La dernière réunion de la première année de fonctionnement de la CSIA, le 21 décembre 1960, est marquée par l'adoption d'un grand principe concernant les circuits de sécurité, principe qui deviendra la règle pour toutes les installations du CEA. 267 Le nouveau principe consiste dans le triplement des circuits de sécurité avec ordre de chute des barres sur un signal de coïncidence de dépassements sur deux des trois chaînes. Cette décision fait suite à une discussion à propos du tableau de commande de Triton I, dont la réalisation était confiée à l'industrie sous le contrôle du Département d'Electronique. Les chaînes de sécurité étaient conçues de telle façon qu'une défaillance du matériel électronique doive entraîner l'arrêt de la pile. Jean Bourgeois explique que cette situation n'est «pas optimale», puisque l'on peut être amené à arrêter la pile alors que cette-dernière n'est pas dans une configuration dangereuse. C'est pourquoi M. Bourgeois fait valoir qu'à l'étranger, en Grande-Bretagne et au Canada, si l'on admet des chutes de barres relativement fréquentes pour les expériences critiques, il n'en va pas de même pour les réacteurs de puissance.
C'est un problème d'exploitant qui est posé et non plus un problème d'expérimentateur : fiabilité des systèmes, sûreté et qualité d'exploitation sont liés. Il ne faut pas qu'une défaillance d'un mécanisme de sûreté provoque l'arrêt, c'est-à-dire interrompe l'exploitation. Chaque panne détectée doit être une panne réelle et non pas une panne d'indicateur. Pour cela deux possibilités existent : soit on utilise un unique dispositif d'une fiabilité presque absolue, soit on utilise des appareils d'une fiabilité moindre mais agencés de telle sorte qu'on obtienne une fiabilité équivalente pour le système. Le problème soulevé est que la recherche d'une fiabilité absolue est une entrave à l'exploitation.
La remarque de Bourgeois impose une parenthèse. Après l'influence britannique, c'est l'influence canadienne qui s'exerce ici sur les conceptions françaises. Britanniques et Canadiens abordent désormais la sûreté non plus du point de vue de l'expérimentation mais de l'exploitation, c'est-à-dire en industriels et non plus en chercheurs. Les Britanniques ont été historiquement les premiers à construire en série des réacteurs de production. Parallèlement aux Anglais 268 , les responsables canadiens mettent depuis plusieurs années l'accent sur la sécurité d'exploitation et l'amélioration des systèmes de contrôle. Lors de la deuxième conférence internationale de Genève en 1958, ils 269 avaient déjà exposé leur conception qui attribuait un rôle important à la multiplicité des dispositifs de contrôle et des circuits de sécurité. En 1962, lors du Colloque de l'Agence internationale de l'énergie atomique intitulé «sécurité des réacteurs et méthodes d'évaluation des risques» - la première grande conférence internationale consacrée exclusivement aux questions de sûreté - les Canadiens 270 tirent un bilan de leur expérience et évaluent les avantages des dispositifs multiples en service depuis 58 sur leurs piles NRU et NRX de Chalk River. Ils exposent leurs vues sur la conception des systèmes de contrôle du cœur, destinés à détecter toute situation anormale et à y répondre en actionnant soit un signal destiné à un opérateur, soit un système d'arrêt du réacteur. Les responsables de la sûreté au Canada soulignent que l'accident le plus grave survenu à NRX en 1952 avait clairement montré qu'on ne pouvait pas se fier au dispositif d'arrêt primaire, car plusieurs des 18 barres de contrôle n'avaient pas pénétré entièrement dans le cœur du réacteur. C'est pourquoi à la suite de cet accident, les barres ont été remplacées par six barres à commande électrique et d'un fonctionnement plus sûr. Mais la principale amélioration a consisté à installer un deuxième mécanisme d'arrêt, un dispositif automatique d'évacuation de l'eau lourde servant de ralentisseur, en considérant que si un mécanisme ne fonctionne pas, l'autre suffira pour arrêter le réacteur. L'originalité de la démarche canadienne, précisée par Tunnicliffe, est la coutume de confier aux instruments une bonne part de la responsabilité de la sécurité d'un réacteur. On est convaincu en effet que le fait d'essayer d'assurer la sécurité presque exclusivement au moyen de mécanismes nucléaires intrinsèques handicape du point de vue économique le développement de l'énergie d'origine nucléaire. Les Canadiens, parmi les premiers, remettent en cause le principe fondamental adopté par l'ensemble des développeurs de l'énergie atomique depuis les débuts, la recherche d'une sécurité essentiellement basée sur des mécanismes physiques intrinsèques, sur des mécanismes nucléaires inhérents au cœur permettant au réacteur de s'arrêter de lui-même ou de revenir spontanément à des niveaux de puissance acceptables en cas de développement incontrôlé de la réaction en chaîne. Pour illustrer ce type de mécanismes, le réacteur SPERT-1 utilisé aux Etats-Unis à la fin des années 50 pour des recherches de sûreté répond aux sautes de puissance par la formation de vapeur qui augmente la probabilité de fuite des neutrons et par une expansion du métal qui chasse le fluide ralentisseur et change la géométrie du cœur.
