Défense en profondeur : maîtrise des écarts (4/13)

En conditions normales d’exploitation, des systèmes de régulation ont pour rôle de maintenir tous les paramètres d’exploitation dans leur plage admissible. En cas d’anomalies constatées sur l’installation, celles-ci doivent être autant que possible corrigées par un comportement autorégulateur de l’installation ou par des interventions de régulation automatiques. ENSI

En conditions normales d’exploitation, des systèmes de régulation ont pour rôle de maintenir tous les paramètres d’exploitation dans leur plage admissible. En cas d’anomalies constatées sur l’installation, celles-ci doivent être autant que possible corrigées par un comportement autorégulateur de l’installation ou par des interventions de régulation automatiques.

La conception appropriée du cœur de réacteur vise un comportement intrinsèquement sûr de l’installation, ce qui signifie qu’une défaillance fait immédiatement intervenir un mécanisme de rétroaction négative. Sur les réacteurs à eau légère, la conception garantit, dans les conditions de fonctionnement à pleine charge, qu’en cas d’excursion non voulue de la puissance, celle-ci est automatiquement limitée (sans aucune intervention de l’extérieur) par les coefficients de température et de vapeur négatifs. Il ne peut donc pas se produire d’excursion de puissance accélérée et incontrôlée. Une telle excursion a eu lieu lors de l’accident du réacteur de Tchernobyl.

Systèmes de régulation

Des systèmes de régulation agissent d’une part sur le niveau de sécurité 1 en maintenant les grandeurs réglées dans le domaine visé. Ces systèmes sont en mesure de reconduire une grandeur réglée dans le secteur ciblé jusqu’à un certain degré de dysfonctionnement. Ils agissent de surcroît sur le niveau de sécurité 2.

Si les systèmes de régulation ne peuvent reconduire un paramètre mesuré dans sa plage normale, les systèmes de limitation interviennent afin qu’une valeur mesurée ne s’éloigne pas fortement de son domaine visé. L’intervention d’un système de sécurité n’est alors pas nécessaire.

Tous les paramètres importants mesurés pilotent des systèmes de surveillance et de limitation. Ces systèmes relèvent du niveau de sécurité 2 et constituent, avec les systèmes de régulation du niveau de sécurité 1, la première barrière de défense en cas de dysfonctionnement.

Systèmes de surveillance et de limitation

Normalement, les systèmes de surveillance et de limitation déclenchent tout d’abord une alarme destinée à attirer l’attention de l’opérateur sur l’anomalie. Celui-ci peut ainsi prendre les mesures prévues dans un tel cas. Si les mesures prises par l’opérateur se révèlent inopérantes, les systèmes de surveillance et de limitation déclenchent des actions de protection automatiques. La réduction de la puissance du réacteur en cas de dysfonctionnement est assurée selon le type d’installation par l’intervention des fonctions de surveillance et de limitation suivantes :

Exemple 1

Lors du démarrage de l’installation, l’opérateur ne peut plus poursuivre l’augmentation de la puissance du réacteur à partir d’un certain niveau de flux neutronique. Cette fonction est assurée par le blocage automatique de la sortie des barres ou des grappes de commande.

Exemple 2

En cas de déséquilibre entre la puissance du réacteur et la puissance thermique évacuée par la vapeur vive sur un réacteur à eau bouillante, la puissance du réacteur est réduite par diminution du débit de caloporteur dans les boucles de recirculation et par engagement d’une partie des barres de commande dans le cœur.

Protection des composants

Les systèmes protégeant les composants contre leur endommagement font également partie du niveau de sécurité 2. C’est ainsi qu’une pompe peut être automatiquement mise hors tension en cas de survitesse ou de température excessive des joints. Il s’agit alors d’une protection du composant.

Selon les techniques utilisées, ces systèmes de régulation, de surveillance et de limitation, de même que les systèmes de protection des composants, sont commandés par des calculateurs. Ces calculateurs présentent une structure redondante. Ceci signifie qu’il existe toujours deux calculateurs indépendants capables d’assurer chacun et individuellement la totalité des tâches dévolues.

Trois signaux au minimum

Pour qu’un système de limitation puisse intervenir, il est nécessaire qu’il dispose de valeurs mesurées du paramètre à limiter. C’est pourquoi il est toujours question d’un système de surveillance et de limitation. En pratique, chaque paramètre physique voit sa valeur déterminée de plusieurs manières ; c’est ainsi qu’une température ou une pression fait l’objet de mesures multiples. Celles-ci sont corrélées par une logique de résolution qui en tire une valeur vérifiée. Cette procédure permet d’éviter qu’une valeur de mesure unique erronée puisse déjà déclencher une action corrective. Une action corrective n’est donc commandée que si le signal déclencheur est issu d’au moins 3 signaux de mesure. A défaut, cela nécessite l’application systématique de la mesure de sécurité de sauvegarde en cas de réception d’un signal de mesure hors plage.

Si les conséquences du dysfonctionnement ne peuvent pas être maîtrisées par le système de limitation, les systèmes de sécurité interviennent comme barrière de défense en profondeur suivante. Ceux-ci sont alors déclenchés par le système de protection du réacteur qui surveille un grand nombre de paramètres vitaux pour la sécurité.

En vue de maîtriser des incidents de fonctionnement, des prescriptions appropriées ainsi que des documents de travail sont nécessaires en plus des équipements techniques. Ils permettent de soutenir le personnel en cas d’incidents de fonctionnement.

Les 5 niveaux de la défense en profondeur

  • Exigence : fonctionnement normal
  • Objectif : éviter tout écart par rapport à l’exploitation normale
  • Systèmes, équipements et mesures : systèmes d’exploitation, y compris les systèmes d’alimentation et les installations de conduite nécessaires
  • Exigence : incidents de fonctionnement
  • Objectif : maîtriser l’écart par rapport à l’exploitation normale
  • Systèmes, équipements et mesures : systèmes de limitation, y compris les systèmes d'alimentation et les installations de conduite nécessaires
  • Exigence : défaillances dans le cadre des règles de dimensionnement
  • Objectif : maîtrise de défaillances dans le cadre des règles de dimensionnement
  • Systèmes, équipements et mesures : systèmes de sécurité et d’ultime secours, y compris les systèmes d'alimentation et les installations de conduite nécessaires
  • Exigence : défaillances hors dimensionnement sans dommage grave au cœur du réacteur
  • Objectif : maîtrise de certaines défaillances hors dimensionnement
  • Systèmes, équipements et mesures : systèmes et équipements d’urgence (mesures d’urgence préventives)
  • Exigence : défaillances hors dimensionnement accompagné de dommages graves au cœur du réacteur
  • Objectif : limitation du rejet de substances radioactives
  • Systèmes, équipements et mesures : équipements d’urgence (mesures d’urgence d’atténuation)
  • Exigence : urgences graves accompagnées d’un important rejet de substances radioactives dans les environs
  • Objectif : atténuation des effets radiologiques dans les environs
  • Systèmes, équipements et mesures
    • mesures pour minimiser la dose de rayonnement reçue par la population et le personnel

Il s’agit de la quatrième des treize parties de la série d’articles sur la défense en profondeur. L’article suivant porte sur la maîtrise d’accidents de dimensionnement, permettant d’éviter un dommage au cœur du réacteur.

Cet article a été actualisé le 30.11.2018.