tinrent pas compte d'informations importantes qu'ils reçurent et n'arriverent pas à diagnostiquer la situation. Bien qu'ils aient pris des décisions raisonnables pour améliorer la situation, les dirigeants aussi bien que l'équipe d'exploitation n'ont pas réussi à saisir la véritable nature du problème. Plus important, ils ont démontré un manque de compréhension de l'un des concepts de base des réacteurs pressurisés, à savoir que le système de pression doit être conservé au-dessus du point d'ébullition pour une température donnée du réacteur. Cette pression est essentielle pour conserver la phase liquide.

3. Plus grande utilisation des facteurs humains dans l'ingeniérie, comprenant une merneure présentation de l'instrumentation et une conception améliorée des salles de commande
En 1975, un des experts dirigeants de la NRC, Stephen Hanauer, dans une note au Commissaire Gilinski, disait: «Les conceptions actuelles ne tiennent pas assez compte des limites des gens».

p.12

Conception des salles de commande
     L'industrie nucléaire n'a jamais développé des critères pour l'utilisation dè facteurs humains pour la conception des salles de commande. La NRC n'impose que des critères très généraux sur la conception des salles de commande et de l'instrumentation et il n'y a aucune recommandation vis-à-vis des facteurs humains, la lisibilité ou le groupement des instruments ou quels paramètres et alarmes doivent être présentés et comment.
     Dans les dernières années, un grand nombre d'excellentes études ont trouvé des insuffisances significatives dans la conception des salles de commande des réacteurs en exploitation: des instruments difficiles à mettre en place et dont les mesures ne permettent pas de distinguer entre situation normale et dangereuse; des commandes placées loin de la présentation des mesures; défaut de présentation de paramètres importants en position remarquable; manque de groupement fonctionnel de l'instrumentation; manque de synoptiques pour identifier des commandes en relation; manque d'un codage cohérent des couleurs.
     Les études ont aussi démontré les obstacles qu'ont à endurer les opérateurs. L'éblouissement ou la réflexion sur les instruments, associés à un mauvais éclairage entraînent des difficultés de lecture. Des instruments sont mis trop haut ou trop bas. Beaucoup trop d'alarmes, à la fois sonores et visuelles,. inondent les opérateurs d'une quantité paralysante d'informations en circonstances accidentelles et ces alarmes sont rarement hiérarchisées. Mais la NRC n'a rien fait pour demander des améliorations même dans les futures salles de commande, en dépit de cet excellent travail d'experts.
     La salle de commande de TMI 2 présente la plupart de ces défauts. Par exemple, cette salle est beaucoup trop grande et manque d'un regroupement par fonction, spécialement d'un regroupement des commandes en cas d'urgence. Il y a une utilisation insuffisante de synoptiques. Beaucoup d'instruments sont quasiment impossibles à lire en raison du mauvais éclairage, des protections de plastique devant eux et de la qualité des enregistreurs. Ily a des problèmes de visée et de parallaxe pour certains instruments quand les opérateurs sont à leur position fonctionnelle. Le salle de contrôle a plus de 750 alarmes, largement plus que le simulateur de B & W sur lequel les opérateurs de Met. Ed. s'entraînent. Le matin de l'accident, les alarmes n'étaient que de peu d'utilité en raison du nombre qui clignotait et de leur répartition au hasard. Des instruments importants pour l'accident, qui étaient apparus d'importance secondaire aux concepteurs, étaient sur le panneau arrière.
     La conception de la salle de contrôle a joué un rôle non négligeable dans l'accident de TMI. Des alarmes importantes auraient pu dire aux opérateurs que la vanne de décharge du pressuriseur était bloquée ouverte, bien que le voyant au panneau de contrôle montrait qu'elle était fermée; c'étaient les alarmes de températures et de pression du réservoir de décharge. Mais ces alarmes sont sur un panneau éloigné de la console centrale à laquelle l'opérateur toume le dos.
     Quand ces alarmes arrivèrent, les lumières ne pouvaient être vues de la console principale. L'alarme sonore était identique pour toutes les alarmes, il n'y avait aucune raison pour que les opérateurs distinguent celles du réservoir de décharge. Et en poussant un simple bouton au panneau central on acquitte les alarmes pour stopper le bruit et la lumière s'arrête de clignoter. Sans une imprimante rapide, il est alors impossible de dire quand l'alarme est survenue. Durant l'accident, le calculateur conservait les alarmes tout en courant après pour les imprimer, et les opérateurs vidèrent plusieurs fois la mémoire pour la remettre à jour.
     Depuis l'accident, les opérateurs ont pris les choses en main. Sur le mur arrière de la salle de commande, il y a maintenant un grand miroir rond, convexe, comme ceux utilisés dans les boutiques pour surveiller les voleurs, qui permet aux opérateurs de voir quand les lumières clignotent sur ce panneau arrière...

