A propos de l'incident du Bugey
     Nous avons déjà publié une relation de l'incident de Bugey 5 dans la La Gazette Nucléaire N°64/65. Nous vous donnons donc les conclusions du rapport d'analyse. Il nous semble significatif à plus d'un titre.
     D'une part, c'est la preuve que 5 ans après TMI, les mesures que devait prendre EDF de toute urgence n'ont pas été prises: en effet, il y a encore regroupement d'alarme sur une même vérine et ces alarmes sont différentes (défaut isolation, défaut alimentation) et surtout non hiérarchisées. Ceci conduit donc l'opérateur à négliger le signal ou même à l'interpréter dans le mauvais sens. Il y a également encore un problème avec les vannes, leur position physique n'est toujours pas signalée, on ne signale que l'ordre envoyé !!
     D'autre part, la réaction d'EDF a été sans commune mesure avec l'incident. Certes le Canard Enchaîné a créé un choc psychologique en le rappelant au moment où tout le monde se gargarisait sur la bonne conduite de nos réacteurs mais tout de même il est particulièrement instructif de prendre nos officiels en flagrant délit de mensonge car ils ont menti: les procédures accidentelles n'étaient pas opérationnelles en avril 84. Qu'elles le soient maintenant ne change rien. Il a fallu 5 incidents précurseurs et 1 incident grave pour changer. C'est un peu long tout de même.
     La question qui se pose avec acuité c'est: qu'a-t-on réellement fait à la suite de Bugey 5 ?

Conclusions

     L'incident survenu sur la tranche 5 du centre de production nucléaire de Bugey le 14.04.1984 est sans aucun doute celui pour lequel on a approché le plus près d'un accident grave depuis le démarrage de la première tranche du parc REP français. Une défaillance unique supplémentaire sur l'autre voie électrique aurait en effet conduit à une perte complète des alimentations électriques, situation hors dimensionnement pour laquelle les dispositions palliatives prévues (procédure H3) n'étaient pas encore opérationnelles sur le site.
     La présente analyse n'a porté que sur les causes de l'incident et ses aspects liés aux systèmes électriques; elle devra se poursuivre par un examen du comportement des autres parties de l'installation notamment au cours de la phase de récupération du contrôle de la tranche.

     Cette analyse permet cependant de mettre en lumière trois éléments principaux de réflexion:

1) l'importance d'une bonne organisation des alarmes tant en matière de regroupement que de codification de leurs couleurs: il s'agit là du premier élément de l'interface homme-machine au cours d'un transitoire incidentel ou accidentel qui n'a sans doute pas été suffisamment analysé dans le cadre des actions post-TMI. Quoique le plus spectaculaire, l'incident de Bugey est loin d'être le seul à souligner cet aspect,

2) la possibilité de défaillance non franche jusqu'à présent, toutes les analyses de sûreté, qu'elles soient déterministes ou probabilistes, ne prennent en compte que des défaillances complètes des équipements (il marche ou ne marche pas) à l'exclusion de mode de fonctionnement dégradé ou aléatoire. La prise en considération de ces défaillances non franches laisse l'analyste de sûreté désarmé devant l'infinité du nombre de configurations qu'il faudrait envisager. Tout doit donc être mis en oeuvre pour éviter ce type de défaillance et limiter le domaine dans lequel elle peuvent survenir,

3) la complexité des systèmes de distribution électriques: l'incident de Bugey met en évidence à la fois les interdépendances entre source de contrôle-commande et source de puissance et le fait qu'une défaillancé de source électrique peut affecter simultanément les moyens d'actions et les informations fournies aux opérateurs ce qui rend le contrôle de telles situations particulièrement délicat. Malgré le développement récent par EDF des procédures «perte de source» l'incident de Bugey montre que les opérateurs sont insuffisamment armés pour faire face à certains types de défaillance des sources électriques. L'effort entrepris après TMI pour améliorer les procédures accidentelles destinées à parer à toute sorte de défaillance «de type mécanique» - avec notamment l'approche par état et la procédure UI - mériterait d'être poursuivi pour parer à toute sorte de défaillance «de type électrique» compte tenu de leur impact spécifique sur les informations fournies aux opérateurs.

