14.4. L'Incident de Bugey 5, 15 avril 1984

‘«Tranche 5
Le fonctionnement à la puissance nominale a été interrompu le 14 avril, à la suite de la défaillance de l'alimentation d'une des deux voies redondantes du système de contrôle commande de certains actionneurs de la tranche. Cette défaillance a entraîné l'arrêt d'urgence du réacteur et a provoqué la perte momentanée des alimentations externes de la tranche et un début de fuite aux joints de deux des pompes primaires. La tranche a été conduite à l'état d'arrêt à froid pour contrôle de certains matériels.» (Bulletin SN, N°38, mars-avril 1984, p. 3)’

Telle est la première annonce de l'incident survenu sur la tranche n°5 de la centrale PWR de Bugey par le Bulletin du ministère de l'industrie. Cette annonce, laconique - la citation comporte l'intégralité du texte, 13 lignes - permet difficilement au profane de mesurer l'importance de ce qui sera considéré comme l'un des plus graves événements ayant affecté un réacteur PWR français.

Avant de décrire les causes puis le déroulement de l'incident, il faut préciser que sa gravité est due au fait que la tranche a frôlé la perte totale de ses alimentations électriques de puissance, une situation hors dimensionnement.

L'alimentation en énergie électrique nécessaire à la sûreté des centrales est assurée soit par deux sources externes constituées à partir du réseau national de distribution électrique, soit par deux sources internes constituées chacune d'un groupe électrogène à moteur diesel. En cas de perte des alimentations externes, on procède normalement à «l'îlotage» de la tranche, c'est-à-dire que l'alimentation de ses auxiliaires est assurée par le fonctionnement même de la tranche. L'énergie électrique, qu'elle provienne des sources externes ou internes, est distribuée par l'intermédiaire de deux tableaux électriques qui correspondent chacun à une voie : la voie A est la voie «normale», la voie B assure le «secours» en cas de défaillance de la voie A. Ainsi, la défaillance simultanée de l'alimentation électrique des matériels nécessaires à la sûreté de la tranche peut provenir soit de la défaillance simultanée de l'ensemble des sources soit de celle des tableaux électriques. 875

Le bulletin sur la sûreté des installations nucléaires revient plus longuement (125 lignes) dans son numéro de juillet-août 1984 sur la description de l'incident, les causes tirées d'une première analyse et les actions entreprises.

C'est à la suite d'un défaut sur une carte de régulation, que le redresseur qui fournit le courant continu 48 V de la voie A tombe en panne. A partir de là, le courant continu de la voie A est fourni uniquement par une batterie qui commence à se décharger. Le bulletin précise que cette situation a duré plusieurs heures pendant lesquelles l'exploitant n'est pas intervenu, pensant que le signal d'alarme provenait d'un défaut d'isolement. L'interprétation de l'opérateur n'est pas mise en cause, en effet «la verrine regroupant six alarmes différentes était déjà allumée et clignotait assez fréquemment depuis plusieurs jours en raison de défauts d'isolement.» 876 En fait, la batterie continuant à se décharger (la tension est tombée de 48 à 30V), l'arrêt d'urgence survient, 3h40 après le début de l'incident. L'arrêt d'urgence est suivi du déclenchement de la turbine. C'est alors que le réacteur devrait basculer sur la source extérieure, mais le basculement échoue à cause du manque de tension. Pour la même raison, le diesel de la voie A refuse de démarrer. La tranche se trouve alors sans alimentation extérieure; seuls les tableaux de la voie B sont alimentés par le diesel voie B qui a, lui, démarré. A cet instant, il aurait suffi que ce ne soit pas le cas ou que le couplage sur le tableau B ne fonctionne pas pour aboutir à la perte totale des alimentations électriques. Malgré des difficultés, le refroidissement est assuré en thermosiphon et la chaleur est évacuée par le contournement à l'atmosphère. En effet, une autre défaillance sur un tableau 220V produit certaines perturbations en salle de commande, de plus, l'aspersion normale qui permet de contrôler la pression, est inefficace, l'aspersion auxiliaire (voie A) et deux des trois vannes de décharge (voie A) sollicitées au début de l'incident ne manœuvrent plus à cause de la baisse de tension 48 V. L'exploitant réussit finalement à rétablir les alimentations électriques et le refroidissement normal.