(suite)

suite:
     D'autre part, la conception de la salle de commande a contribué à diminuer la capacité de diagnostic des opérateurs. Le bruit permanent des alarmes et le clignotement des lumières les ont distraits à des périodes importantes et ont rendu plus difficile l'identification des causes réelles. Un des opérateurs présent dans les premières heures, avait justement écrit un an avant à sa direction:
     «Le système d 'alarme est si mal conçu qu 'il contribue peu à l'analyse d'un évenement. Les autres opérateurs et moi-même avons plusieurs suggestions pour améliorer notre système d'alarmes; nous pouvons en discuter si possible avant que le système tel qu 'il est ne cause des problèmes graves»!!
     Rien n'avait été fait à TMI 2 au moment de l'accident.
     La conception de la salle de commande de TMI 2 est le résultat d'un processus fragmenté de conceptions... Aucun opérateur confirmé n'a été consulté. L'ingénieur de Burns & Roe qui a conçu l'emplacement des panneaux ignorait totalement combien de personnes étaient prévues pour exploiter. Imaginez un avion dont le cokpit aurait été conçu par quelqu'un ignorant combien de personnes doivent le piloter! Le résultat était une salle de contrôle conduite par des équipes de deux ou trois au plus, qui était beaucoup plus compliquée que les salles de contrôle des réacteurs de sous-marins qui sont en permanence conduites par trois opérateurs et un ingénieur responsable.

Présentation des informations
     Nous avons trouvé que l'information disponible aux opérateurs sur l'état du réacteur et les paramètres importants était très en dessous de ce que l'on pourrait supposer être un minimum acceptable pour une technologie si sophistiquée, exigeant une action rapide en cas d'accident. On peut noter en particulier:
     - Aucune alarme visuelle pour indiquer que l'alimentation de secours en eau des GV était bloquée. Ceci n'a été découvert que 8 minutes après le début de l'accident. Et tout cela parce qu'un carton de consignation cachait un voyant. Dans les réacteurs les plus récents, NRC exige une alarme.
     - Le voyant au panneau de contrôle pour la vanne de décharge du pressuriseur indiquait que l'ordre de fermeture avait été donné, non que la vanne était en position. Les opérateurs ont été trompés pendant plus de deux heures par ce voyant.
     - Le réacteur n'avait pas d'instrumentation montrant le niveau d'eau dans le réacteur. La seule indication était le niveau du pressuriseur, qui montrait que celui-ci était plein d'eau. En fait, au début de l'accident, le fluide traversait le pressuriseur pour fuir par la vanne de décharge. Ultérieurement, l'eau était bloquée dans le pressuriseur par la vapeur et les gaz dans le réacteur. Les opérateurs ont été trompés, pensant le circuit primaire plein alors qu'il ne l'était pas.
     - Durant l'accident, les valeurs aux thermocouples dans le coeur ont été relevées en local manuellement, car les échelles des indicateurs étaient hors course. Ces relevés n'étant pas «réglementaires», la direction n'a pas voulu en tenir compte. Aujourd'hui, en salle de contrôle de TMI 2, il y a un grand panneau qui présente par lecture digitale chacun des quelque 50 thermocouples, donnant ainsi aux opérateurs une vision facile à lire et instantanée de la température du coeur du réacteur.
     - Les opérateurs auraient pu détecter la non-fermeture de la vanne de décharge à partir des températures dans la ligne de décharge. Ces mesures ont été appelées plusieurs fois par les opérateurs mais ont été mal interprétées, en partie parce que, faute d'un enregistrement permanent, ils avaient l'impression d'une tendance à diminuer.
     - Aussitôt après le début de l'accident, le calculateur et l'imprimante étaient tellement en retard pour imprimer les alarmes que les opérateurs ont vidé la mémoire pour avoir des données à jour. Des données importantes qui auraient pu les aider à diagnostiquer l'accident ont été ainsi perdues.

p.13

4. Amélioration dans l'examen de sûreté de la conception et accroissement de l'utilisation des méthodes d'analyse quantitative du risque.

