Malmenée par la tempête, privée d’électricité, noyée sous les eaux, la centrale nucléaire du Blayais, aux portes de Bordeaux, passa à un doigt de l’accident nucléaire majeur… Je serais pas mal chez Envoyé Spécial, hein ?
Aujourd’hui, on va parler de l’incident nucléaire du Blayais de fin 1999, dont on dit souvent qu’il est le jour où la France a « frôlé » la catastrophe nucléaire.
Et vous vous doutez bien que quand je dis « on dit », c’est pas moi qui le dit, hein…
Bon, le sujet est extrêmement vaste, alors pour éviter de rédiger le script d’un documentaire, j’ai du alléger. Du coup, je vais faire complètement abstraction de l’aspect « communication » autour de cet événement – pourtant un gros morceau, peut-être une autre fois. Je vais également être très léger sur les causes de l’accident, et survoler le sujet des évolutions qu’il a apportées. Là encore, on pourra en parler une autre fois…
Classification de l’événement
Le premier objectif de cet article va être de présenter la chronologie des événements et amener à discuter de si, oui ou non, on a frôlé la catastrophe. À quel point on s’en est rapproché. Autant spoiler un peu la fin sans suspense : dans le pire des cas, on s’est plus ou moins rapproché d’un scénario type TMI, avec fusion du coeur mais ampleur limitée. Pas d’un Fukushima-Daiichi, et encore moins d’un Tchernobyl.
D’ailleurs, l’incident est classé niveau 2 sur l’échelle internationale. Si je prends les définitions de l’ASN, cela correspond à « défaillances importantes des dispositions en matière de sûreté, sans conséquences réelles ». Le niveau 3, c’est « accident évité de peu dans une centrale avec défaillance de toutes les dispositions en matière de sûreté ». Donc le classement à lui seul réfute l’affirmation selon laquelle on aurait frôlé l’accident…
Mes principales sources pour ce thread auront été le rapport de l’IPSN (ancêtre de l’IRSN) sur l’inondation, publié le 17 janvier 2000, et un rapport de l’OPECST diffusé le 2 avril 2000.
Présentation de la centrale
La centrale du Blayais, c’est une centrale de 4 réacteurs à eau pressurisée de 910 MW de puissance électrique (nette) chacun. Les tranches 1 et 2 ont été mises en chantier en janvier 1977, et les tranches 3 et 4 en avril 1978. Quant aux divergences et mises en service commercial des quatre tranches, elles se sont échelonnées entre mi-81 et fin 83 ; les réacteurs avaient tous près de 20 ans lors des événements. La centrale est localisée sur l’estuaire de la Gironde, dans un marais, et refroidie par le fleuve, sans tour aéroréfrigérante (oui, ça casse l’image traditionnelle des centrales nucléaires ^^)
Très tôt, EDF et les autorités s’étaient rendu compte que la centrale avait été construite trop bas par rapport aux niveaux maximum de l’eau en cas de grande marée ou de tempête. Celle-ci était donc cerclée d’une digue pour la protéger des eaux, côté estuaire et marais.
À la fin des années 90, un changement dans les méthodes de calcul de la cote maximale possible pour les eaux a révélé que la digue était encore 50 cm trop basse. Il a alors été prévu de la rehausser en 2000, puis la date a été repoussée à 2002. Cependant, les éléments n’attendirent pas.
Chronologie de l’incident
Toutefois, avant de parler inondation par-dessus la digue, on va reprendre à zéro toute la séquence d’événements qu’a traversée la centrale cette nuit là. On va reprendre l’incident réacteur par réacteur, dans l’ordre de complexité croissante des événements. En commençant donc par les réacteurs 3 et 4, relativement épargnés, puis le 2, plus sévèrement touché, et enfin le réacteur 1, qui a été le plus malmené.
Réacteur 3
Pour commencer, le réacteur 3, donc. À l’État Initial (EI) ce réacteur était en maintenance. Donc arrêté depuis un bon moment, circuit primaire à basse pression, basse température : on parle d’« Arrêt Normal » (AN). Il était par ailleurs refroidi par le circuit de Refroidissement Réacteur à l’Arrêt (RRA). Donc un état sûr facile à maintenir : une faible puissance résiduelle à dissiper, et c’est tout.
Le 27 décembre à 18h30, tout le site perd son alimentation électrique externe auxiliaire, en 225 kV. Mais l’alimentation électrique principale, en 400 kV, est toujours en service, donc pas de problème.
Et pour le réacteur 3, on reste dans le même état jusqu’à la récupération de l’alimentation auxiliaire, le lendemain matin.
Réacteur 4
Le réacteur 4, à l’EI (État initial), il était en fonctionnement normal, à 100% de sa puissance nominale (PN).