Une visite dans le bâtiment réacteur après l'incident met en évidence une fuite le long de l'arbre de deux des trois pompes primaires estimée à 150 l/h. Les variations de la pression primaire ont provoqué le déplacement des joints de ces pompes, créant une brèche dans le circuit primaire; ils se sont remis en place par la suite.

Mais si le Bulletin SN N°40 consacre un petit dossier à l'incident (125 lignes), là encore, rien n'est dit quant aux conséquences potentielles de l'incident, ni sur les difficultés qu'ont pu éprouver les opérateurs. Ceux-ci se sont en effet retrouvés dans une situation non prévue par la conception et ils n'avaient pas de consignes adaptées à la situation. Il faut lire entre les lignes pour deviner cette situation derrière le récit distant et volontairement neutre, diplomatique du bulletin : «Il faut noter que la perte simultanée des sources 48V LCA et 220V LNA a rendu impossible l'application des procédures de pertes de sources habituelles, le cumul des défaillances n'y étant pas prévu.» 877 La situation réelle s'éclaire nettement à la lecture du grand dossier publié trois ans plus tard dans le Bulletin SN N° 58 de juillet-août 1987, qui fait le bilan de l'incident. 878 Il est vrai qu'entre temps est intervenu l'accident de Tchernobyl qui a mis en lumière les errements dans la communication de l'administration. Par ailleurs, suite à Tchernobyl, l'incident avait été porté à la connaissance du grand public par un article du Canard Enchaîné qui s'était emparé de l'événement en titrant : «Le jour où une centrale française a failli cramer.» 879 L'article reprenait les principales conclusions d'un rapport confidentiel de l'IPSN ayant analysé l'accident. Etaient cités en particulier les passages suivants, dont le préambule : «Cet incident est pratiquement la répétition d'un incident identique qui avait eu lieu sur la tranche 1 de la centrale de Dampierre le 20 novembre 1980 (...). Malheureusement, l'analyse qui en avait été faite à l'époque et qui montrait le caractère néfaste de certaines dispositions n'avait pas été pris en compte.» 880 Le Canard Enchaîné citait aussi cette considération de l'expert sur les conséquences potentielles de l'accident : «Une défaillance supplémentaire sur cette voie (refus de démarrage du diesel, refus de couplage sur le tableau LHB, etc...) aurait donc conduit à une perte complète des alimentations électriques de puissance, situation hors dimensionnement. Il faut noter que les matériels nécessaires à l'application de la procédure H3 destinée à faire face à cette situation, n'étaient pas encore opérationnels sur le site. Même s'ils l'avaient été, comme on le verra dans la suite de l'analyse, l'application de la procédure H3 telle qu'elle est prévue aujourd'hui aurait été difficile, car cette procédure ne prend pas en compte l'indisponibilité du tableau LCA.» 881 Le journaliste indiquait que le rapport citait même quatre autres exemples d'incidents similaires.

En juillet-août 1987 donc, le Bulletin SN, sur plus d'une page et demie (en trois colonnes, petits caractères, 400 lignes environ) se propose de montrer à travers l'exemple de l'incident de Bugey 5 comment les leçons sont tirées en vue d'augmenter la sûreté. L'article permet de mieux comprendre en quoi l'incident a conduit à modifier un certain nombre d'idées, à la fois par la prise en compte à la conception de problèmes insoupçonnés, mais aussi par un changement d'attitude à l'égard du caractère jugé jusque-là hypothétique de certains événements.