     Le mandat statutaire de la NRC dans l'autorisation des réacteurs, inchangé de ce qu'il était par l'AEC, est très général: assurer que les installations seront «réalisées avec une protection adéquate pour la santé et la sûreté du public»...
     Dans la période de développement de l'industrie, quand de nombreux projets non éprouvés étaient soumis au licensing, l'AEC a développé une méthode de revue de sûreté basée sur le concept de «design basis accident». Un projet était considéré acceptable si des systèmes de sauvegarde pouvaient étre présentés pour atténuer les conséquences d'accidents classés en 8 catégories de gravité. Une neuvième catégorie de désastres majeurs, était supposée inclure des calamités si invraisemblables, et souvent si difficiles à atténuer, qu'on ne demandait pas aux projets de les supporter.
     En analysant un projet particulier, NRC n'examine pas tous les systèmes et composants, mais seulement ceux supposés être «relatifs à la sûreté» , c'est- à- dire ceux estimés être essentiels à limiter un accident, ou ceux dont le défaut pourrait causer ou aggraver DBA (accident de dimensionnement).
     Pour juger la fiabilité de ces systèmes, la NRC a utilisé un concept appelé «critère de défaillance unique»... La propos du CDU est de développer la fiabilité en imposant redondance et diversité dans les systèmes qui doivent limiter les accidents.
     La NRC a hésité et a continué à appliquer ce système pour savoir si un projet est acceptable, en dépit du fait que nous avons maintenant accumulé une expérience concrète avec les projets et une bien meilleure base d'estimation des taux de pannes et en dépit du fait que nos technologies d'analyses du risque avec cette technologie ont été largement prouvées dans la dernière décade.
     Les DBA vis-à-vis desquels un projet de réacteur est jugé sont pour la plupart, des grands défauts. L'analyse de sûreté suppose que si un projet est étudié pour un gros accident, il sera a fortiori capable de supporter un spectre de plus petits. Les accidents plus petits sont regardés comme «à l'intérieur du dimensionnement».
     Le WASH 1400 a montré que le plus grand risque d 'accident ne vient pas des DBA, tels le grand LOCA, mais de petits accidents de perte de réfrigérant et de transitoires classiques couplés avec des défaillances multiples ou des erreurs humaines, ayant une plus grande probabilité d'occurrence qu'une grande rupture de tuyauterie. Ces sources d'accidents potentiels ont été, cependant, quasiment ignorées par la NRC dans l'analyse de sûreté. L'accident TMI enveloppe, naturellement, les quatre éléments mentionnés: un transitoire classique de perte d'eau alimentaire qui aurait été facilement surmonté par les systèmes de sécurité; une vanne coincée ouverte, causant un petit LCCA à un moment de confusion et à un endroit inattendu, le sommet du pressuriseur; une instrumentation trompeuse, et une erreur opérateur arrêtant l'injection de secours.

(suite)

suite:
L'étude RASMUSSEN montrait aussi que plus de 90% du risque d'accident, sur les réacteurs étudiés, était associé à l'erreur humaine...
     La classification habituelle des systèmes et matériels en «relatifs à la sûreté» et «non relatifs à la sûreté» est particulièrement peu satisfaisante. La distinction est liée à l'approche DBA/CDU. Les systèmes et équipements en dehors du champ d'analyse du DBA sont considérés comme non importants pour la sûreté et ne sont pas analysés par la NRC pour voir s'ils réagiront comme prévu; ils ne sont pas soumis à la redondance. Et ils ne sont pas inspectés.
     Historiquement, c'est plutôt l'exploitant que la NRC qui a défini quels systèmes étaient relatifs à la sûreté. Lorsque la NRC n'était pas d'accord, la détermination finale était souvent faite sur une base ad hoc. La nature arbitraire de cette distinction comme limite de l'attention portée par la NRC est bien visible dans l'accident de TMI où des systèmes non relatifs à la sûreté ont joué des rôles critiques, par exemple:
     - Les unités de traitement de condenseur, essentiellement 8 unités de résines déminéraliseurs. Les vannes d'entrée et de sortie se sont fermées sur les huit lignes, interrompant totalement l'eau alimentaire.
     - La vanne de décharge du pressuriseur classée non sûreté bien que son blocage puisse conduire à un LOCA. Il était supposé que les opérateurs fermeraient la block-vanne.
     - La salle de contrôle, la plupart de l'instrumentation et les procédures opérateurs étaient aussi considérées comme non de sûreté. Une fois les pompes primaires arrêtées, la circulation naturelle bloquée et le coeur du réacteur endommagé, les opérateurs n'avaient plus ni systèmes, ni procédures pour reftoidir, puisqu'on était «hors-dimensionnement»
     - Les systèmes dans le batiment des auxiliaires, où des fuites de gaz radioactifs se sont produites n'ont pas été dimensionnés pour recevoir les quantités de matières radioactives produites dans un accident sérieux avec dommages au coeur, puisqu'un tel accident était considéré de classe 9. Les filtres, les réservoirs de décroissance, les joints de pompes et autres composants dans ce bâtiment, comme d'ailleurs aussi dans le bâtiment réacteur, n'étaient pas dimensionnés plus que pour les conditions analysées dans le dimensionnement.
     Ceci démontre que TMI a été loin au-delà du point que l'approche DBA considère comme suffisant. Le processus ne permet pas de déterminer les faiblesses du dimensionnement. D'importants accidents sont en dehors ou ne sont pas correctement analysés à l'intérieur du dimensionnement; des systèmes clés ne sont pas classés sûreté, et l'intégration des facteurs humains dans l'analyse de sûreté est grossièrement inadaptée...
     La meilleure voie pour améliorer l'évaluation de sûreté est de la relayer par l'analyse quantitative du risque, et de développer les séquences d'accident qui contribuent significativement au risque. L'évaluation peut alors se focaliser sur les systèmes qui contribuent au risque, identifier les points faibles, et augmenter les exigences pour les éliminer (maintenance, par exemple).