En fait la sécurité de tous les réacteurs repose sur deux phénomènes : les mécanismes inhérents au cœur du réacteur et les mécanismes inhérents au système de contrôle. Alors que certains poursuivent dans la voie de recherches sur l'amélioration du premier type de mécanismes, c'est sur ce deuxième aspect que les Canadiens veulent insister, car il permet une plus grande souplesse.
L'une des caractéristiques fondamentales du système de contrôle du NRX, tel qu'il est utilisé depuis quelques années, est donc d'avoir trois circuits indépendants pour déceler et annoncer toute situation dangereuse. Si deux des trois circuits sont actionnés pour une cause quelconque, les mécanismes d'arrêt du réacteur sont mis en marche automatiquement. Mais si un danger est enregistré uniquement pour un circuit, seul un signal d'alarme sera déclenché. Les Canadiens estiment que ce système présente trois grands avantages : premièrement, aucune situation dangereuse ne peut passer inaperçue par suite d'une défaillance d'un circuit enregistreur; deuxièmement on évite les arrêts intempestifs provoqués par un circuit d'enregistrement défectueux, alors que le réacteur lui-même fonctionne normalement. M. Collins note à ce propos qu'à une époque le NRX a été arrêté 275 fois dans l'année, le plus souvent du fait de défaillances des instruments. 271 Enfin, le triple dispositif permet de procéder sur un circuit à des opérations d'entretien ou à des réparations, sans pour autant entraîner l'arrêt du réacteur.
L'adoption du principe de redondance des circuits à la fin des années 50 représente une réelle amélioration de la sûreté, mais comme les Britanniques avec Farmer 272 , les Canadiens mettent en avant principalement les enjeux que cela représente pour l'exploitation et pour éviter les arrêts intempestifs. Les Français ne seront pas les seuls à s'inspirer de l'exemple canadien puisqu'à la même époque, des dispositifs de contrôle basés sur ce principe du contrôle triple sont également mis en œuvre sur le réacteur Candu de Bombay et le FR-2 de Karlsruhe. 273
Lors de la séance du 21 décembre 1960, Bourgeois résume pour la Commission les avantages de ces systèmes utilisés à l'étranger, avançant des arguments identiques à ceux développés par les Canadiens : les réacteurs de puissance sont dotés de chaîne de sécurité triples pour un paramètre déterminé et la chute des barres est commandée par une coïncidence de dépassements sur deux des trois chaînes. L'un des arguments qui semble avoir beaucoup plu à Bourgeois comme à ses collègues étrangers est le fait que ce système permet le test fréquent de chaque sécurité, sans risque de déclenchement intempestif. Il note en outre qu'à Calder Hall, il existe un dispositif mesurant de façon continue la marge de sécurité entre la puissance de marche et le seuil de déclenchement. Le Haut-Commissaire, en conclusion, demande à la Sous-Commission de Sûreté des Piles d'étudier la possibilité de transposer ce système de coïncidence 2/3 sur les piles de puissance du CEA.
PV CSIA, Séance du 21 décembre 1960.
Cf. Farmer, F. R., Fletcher, P. T., Fry, T.M., «Safety Considerations for Gas Cooled Thermal Reactors of the Calder Hall Type», Proceedings of The Second International Conference on Peaceful Uses of Atomic Energy, Geneva, 1958, P/2331, Vol. 11, pp. 202-215.
A. Pearson, E. Siddall, P.R. Tunnicliffe, «The Control of Canadian Nuclear Reactors», Proceedings of the Second International Conference on Peaceful Uses of Atomic Energy, United Nations, Geneva, 1958, P/213, pp. 373-379.
C. G. Lennox, A. Pearson, P.R. Tunnicliffe, «Regulation and Protective System Design For Nuclear Reactors», IAEA, Meeting on Reactor Siting, Vienna, 14-18 mai 1962, IAEA, STI/PUB/54, SM 24, pp. 449-463 et G. C. Laurence, «Operating Nuclear Reactors Safely», IAEA, Meeting on Reactor Siting, Vienna, 14-18 mai 1962, IAEA, STI/PUB/54, SM 24, pp. 135-146.
Agence Internationale de l'Energie Atomique, Bulletin, Volume 4, Numéro 3, Juillet 1962, p.5.
F.R. Farmer, P.T. Fletcher, T.M. Fry, «Safety Considerations for Gas Cooled Thermal Reactors of the Calder Hall Type», Proceedings of the Second International Conference on Peaceful Uses of Atomic Energy, United Nations, Geneva, 1958, P/2331, pp. 197-201.
AIEA, «Sécurité des réacteurs nucléaires», Bulletin de l'Agence Internationale de l'Energie Atomique vol. 4, N°3, juillet 1962, p. 6.