Après un rapide récit de l'incident - les différentes défaillances jusqu'au non démarrage du diesel voie A - le rédacteur du SCSIN tient à préciser, comme en manière d'excuses pour les propos plus hardis qu'il va ensuite tenir : «Il s'agit d'un incident qui n'a jamais mis en cause la sûreté de la tranche, puisque le fonctionnement d'un seul diesel suffit à assurer le refroidissement du réacteur à l'arrêt, et il n'y a bien sûr pas eu la moindre fuite de radioactivité.» 882 Mais l'auteur poursuit ses propos par des considérations moins agréables aux oreilles de l'exploitant : «Cet incident n'en a pas moins révélé une situation potentiellement dangereuse, puisque l'arrêt intempestif du seul diesel en marche (par suite d'erreur humaine ou pour tout autre cause) aurait créé une situation non sûre». Par situation non sûre, l'auteur entend une situation qui aurait obligé les opérateurs à «improviser» selon ses propres termes, c'est-à-dire à utiliser les quelques heures disponibles avant que le refroidissement ne soit plus assuré, pour se brancher sur une autre alimentation électrique comme par exemple l'un des six autres diesels disponibles sur le site. L'enseignement principal de l'incident est que «les défaillances par dégradation lente, non prévues à la conception, induisent des modes de fonctionnement aléatoires ainsi que des difficultés d'interprétation des informations d'alarme de la salle de commande. Elles peuvent amener à une situation complexe rendant la conduite de la tranche délicate.» 883

Parmi les conséquences réelles, outre les aspects techniques sur lesquels nous revenons dans les lignes qui suivent, l'auteur précise que jusqu'à l'incident du 14 avril 84, «les défaillances de sources étaient limitées à une seule et les procédures existantes ne tenaient pas compte de cas, plus rares il est vrai, de perte de plusieurs sources. Le jour de l'incident, aucune aide n'a pu être fournie aux opérateurs par les procédures existantes.» 884

En fait le principal problème qui est ressorti de l'incident est que le contrôle-commande de la voie A a continué de fonctionner, mais avec une source de tension 48V qui allait en se dégradant, ce qui a entraîné un mode commun de défaillances non décelé jusque-là : des interdépendances complexes entre les différentes sources électriques ont été mises en évidence à la suite de l'incident. Conséquence du mode commun et du fonctionnement en mode dégradé, les moyens d'action normaux depuis la salle de commande ont été rendus aléatoires, et les informations présentes en salle de commande n'ont plus reflété la réalité. En effet, une baisse progressive de la tension affecte de façon variable et non simultanée le comportement des actionneurs et relais : tandis que certains s'ouvrent par baisse de tension, d'autres, pas tous, se ferment alors qu'ils devraient s'ouvrir.

Outre le mode commun, c'est la possibilité de défaillance non franche qui a fait l'objet des mesures correctives les plus importantes : en effet, comme l'indique le Bulletin SN, «toutes les analyses de sûreté, qu'elles soient déterministes ou probabilistes, ne prennent en compte que les défaillances complètes des équipements, à l'exclusion des modes de fonctionnement dégradés ou aléatoires. La prise en compte de tels fonctionnements n'est pas possible, en l'état actuel de l'analyse. Tout doit donc être mis en œuvre pour éviter ce mode de défaillance.» 885

A part la découverte de ce nouveau type de défaillance, d'autres mesures sont immédiatement exigées qui témoignent du fait que l'importance d'une bonne organisation des alarmes (regroupements, couleurs des voyants, emplacements) n'avait pas été suffisamment analysée après TMI, ou que les modifications n'avaient pas été effectuées avec une diligence suffisante. Sont en particulier mises en œuvre la séparation des alarmes concernant la tension des autres alarmes comme le défaut d'isolement, ou l'installation d'alarmes concernant le fonctionnement des redresseurs des sources : à ce sujet le Bulletin exprime une réprimande du Service central à l'égard d'EDF, estimant qu'il «n'est pas admissible qu'un matériel important pour la sûreté cesse de fonctionner (un redresseur à Bugey 5) sans que les agents de conduite en soient informés». Par ailleurs, pour les sources dites «sans coupure» comme celles du redresseur en question, EDF a mis au point des systèmes qui, au cas où un risque de défaillance non franche est détecté, permet d'isoler la source douteuse de façon délibérée en provoquant une coupure franche. Pour traiter les conséquences d'une perte totale des sources électriques de puissance (on se souvient qu'une seule défaillance supplémentaire sur la voie B aurait conduit à cette situation, hors du domaine de dimensionnement), des dispositions supplémentaires sont mises en œuvre : la réalimentation électrique en particulier serait assurée par une tranche ilotée du site ou d'un site voisin ou d'un groupe hydraulique proche, par une turbine à gaz, ou par un groupe diesel de secours d'une autre tranche.