p.14

TMI 2: ETAT DES OPERATIONS DE NETTOYAGE
(Article de Devillers - IPSN)

1. RAPPEL

L'accident du 28 mai 1979 sur la tranche 2 de la Centrale de Mile lsland s'est traduit par la dissémination dans l'installation d'environ 50% des produits de fission volatils initialement contenus dans les assemblages de combustible. Rappelons que la contamination du Bâtiment Auxiliaire résulte de l'utilisation malencontreuse durant l'accident, du circuit de contrôle volumétrique et chimique et des fuites qui se sont manifestées sur ce circuit.
La figure 1 montre les fractions des principales espèces de produits de fission transférées successivement dans le circuit primaire, l'enceinte de confinement, le bâtiment auxiliaire et l'environnement (1):

     Le programme de nettoyage, mis en oeuvre dès l'obtention de conditions stables dans la tranche, avait les objectifs suivants:
     - rendre accessibles les bâtiments et les équipements nécessaires pour contrôler le réacteur
     - collecter et conditionner les effluents radioactifs liquides et gazeux
     - préparer et exécuter le déchargement des assemblages combustibles et des structures internes de la cuve.
     En novembre 1981, le coût total du programme était estimé à 1.060 millions de dollars.
     Les assurances ont versé 300 M$ à la General Public Utilities Corp propriétaire de TMI. Le financement complémentaire de 760 M$ n'a pas encore été voté, il devrait, selon un projet du gouverneur Thornburgh, être assuré comme suit:
     - 25% par l'industrie nucléaire
     - 25% par le Gouvernement Fédéral
     - 32% par le GPU
     - 6% par les Etats de Pennsylvanie et du New Jersey
     - les 12% restants représentant une prime d'assurance versée par le GPU pendant la durée du nettoyage (2).
     La fin des opérations de nettoyage est programmée pour 1987, le déchargement du coeur se situerait en 1985.
     Le chantier du TMI 2 présente un intérêt exceptionnel pour la communauté nucléaire internationale sous l'angle des méthodes de décontamination et des procédés de conditionnement des déchets produits. A cet égard, plusieurs missions de représentants français se sont rendues sur le site en 1981 et 1982 (3). La fourniture de robots d'intervention a été proposée à Bechtel, entrepreneur général du chantier.

2. NETTOYAGE DES BATIMENTS

Bâtiments auxiliaires
La campagne de purification de l'eau accumulée dans divers réservoirs et puisards du batiment auxiliaire s'est déroulée de manière satisfaisante, à l'aide du système EPICOR 11(4) mis en service en octobre 1979.
Il s'agissait, d'une part de récupérer des capacités de stockage pour faire face à un éventuel transfert d'eau depuis le circuit primaire, d'autre part de diminuer l'exposition du personnel, de l'ordre de 10 mRem par travailleur et par jour.

(suite)

suite:
     Le système EPICOR 11, qui comporte deux lignes de batteries filtre et résine organique, est installé dans un bâtiment séparé destiné à l'origine au nettoyage chimique des générateurs de vapeur de la Centrale.
     Les éléments chimiques à éliminer sont les cesium et strontium qui comportent des isotopes de période longue (137 Cs, 134 Cs, 89 Sr, 90 Sr). L'activité de l'eau varie de 0,1 à 40 Ci/m³ selon sa provenance. Le cesium 137 est l'isotope dominant. L'eau traitée est stockée sur le site dans la piscine de stockage de TMI 2 et dans deux réservoirs de 1900 m³ chacun construits à cette fin. Aucun rejet d'effluent liquide dans la rivière n'a encore été autorisé. L'eau épurée est réutilisée pour la décontamination des surfaces et murs des locaux.
     Les pots de filtres et résines usés sont stockés provisoirement sur le site dans les conteneurs. Les conteneurs les moins actifs sont acheminés par la route vers un site de stockage commercial, à Hanford (Wash.), distant de 3.700 km.