Et de 18h30 jusqu’au lendemain, il a aussi subi la perte d’alimentation auxiliaire.
Par contre, en plus de ça, il a aussi perdu, à 20h50, l’alimentation extérieure principale ! Ce qui veut dire que le réacteur, et notamment les pompes du circuit primaire et secondaire, n’étaient plus alimentés en électricité.
À ce moment, le réacteur (profitant de l’inertie des pompes primaires et du circuit secondaire) a tenté un îlotage : réduire drastiquement sa puissance, sans s’arrêter, pour s’auto-alimenter et continuer de fonctionner, isolé du réseau. Comme sur une île, d’où le terme. L’îlotage, c’est une manoeuvre difficile, qui a échoué : un paramètre du réacteur a dû franchir un seuil de sûreté, ce qui a déclenché l’Arrêt Automatique du Réacteur (AAR) par la chute de toutes les barres d’absorbants neutroniques dans le coeur.
Plus de courant, ce sont donc les groupes diesel qui ont démarré et pris en charge l’alimentation des systèmes du réacteur pour continuer à assurer le refroidissement, et notamment l’évacuation de la puissance résiduelle, élevée dans les heures qui suivent l’arrêt. Le réacteur était donc en situation qu’on pourrait qualifier d’« arrêt secouru ». Toutefois, l’alimentation externe 400 kV a été récupérée 40 minutes plus tard, et puisqu’elle était stable, à 22h20, ils ont arrêté les diesel. Le réacteur s’est donc retrouvé en situation d’arrêt normal, ses systèmes alimentés par le réseau extérieur.
Ensuite, il y a ambiguïté dans mes sources : elles disent qu’ils ont redémarré le réacteur à 1h20 du matin, pour contribuer à la stabilisation du réseau de la région qui en avait bien besoin (la tempête dévastait alors le réseau de transport et de distribution de l’électricité). Mais, dans la même source, quelques lignes plus loin, il est dit que le réacteur était « prêt à redémarrer ». Donc c’est pas clair… On va supposer qu’il a redémarré à 1h20, comme indiqué.
Réacteur 2
Concernant le réacteur 2 à présent, ça commence comme le réacteur 4 : EI à 100% PN, perte 225 kV, puis perte 400 kV, îlotage raté, AAR, passage en arrêt secouru sur les groupes diesel.
Récupération du 400 kV deux heures après le réacteur 4, et arrêt des diesel pour passer dans un stade d’arrêt normal alimenté par l’extérieur à minuit 20. Pas de redémarrage pour celui-ci, toutefois.
Car vers minuit, les eaux avaient noyé le sous-sol du bâtiment combustible, et notamment les pompes du systèmes Réacteur – Injection de Sécurité à Basse Pression (RISBP), et celles de l’Aspersion de Secours de l’Enceinte (EAS).
Ce sont deux systèmes inutiles en fonctionnement normal, donc le réacteur aurait pu, théoriquement, démarrer sans eux. Mais ce sont des systèmes capitaux dans la gestion des accidents de type brèche sur le circuit primaire. Donc aussi improbable soit la survenue d’un accident (type Three Mile Island par exemple) pile à ce moment-là, il n’était pas question de redémarrer sans avoir récupéré ces systèmes là – ce qui prendra plusieurs jours.
Réacteur 1
Enfin, le réacteur 1 : EI à 100% PN, perte 225 kV, mais pas de perte du 400 kV (comme le réacteur 3). Il a pu continuer à fonctionner normalement jusqu’à minuit 30.
À cette heure là, des débris charriés par les eaux ont bloqué le refroidissement du Groupe Turbo-Alternateur (GTA), autrement dit, la turbine, le condenseur, l’alternateur… Bref, la partie « production électrique » de la centrale. Résultat : AAR.
Mais les systèmes restent alimentés par le réseau 400 kV, donc pas de problème, pas besoin de démarrer les groupes diesel, le réacteur reste en sûreté. Vers 2h, ils constatent que dans ce réacteur aussi, l’inondation du bâtiment combustible a noyé les pompes RISBP et EAS.
Et vers 7h du matin, deux pompes SEC sont également noyées. Le circuit SEC, c’est un peu particulier à expliquer : dans une tranche nucléaire, le circuit primaire, secondaire, etc., vous connaissez. Vous savez comment on refroidit le coeur.
Par contre, tout ceci dépend de tas d’organes, notamment de pompes, de vannes, etc. qui doivent aussi être refoidis, parce que leurs moteurs chauffent. Ce refroidissement est assuré par le circuit Réacteur – Refroidissement Intermédiaire (RRI). Celui-ci est un peu l’équivalent du secondaire, mais pour les petits composants : il est en circuit fermé et est physiquement séparé de l’eau primaire, donc il n’est pas censé être contaminé, sauf accident. Et ce circuit RRI, il faut aussi le refroidir, et c’est là le rôle du circuit d’eau brute SECourue (SEC, me demandez pas la logique de l’acronyme). Ce circuit SEC est l’équivalent du tertiaire : c’est un circuit ouvert, qui rejette ses eaux dans l’estuaire.