Si les conséquences en termes de santé publique ou même de dégâts matériels sont rigoureusement nulles, les répercussions de l'événement sont cependant telles qu'elles s'appliquent à tous les paliers PWR (900 et 1300) mais également aux autres filières de réacteurs. L'incident de Bugey 5 poussera EDF à poursuivre et à approfondir la réflexion sur les enseignements de TMI, et à accélérer la mise en œuvre de certains moyens. Comme un petit règlement de compte en passant, le Bulletin du SCSIN reproche à EDF ses réticences à mettre en œuvre les modifications à bonne allure. L'article précise en effet que les éléments de réflexion tirés de l'incident (alarmes, défaillance non franche, interdépendance entre sources électriques) «ne sont pas nouveaux d'ailleurs, mais (...) s'appuient sur des faits bien réels qu'on avait tendance jusque-là à classer dans les événements hypothétiques.» 886

A une moindre échelle que l'accident de TMI, l'incident de Bugey 5 a mis en évidence une faille dans les raisonnements de sûreté, non seulement du point de vue des concepteurs mais aussi de celui des analystes. Il ne s'agit pas simplement de la non-application de mesures déjà identifiées par les analystes mais qui coûtent de l'argent, expliquant la mauvaise volonté de l'exploitant à les mettre en œuvre. Dans le cas de Bugey, ce sont les deux approches, celle du concepteur mais aussi celle de l'analyste chargé de vérifier que tout a bien été pris en compte, qui sont mises en défaut par ce qu'on pourrait appeler un mode commun conceptuel. Le texte du Bulletin conclue sur la mise en évidence de cette faille : «l'analyse d'un incident comportant des situations non prévues à la conception ayant des conséquences importantes est riche d'enseignements. Entre ce qui avait été admis à la conception, c'est-à-dire la défaillance brutale d'un matériel, et ce qui avait été postulé par les analystes de sûreté, c'est-à-dire la perte totale des systèmes redondants, il existait toutes sortes de défaillances, comme la perte partielle et la dégradation lente qui n'avaient pas été analysées.» 887

La période 1979-1986 marque l'entrée de l'énergie nucléaire française dans une nouvelle phase : la phase d'exploitation industrielle. L'accident de Three Mile Island a bouleversé les certitudes établies dans certains milieux quant au caractère hypothétique des accidents graves. L'accident s'est produit, certes avec peu de conséquences à l'extérieur, mais les dégâts ont été considérables - le cœur a fondu dans des proportions allant au-delà de toutes les prévisions des spécialistes - la centrale a été perdue pour son propriétaire. Les techniciens doivent désormais faire preuve de plus d'humilité, les responsables politiques de moins de condescendance à l'égard des populations. L'analyse technique des incidents montre que la conception, et même l'analyse des contrôleurs ne peuvent pas toujours tout prévoir ou déceler. Ceci étant, les incidents dont la plupart sont mineurs, font progresser la sûreté. Et c'est l'un des caractères originaux de l'énergie nucléaire que d'avoir organisé la collecte et l'analyse systématique des incidents pour en tirer les leçons et voir dans quelle mesure ils auraient pu ou non être initiateurs d'accidents plus graves. C'est pourquoi il faut toujours relativiser, en matière d'énergie nucléaire, l'importance accordée aux incidents dans les récits du fonctionnement des installations, qui est nécessairement disproportionnée par rapport à la réalité de la vie des installations : le fonctionnement des tranches nucléaires n'est pas qu'une suite d'incidents. Certes, des incidents se produisent, inévitablement, plus ou moins graves, qui sont riches d'enseignements. C'est parce que les situations de crise révèlent le fonctionnement normal de tout organisme qu'il est important d'étudier les incidents, pour le technicien qui en tire les leçons pour la sûreté, comme pour l'historien qui veut montrer les enjeux, le positionnement des différents acteurs et les motifs des choix qui sont effectués par les différents responsables.