Bâtiment du réacteur
     La première entrée du personnel dans l'enceinte de confmement du réacteur accidenté a lieu le 23 juillet 1980, 16 mois après l'accident. L'entrée du personnel avait été précédée d'un examen, à travers un trou de 20 centimètres percé dans l'enceinte, des conditions régnant à l'intérieur du bâtiment. Du 28 juin au 11 juillet 1980, l'exploitant procède en outre à la purge et la dispersion dans l'atmosphère de 43.000 Ci de Krypton 85 contenus dans l'enceinte. La dose maximale en dehors du site résultant de ce rejet est 0,02 mRem (5).
     Les entrées dans l'enceinte se succèdent ensuite au rythme de une entrée par mois en moyenne. La durée des séjours est de l'ordre d'une heure et l'exposition moyenne varie de 300 à 450 mRem/h. Les valeurs des débits de dose mesurés en divers points du bâtiment réacteur se situent dans les gammes suivantes: beta 0,6 à 50 rad/h, gamma 0,1 à 5 rad/h.
     L'exploration de l'enceinte fournit des informations dans les domaines suivants:
     - distribution de la radioactivité (eau, air, surfaces)
     - efficacité de diverses méthodes de décontamination testées à petite échelle
     - état des équipements électriques, du pont roulant en particulier, des organes d'isolement de l'enceinte.
     L'exploitant est ainsi en mesure de confirmer le bon état de l'enceinte de confmement.
     En mars 1981, la NRC donne son accord pour l'ensemble du programme de nettoyage proposé par l'exploitant (6). L'estimation par la NRC de l'exposition des travailleurs participant à ce programme est dans la fourchette 2.000 - 8.000 hommes x Rem. Rappelons que la phase de maîtrise de l'accident (29 mars - 11 avril 1979) avait coûté environ 120 homme x Rem en exposition du personnel. Les prévisions de dose à l'organisme entier, pour l'individu du public le plus exposé, varient de 0,8 à 2,3 mRem pour la contribution des effluents gazeux et de 0,0015 à 1,1 mRem pour celle des effluents liquides.
     La purification des 2400 m³ d'eau répandus dans le fond de l'enceinte de confinement, sur une hauteur de 2,4 m, débute à la mi-septembre 1981 avec la mise en service de Submerged Demineralizer System (SDS) (7).
     L'eau à traiter est environ dix fois plus active que celle du bâtiment auxiliaire.
     Le tableau ci-dessous donne l'inventaire des principaux radionucléides contenus dans l'eau.

p.15

137Cs	407.000 Ci	169 Ci/m³
134Cs	66.000 Ci	28 Ci/m³
144Ce	12 Ci	5.10^-3 Ci/m³
125Sb	22 Ci	9.10^-3 Ci/m³
90Sr	6.250 Ci	2,6 Ci/m³
3H	2.300 Ci	0,96 Ci/m³

     Le SDS est schématisé sur la figure 2 ci-dessous. Ce système est implanté dans la piscine de stockage du combustible de TMI 2 qui, pour le moment, ne contient aucun assemblage combustible. Les résines minérales employées (zéolithe) permettent de fixer 50.000 Ci de Cesium par pot (volume d'un pot: 216 litres). Le débit de dose au contact d'un pot est de l'ordre de 100.000 Rem/h. L'eau de la piscine dans laquelle le dispositif est immergé fait office d'écran de protection. Les facteurs de décontamination obtenus sont respectivement 10^-5 pour le Cesium et 500 pour le Strontium (3). L'eau sortant du SDS est dirigée vers EPICOR II pour complément d'épuration.
Les pots de zéolithe chargés à 50.000 Ci sont déshydratés, placés en conteneur et expédiés vers des centres du Department of Energy où ils feront l'objet d'études de conditiorinement, en particulier par le procédé de vitrification «INCAN MELTING».
     L'exposition du public résultant du transport des déchets solides a été évaluée par la NRC entre 20 et 50 homme xRem(6).
     En avril 1982, il ne restait plus dans le fond de l'enceinte de confinement que 12 centimètres de boues qui devaient être extraits après modification des dispositifs de filtration du SDS. La diminution régulière du débit de dose à mesure que l'eau était évacuée de l'enceinte confirme qu'il s'agissait bien de la source principale d'irradiation.
     La décontamination des murs et surfaces de l'enceinte devrait débuter par les planchers supérieurs pour diminuer l'activité ambiante dans les secteurs des travaux prioritaires requalification du pont roulant, préparation du déchargement du coeur. Les emplacements les plus actifs, au niveau inférieur (local du réservoir de décharge du pressuriseur) - exutoire de l'eau du circuit primaire durant l'accident - compartiment des pompes d'exhaure) devaient être isolés en vue d'une décontamination ultérieure (3).

3. EXAMEN DU COEUR

     Une inspection visuelle du coeur du TMI 2 a pu être réalisée au cours des mois de juillet et août 1982 grâce à une caméra de télévision sous-marine miniature (8).
     La caméra est introduite à travers le couvercle de la cuve du réacteur dans un des tubes qui normalement guident les dispositifs de commande des barres de contrôle. Elle peut donc observer le haut des assemblages de combustible.
     Les conclusions actuelles, limitées à la zone explorée par la caméra, sont les suivantes:
     - une partie significative du coeur de TMI 2 a été endommagée au cours de l'accident de 1979 au point que certain des assemblages de combustible sont sous forme d'un lit de débris
     - une cavité d'environ 1,5 mètres de haut s'est formée dans la partie supérieure du coeur; elle s'étend de l'axe du coeur jusqu'à environ mi-distance de sa surface extérieure;
     - aucune indication n'a été relevée concernant d'éventuelles pastilles de combustible fondues; cependant, aucune conclusion générale n'est tirée quant à la présence ou non de pastilles fondues dans le coeur
     - aux deux endroits examinés, le lit de débris au fond de la cavité est composé de matériaux sans consistance sur une profondeur d'au moins 35 centimètres;
     - on observe comme prévu des indices de fusion de matériaux à point de fusion très inférieur à celui de l'oxyde d'uranium;