Pour chaque tranche, pour des raisons de redondance, le SEC est composé d’une voie A et d’une voie B indépendantes, et sur chaque voie, on a deux pompes SEC, chacune suffisant à fournir tout le débit nécessaire.
Il y a donc 4 pompes SEC par réacteur, et on en a perdu deux sur le réacteur 1 à ce moment.
Puis, dans la matinée, pendant qu’on pompait l’eau jusqu’en début d’après-midi, on récupérait l’alimentation 225 kV. Ensuite, ce furent des opérations de pompage et réparation pendant plusieurs jours jusqu’à avoir récupéré tous les circuits.
À quel point a-t-on frôlé l’accident ?
Voilà donc pour la chronologie des événements au cœur de l’incident. Maintenant, la grande question : à quel point est-on passé près de l’accident, l’accident grave, majeur, la catastrophe, l’éradication du quart Sud-Ouest de la France ?
La perte d’alimentation électrique
D’abord, on pense au risque de perte totale d’alimentation électrique. Ben oui, de nos jours, on est formatés, moi le premier, par ce qui s’est passé à Fukushima. Mais concernant les tranches 1 et 3, on n’a même pas perdu les alimentations extérieures, pour la tranche 4 on ne les a même pas perdues deux heures, et pour la tranche 2, on les a perdues 3h30.
Cela veut dire que même si l’on avait aussi eu une perte des deux groupes diesel sur la tranche 2 ou la tranche 4, que l’on n’avait pas pu mettre en service de source d’ultime secours, ni trouvé un moyen pour s’alimenter sur le réseau 400 kV via une autre tranche, on aurait probablement pas eu d’accident sérieux parce que les réacteurs sont pensés pour survivre quelques heures sans électricité tout de même (thermosiphon, et ceatera, j’en ai déjà parlé dans un autre article).
Mais ces questions ne se posent pas puisque les diesel ont assuré leur rôle, en fait. Donc la perte électrique n’est pas le point qui mérite notre attention.
Défaillance des systèmes RISBP/EAS
On va plutôt regarder les défaillances des différents systèmes noyés par les inondations… Les événements encadrés en violet sur la frise chronologique.
À commencer par le noyage des pompes RISBP/EAS, parce que j’en ai déjà parlé. À ce moment, on a perdu des dispositifs importants pour gérer un accident grave, lui-même rendu improbable, de base, par conception, et ce à l’échelle de la vie de la centrale. À fortiori, il était encore plus improbable qu’un tel événement ait lieu pile à ce moment là, sur cette plage de quelques heures. Si je transpose ça dans une démarche de défense en profondeur, c’est comme si on avait perdu les niveaux 1 et 4, mais que 2 et 3 avaient tenu.
De manière plus imagée, sur le siège d’un château médiéval, les armées ont réussi à prendre notre territoire et arriver jusqu’à notre château (perte de la première défense). Et que des espions avaient réussi à incendier le donjon (perte de la quatrième défense). Sans pour autant que les remparts n’aient été détruits/pris, ni même que les forces défensives n’aient été mises en danger (niveaux de défense 2 et 3). L’image vous parle ? Ainsi, la perte du donjon n’est pas un problème dans la mesure où on l’a ensuite vite reconstruit.
Bref, ça serait excessif de dire qu’on a manqué perdre le château, vous en conviendrez ^^
Quant à la perte du refroidissement du groupe turbo-alternateur, ça empêche la centrale de produire du courant, mais en termes de sûreté, ça n’a aucune conséquence.
Il ne nous reste plus qu’une chose à regarder : la perte des pompes SEC.
Perte du SEC/ASG
Ça paraît rien, le circuit de refroidissement du circuit de refroidissement des organes hors coeur.
Mais finalement, sans SEC, à terme, on peut perdre le RRI. Et peu à peu perdre des tas de systèmes, comme celui qui assure l’étanchéité des pompes du circuit primaire, puis les pompes primaires elles-mêmes.
On peut aussi se retrouver à perdre le système de secours du circuit secondaire, celui qui alimente en eau les générateurs de vapeur pour qu’ils puissent continuer à refroidir le circuit primaire, qui lui-même refroidit le coeur.
Le circuit SEC, finalement, indirectement, par cascade de dépendances, il a de grosses implications en termes de sûreté. Ce qui explique la redondance dans la construction (deux voies indépendantes) ET dans les organes de pompage (deux pompes par voie). Il offre toutefois une grosse inertie très permissive, parce que sa perte va progressivement induire, successivement, d’autres défaillances, puis d’autres, jusqu’à la perte de refroidissement du coeur.