Notes
875.

D'après la description que donne Jacques Libmann du scénario de perte totale des alimentations électriques. Libmann, Jacques, Approche et analyse de la sûreté des réacteurs à eau sous pression, INSTN-CEA, 1986, p. 110.

876.

Bulletin sur la sûreté des installations nucléaires, N°40, juillet-août 1984, p. 8.

877.

Ibid.

878.

Bulletin sur la sûreté des installations nucléaires, «Un exemple de retour d'expérience : leçons tirées de l'incident survenu à Bugey 5 le 14 avril 1984», SN, N°58, juillet-août 1987, pp. 12-13.

879.

Louis-Marie Horeau, «Le jour où une centrale française a failli cramer», Le Canard Enchaîné, 21 mai 1986.

Le Bulletin SN est public, mais pratiquement illisible, ne serait-ce que par le ton volontairement neutre, administratif, ne permettant pas au non initié de juger la réalité des événements. Par contre, le rapport du Service d'Analyse de Sûreté des Réacteurs de l'IPSN (rapport SASR n°46, 1985) qui analyse l'incident et qui est beaucoup plus explicite que le Bulletin, est lui en «diffusion limitée», non accessible donc. L'incident avait été relaté par la Gazette Nucléaire dans son n°64/65 de janvier-février 1985.

Une longue relation de l'incident (plus d'une page format A4) apparaissait également sous la plume de deux ingénieurs du SEPTEN d'EDF dans la Revue Générale Nucléaire en septembre-octobre 1985 : Robert Morin, Sylvain Hendrickx, «Etat d'avancement du programme de construction des centrales à eau sous pression de 900, 1300 et 1400 MWe. Fonctionnement des tranches de 900 MWe», Revue Générale Nucléaire, 1985, N°5, septembre-octobre, pp. 381-393. L'article montre bien la situation à laquelle furent confrontés les opérateurs, avec un vocabulaire non édulcoré quant à l'insolite de l'incident. Ceci étant, l'article n'envisage pas les conséquences d'une défaillance supplémentaire. L'article parle d'un «incident d'une assez grande ampleur, au déroulement parfois étonnant, bien maîtrisé par l'équipe d'exploitation.» Les auteurs citent «deux conséquences insolites» à la perte du 220 V de la voie A qui rappellent les scénarios catastrophes typiques de ce genre d'incidents : «Le gyrophare normalement actionné par les gardiens du site pour donner l'alerte s'est mis à fonctionner en salle de commande. Le temps de penser à un acte de malveillance, les exploitants ont compris que cet événement perturbateur résultait du manque de tension, car le poste de garde est normalement alimenté par la tranche 5. De même, les ingénieurs d'astreinte ont éprouvé quelques difficultés, vite surmontées, à pénétrer sur le site avec un poste de garde «dans le noir» et un portail fermé...» (Morin et Hendrickx, «Etat d'avancement...», op. cit., p. 386.)

880.

IPSN, Rapport SASR n°46, cité par Louis-Marie Horeau, «Le jour…», op. cit., p. 12.

881.

Ibid.

882.

Bulletin sur la sûreté des installations nucléaires, «Un exemple de retour d'expérience : leçons tirées de l'incident survenu à Bugey 5 le 14 avril 1984», SN, N°58, juillet-août 1987, pp. 12-13.

883.

Ibid.

884.

Ibid.

885.

Ibid.

886.

Ibid.

887.

Ibid.