(suite)

suite:
     - le plenum, composant majeur, situé juste au-dessus du coeur semble non endommagé; des tronçons d'assemblage ont été vus suspendus à la plaque inférieure du plenum.
     Une analyse plus détaillée des bandes vidéo et d'éventuelles nouvelles inspections par caméra sont envisagées.
     Les observations qui viennent d'être réalisées confirment dans l'ensemble les scénarios d'endommagement du coeur publiés antérieurement (9). Elles fournissent néanmoins des indications précieuses qui permettront de guider la préparation du démontage des équipements internes à la cuve et le déchargement des assemblages de combustible.
     Le couvercle de la cuve devrait être démonté mi-83.
     Le déchargement du combustible se situerait en 85.
     Les dommages subis par les assemblages de combustible varient notablement suivant leur localisation dans le coeur(l1):
     - les assemblages de la périphérie du coeur devraient avoir conservé leur géométrie originelle et une résistance mécanique suffisante, pour pouvoir être extraits sans difficulté majeure;
     - les assemblages des couches inférieures ont sans doute subi des dommages: oxydation des gaines, liquéfaction locale par réaction zircaloy/oxyde d'uranium, fusion partielle des grilles en inconel et des barres de contrôle. Néanmoins, il y a des chances pour que ces assemblages, bien que très fragiles, puissent être extraits entiers.
     - dans la zone centrale du coeur, les assemblages ont perdu leur géométrie d'origine. iIl est prévu de prendre des échantillons à différentes profondeurs du lit de débris pour mieux connaître la structure du lit. Le technique envisagée pour la prise d'échantillons consiste à geler localement le mélange combustible-eau par introduction d'un tube refroidi à l'azote liquide.

4. ENVIRONNEMENT

    Excepté la purge de krypton 85 de l'enceinte, au cours de l'été 1980, aucun rejet radioactif notable n'a été effectué depuis l'accident. Tout rejet d'effluent liquide a été jusqu'à présent proscrit.
     Depuis début 1980, la population de 12 communes situées dans un rayon de 8 kilomètres dispose d'un réseau de surveillance de l'activité de l'air. Ce réseau, baptisé «Citizen' Radiation Monitoring Program», fournit quotidiennement les niveaux de radioactivité de l'air (10). Une cinquantaine d'habitants ont reçu une formation spéciale pour effectuer les mesures.
     L'exploitant de son côté a assuré une surveillance permanente de tous les trajets de fuite potentiels à partir de l'enceinte de confmement. Le niveau de l'eau dans le bâtiment était contrôlé, l'atmosphère du bâtiment était maintenue en légère dépression. L'eau de la nappe phréatique était contrôlée périodiquement.

5. ETAT DE LA TRANCHE 1

La tranche 1 n'a pas redémarré depuis l'accident de mars 1979. Une campagne de tests a révélé début 1982, des fuites sur 153 tubes des générateurs de vapeur. La corrosion, mise en évidence par courants de Foucault, s'est produite à l'intérieur des tubes, côté fluide primaire. On estime à 4.000 sur 31.000 le nombre de tubes qui nécessiteraient des réparations.

p.16

6. CONCLUSION

     Le programme de nettoyage de la tranche 2 de la Centrale de TMI s'est déroulé jusqu'à présent dans des conditions de sécurité satisfaisantes, mais à un rythme sensiblement plus lent que prévu initialement. Ce retard est imputable aux incertitudes relatives au financement complémentaire, qui ont conduit l'exploitant à réduire les moyens en personnel. Certaines actions de l'exploitant ont en outre été retardées par la lourdeur des procédures administratives ce fut le cas en particulier pour la purge du krypton de l'enceinte.
     Les techniques utilisées pour l'épuration des eaux actives sont révélées fiables et efficaces. Le Department of Energy a finalement apporté une solution au problème de la destination des déchets solides de haute activité. Des informations sont attendues en ce qui concerne l'efficacité des méthodes de décontamination des surfaces et murs des bâtiments.
     Le première exploration du coeur par caméra sous-marine a permis de préciser les diagnostics d'endommagement du coeur effectuée précédemment. L'absence apparente de dommages au niveau des structures surmontant le coeur est un élément positif en vue de la manutention de ces équipements. Des examens plus détaillés de l'état des structures et de la topographie du coeur vont avoir lieu dans les mois qui viennent. Le requalification du pont roulant est une étape importante du programme.
     Les prévisions d'exposition du personnel pour l'ensemble du programme sont relativement modérées mais devront être confrontées avec l'expérience du chantier. Aucune irradiation accidentelle au-delà des normes n'a été rapportée.
     L'exposition du public depuis l'accident a été négligeable et devrait le rester si l'on en croit les estimations de la NRC. Aucun rejet d'effluent liquide n'a encore été autorisé. Le risque de rejet accidentel apparaît en outre tout à fait réduit. Le risque principal réside sans doute dans le transport des déchets solides hors du site, sur des distances parfois considérables.
     Un aspect non négligeable du programrne consiste dans l'acquisition de données sur les conséquences réefles d'accidents menant au dénoyage prolongé du coeur, notamment sur les points suivants:
     - répartition des différents types de dommages dans le coeur
     - comportement des structures intemes de la cuve
     - relâchement des produits de fission en fonction du niveau d'endommagernent du combustible
     - répartition des produits de fission dans l'enceinte de confinement
     - comportement de l'instrumentation et des équipements électriques soumis aux conditions accidentelles.