Ça veut dire que sur ce réacteur 1, en perdant deux pompes, on a franchi 50% du chemin… Pas vers l’accident, non. Mais vers le début d’une séquence qui peut conduire à l’accident si elle avance sans qu’on n’y apporte de solution.
À noter que la perte totale du circuit SEC, ce n’est pas un imprévu. C’est équivalent à une perte totale de la source froide, ce qui n’est qu’une sous-catégorie de l’accident de perte totale des alimentations électriques. C’est donc largement pris en compte dans les démonstrations de sûreté et les procédures. Bref, on a ouvert une porte sur un chemin qui pouvait mener à l’accident… Mais on n’a clairement pas « frôlé » ce dernier.
Je reviens d’ailleurs sur l’alimentation en eau des générateurs de vapeur. Le circuit ASG (Alimentation de Secours de Générateurs de vapeur), il repose sur 3 pompes. Deux motopompes, alimentées à l’électricité par les alimentations externes ou, en situation dégradée, par les diesels. Et une turbopompe, mise en rotation par la vapeur qui sort des générateurs, qu’il y ait ou non du courant. Et il suffit d’une seule de ces pompes pour fournir le débit permettant le refroidissement du coeur.
Et l’IPSN nous dit deux choses au sujet des circuits ASG :
1) Ils n’ont pas montré de signe de défaillance
2) En cas de défaillance cumulée des trois pompes, on avait au moins dix heures pour y remédier avant de risquer la fusion du coeur. Un scénario hautement improbable qui laisse finalement de la marge.
Et indirectement, on peut en conclure que si on avait perdu non pas deux mais les quatre pompes SEC, et donc qu’on avait perdu le refroidissement du circuit RRI, et qu‘on avait épuisé l’inertie thermique dont il dispose (en circulant dans un énorme réservoir d’eau), puis qu‘on avait eu la surchauffe des trois pompes au point de les arrêter… Là encore, on avait 10 heures supplémentaires pour remédier à la situation.
Concluons ?
Ce que j’en conclus, c’est qu’on a approché l’accident par deux directions.
- La défaillance du circuit ASG. Mais pour avoir accident, il aurait fallu une triple défaillance mécanique d’équipements redondants et 10h sans action de remédiation.
- La destruction, par manque de refroidissement, du circuit ASG. Mais là, il aurait fallu perdre 2 pompes de plus sur le circuit ASG (par défaillance ou par noyage), puis épuiser l’inertie thermique, puis surchauffer l’ASG… Et on aurait encore eu les 10h.
Bref : dans un cas comme dans l’autre, on était carrément loin de l’accident majeur. Assez déconné avec ça. J’irai même surenchérir… En 1999, 11 ans avant Fukushima, on a subi une inondation à cause d’une digue trop basse sur fond de pertes d’alimentations électriques extérieures. Et on a montré qu’on savait gérer, sans accident. Par-dessus ça, on a tiré le maximum de retour d’expérience possible pour que ça ne se produise plus, au Blayais ni ailleurs.
L’IRSN a une très bonne infographie, d’ailleurs, où elle expose quelques leçons tirées de Blayais.
Finalement, avant Fukushima, on était déjà en avance en matière de sûreté (et on l’est encore plus depuis Fukushima et tout le retour d’expérience supplémentaire qu’on en a tiré). L’incident du Blayais de 1999, c’est une situation extrême où plusieurs systèmes de secours ont été mis à mal, des erreurs de conception ont été payées, et la sûreté a effectivement été dégradée. Des choses n’ont pas bien tourné, notamment dans l’organisation et la communication entre les acteurs et envers le public, et j’en parlerai peut-être un jour. Là-encore, on a tiré les leçons qu’il fallait. Néanmoins, la défense en profondeur a pleinement joué son rôle. Il n’y a eu aucune conséquence regrettable, ni matérielle, ni environnementale, ni sanitaire. Personnellement, j’y vois donc un exemple de succès pour l’organisation de la sûreté. Pas un quasi-échec.
Et pour finir sur une note un peu sombre : je pense que cet acharnement des antinucléaires à faire passer cet incident pour une catastrophe évitée de justesse, ça traduit un regret. Je pense qu’ils regrettent de ne pas avoir eu l’accident dont ils ont besoin pour leur propagande. Ils n’ont pas eu cette catastrophe opportune, alors ils cherchent à faire peur en faisant croire qu’on était à un doigt de cette catastrophe. Ne laissons pas faire, et rappelons les faits, à chaque fois que cela sera nécessaire.
N’oubliez pas que la peur des radiations est capable de tuer… Plus efficacement que les radiations.
Dose Équivalent Banana 