(suite)

suite:
REFERENCES

1. A. MILLER : Radiation source terms and shielding at TMI 2. Transactions of American Nuclear society. Vol. 34.633 (1980).

2.GPU NUCLEAR Newsline, Vol. 1, n. 3 (nov. 1981).

3. Compte rendu de missions à TMI - M. PARADIS EAA - Etablissement de la Vallée du Rhône - IPSN/UDIN - 82/229 (aôut 1982).

4. Environmental assesment: use of EPICOR II at Three Mile Island, Unit 2. NUREG -0591 (août 1979).

5. J. DEVINE : A progress report: cleaning up TMI - IEEE spectrum (mars 1981).

6. NRC Staff final environmental statement on TMI 2 clean up. USNRC n. 81-39 (mars 1981).

7. TMI Unit 2 Technical Information and Examination Programm - UPDATE (novembre 1981). Published by EG & Idaho, for the US Department of Energy.

8. Nucleonics Week - Vol. 23, n. 34 (26 août 1982).

9. TMI 2 Accident Core Heat - up Analysis. NSAC - 24 (1982).

10. TMI 2 Technical Information and Examination Programm UPDATE (juillet 1980).

11. D.E. OWEN - The TMI 2 Core Examination Plan. ANS International Meeting in Thermal Nuclear Reactor Safety - Chicago (29 août -2 sept. 1982).

p.17

QUELQUES MOTS EXTRAITS DU RAPPORT DE F. COGUE
Chef du Département de Sûreté Nucléaire
Institut de Protection de Sûreté Nucléaire - CEA -

« Deux ans après TMI, les réalités de la sûreté nucléaire »

L'accident de la centrale de Three Mile Island a «cueilli à froid» toutes les autorités de sûreté dans le monde. L'effervescence qui en est résulté a conduit à multiplier les Commissions d'enquête, les Groupes de travail, les Groupes d'experts dans le monde; des forêts entières ont été sacrifiées pour publier tous les commentaires, avis, conclusions, reconclusions, recommandations sur cet accident et il est bien difficile d'être exhaustif dans la présentation de tous ceux-ci. Ceux qui resteraient sur leur faim après cet exposé liront avec profit la synthèse présentée à la conférence ANS/ENS de novembre 1981 à Washington par M. ZEBROSKY (1). Quant au déroulement proprement dit de l'accident, le Nuclear Safety Analysis Center, créé à cette occasion aux États-Unis, en a fait une analyse très complète dans son rapport NSAC 80-1(9).

Résumé du chapitre 3:

Les enseignements de TMI et les recommandations

     ... On peut classer les recommandations ou les actions en six grandes rubriques:
     1. amélioration de l'exploitation
     2. amélioratidn des salles de commande
     3. amélioration de la conception
     4. utilisation de l'expérience d'exploitation
     5. amélioration de l'évaluation de sûreté
     6. plans d'urgence.

(suite)

suite:
1. Amélioration de l'exploitation
Formation des opérateurs.

2. Amélioration des salles de commande
     - présentation des informations
     - limitation et hiérarchisation des alarmes
     - renforcement des équipes d'exploitation
     - révision des consignes et procédures
     - assurance de qualité en exploitation
     - amélioration de l'instrumentation.

3. Amélioration de la conception
     - confinement de la radioactivité
     - robinetterie
     - qualification des matériels en conditions accidentelles
     - dégazage du circuit primaire

4. Utilisation de l'expédenoe d'exploitation
- faire des fichiers et les utiliser.

5. Amélioration de l'évaluation de sûreté.

p.18

Et voici quelques extraits du rapport de F. Cogné:

     «... Les commissions américaines ont largement retenu les méthodes d'analyses de la sûreté parmi les causes de l'accident de TMI. Avec franchise, et parfois brutalité, elles ont fortement critiqué le système réglementaire tatillon et étouffant qui peu à peu s'est imposé, limitant l'effort de réflexion et d'analyse. T.H. Pigford qui était membre de la commission présidentielle Kemeny, résume ceci dans un article paru dans Nuclear News (6), en disant : « L'écriture de ces réglementations et l'évaluation des réacteurs en regard de ces réglementations a été la préoccupation de la NRC. Par le développement massif de réponses écrites exigées pour chaque installation vis-à-vis des règlements, on a occupé l'essentiel des meilleurs talents dans l'industrie. Ceci a conduit l'industrie de la NRC à des attitudes fausses et de suffisance, considérant qu'il suffisait de se soumettre à ces réglementations pour que la sûreté soit assurée».
     Les améliorations de l'évaluation de la sûreté qui ont été suggérées se déduisent des critiques elles-mêmes. Ce sont en particulier:
     - ne plus se contenter des notions d'accident de dimensionnement, de critère de défaillance unique ou de classements de matériels, mais développer les méthodes d'analyse du risque et les études de séquences accidentelles en prenant en compte les défaillances multiples et l'erreur humaine (cf. Rogovin).
     - s'attacher beaucoup plus aux problèmes d'exploitation et s'assurer que ceux-ci ont bien été répercutés et pris en compte dans les projets. Le Groupe Permanent, de ce point de vue «conclut que l'analyse de sûreté devrait s'attacher davantage aux problèmes rencontrés dans l'exploitation des réacteurs». De son cCté, la Commission Rogovin demande «un changement immédiat, substantiel, dans la répartition des moyens de la NRC, de la revue des projets vers l'examen des réacteurs en exploitation».
     On peut noter peut-être ici une remarque de T.H. Pigford:
     «un autre problème dans l'approche actuelle de la sûreté nucléaire est son caractère étouffant de bagarre. Ce qui devrait être avant tout un processus technique de spécification, de conception et de revue pour la sûreté a été submergé au contraire par le processus de combat légaliste. La méthode actuelle interdit l'échange d'information technique entre autorités de sûreté et industrie. L'absence de tels échanges a été une des causes premières de TMI».

6. Plans d'urgence
     L'accident de TMI a conduit, dans tous les pays, à réexaminer les plans d'urgence, tant internes, c'est-à-dire de la responsabilité de l'exploitant, qu'externes, c'est-à-dire de la responsabilité des autorités publiques. Ces deux actions sont couvertes en France par les dénominations PUI - Plans d'urgence internes) et PPI (plans particuliers d'intervention).
     Les améliorations de l'évaluation de sûreté décrites cidessus ont conduit les commissions post-TMI à demander l'examen d'accidents ayant des conséquences plus graves que ceux condidérés jusqu'ici dans le dimensionnement, c'est-à-dire avec coeur dégradé ou même fondu. L'étude de
telles séquences, qui doit être conduite avec des hypothèses réalistes, doit permettre de ne pas laisser l'exploitant sans ressource devant un accident grave, même de faible probabilité, et de lui proposer des moyens et des procédures pour rattraper une situation dégradée. En France, ceci fait en particulier l'objet d'études et de procédures d'urgence (procédures H et U).
     Les plans d'urgence externes ont également fait l'objet d'examen de plusieurs commissions et ont conduit à une revue de l'organisation dans la plupart des pays. En France, les PPI ont été développés et mis en place pour chaque site nucléaire.

(suite)

suite: Conclusions

Des différents travaux effectués depuis deux ans suite à l'accident TMI, et en particulier de ceux des différentes commissions qui se sont penchées au chevet du malade, il convient de retenir ce qui a changé dans la sûreté:

1. L'état d'esprit: moins de triomphallisme, plus de modestie. Comme le souligne Rogovin, avant TMI aussi bien l'industrie que les autorités de sûreté étaient convaincues que de tels accidents ne pouvaient pas arriver, n'étaient pas crédibles. C'est cette attitude qui a fait refuser l'utlisation des enseignements du rapport Rasmussen. Bien des certitudes sont tombées depuis TMI.

2. La prise en compte du facteur humain: Rasmussen avait bien vu le risque d'actions humaines inadéquates, mais rien, ou peu, n'avait été fait pour aider les opérateurs dans les conditions de stress; bien au contraire, les salles de commande telles que réalisées encore aujourd'hui ne peuvent que «bloquer» la réflexion d'un opérateur pris au piège d'une situation imprévue. D'une manière générale, ce problème est maintenant mieux perçu et les modifications en cours tant dans la formation du personnel, la rédaction des procédures, que sur les salles de commande devraient améliorer de façon fondamentale la sûreté.

3. L'attention aux «problèmes périphériques» tels que rôle du secondaire, robinetterie, qualification des matériels aux conditions accidentelles.

4. L'analyse des incidents mineurs et la recherche des événements précurseurs, c'est-à-dire la prise en compte de l'expérience d'exploitation.
Dans ce domaine, il reste encore presque tout à faire pour être assuré que tous les enseignements sont effectivement bien tirés tant pour la conception des futurs réacteurs que pour les réacteurs en service.

5. L'étude des conditions post-accidentelles pour définir des procédures permettant aux exploitants de faire face non seulement au début d'une situation accidentelle, ce qui est le cas des consignes actuelles, mais aussi à moyen et long terme.

6. L'acceptation de l'idée d'accidents non totalement couverts par le dimensionnement et donc d'y chercher des parades de façon à ne pas laisser l'exploitant sans moyens devant des situations imprévues ou extrêmes.

p.19

Retour vers la G@zette N°50/51