     Au-delà de ces réflexions générales, les principales mesures correctives destinées à éviter le renouvellement de cet incident ou d'incidents analogues paraissent devoir être les suivantes:

Mesures préventives
     Les actions déjà entreprises ou prévues par EDF en matière de séparation d'alarmes des tableaux LCA sont satisfaisantes. Le problème de fond ne sera toutefois réglé que par la mise en application des conclusions issues du groupe de travail sur les alarmes mis en place par EDF et auxquelles il conviendra d'attacher une attention toute particulière.
     Le basculement automatique des redresseurs (remplacement du redresseur en service tombant en panne, par le redresseur en réserve) de la source LCA mis à l'étude par EDF paraît également une modification nécessaire et satisfaisante.
     Cet automatisme devrait être élaboré à partir des informations «niveau de la tension régnant sur le jeu de barres de distribution» et «sens du courant circulant dans la batterie». Il conviendra d'examiner l'extension éventuelle de cette mesure à d'autres sources de contrôle-commande.

Mesures palliatives
     Compte tenu de l'impossibilité d'analyser le comportement de l'installation avec une tension dégradée du contrôle-commande, en application du principe de défense en profondeur, les mesures palliatives doivent s'orienter dans deux directions:
     a) Eviter les pannes non franches.
     Si la coupure automatique d'une source sur seuil de tension basse paraît une solution peu recommandable compte tenu des risques de déclenchement intempestif, la coupure manuelle proposée par EDF, à un seuil où le fonctionnement correct du relayage est garanti, est acceptable. Il convient toutefois d'examiner attentivement l'intérêt d'anticiper un passage à l'état de repli de façon à ne pas superposer la perte de la source à un transitoire d'arrêt d'urgence en puissance.
     b) Réduire le domaine de fonctionnement aléatoire de certains équipements.
     L'analyse a mis en évidence certaines anomalies de conception (utilisation de relais électromagnétiques instantanés «tout ou rien» à la place de relais voltmétriques par exemple) et des possibilités d'améliorations techniques ponctuelles qui permettraient de garantir le bon fonctionnement de matériels importants, même dans des situations de tension dégradée des sources de contrôle-commande.

Mesures ultimes
     Devant l'impossibilité de définir autant de procédures que de combinaisons envisageables de perte de source, il paraît nécessaire d'examiner la faisabilité d'une procédure U «perte de source» selon une démarche analogue à celle utilisée pour le développement de SPI et U1.

Commentaire
     La publication par le Canard Enchaîné d'extraits du rapport SASR no 45 a entraîné EDF dans des grandes manoeuvres médiatiques:
     - conférence de presse avec distribution de documents complémentaires
     - voyage à Bugey avec Madelin et une sélection de «bons» journalistes (comme par hasard Louis-Marie Horeau du Canard Enchaîné n'était pas du voyage)
     - petit déjeuner avec les journalistes, distribution de fiches techniques, en fait de notes de propagande maniant avec élégance le mensonge par omission.
     A chaque fois, des articles furent publiés par les journaux et Le Monde sous la plume de MM Augereau et/ou Arvony se fit l'écho des informations d'EDF.
     A la suite de l'article du 4 juin, n'y tenant plus, nous avons envoyé une lettre ouverte à la direction du Monde pour lui signaler le comportement surprenant de leurs journalistes scientifiques. En voici le texte:

Lettre ouverte au Monde à propos du retour d'expérience post-TMI ou quand Le Monde fait de la publicité gratuite à EDF

     Le lecture de l'article de Maurice Arvonny dans Le Monde daté de mercredi 11 juin est fort édifiante à plus d'un titre.
     Il s'agit sous la signature d'Arvonny de la reprise intégrale de fiches EDF. Le moins qui aurait pu être fait eût été de le signaler. Mais il eût été tout de même plus correct de signaler aussi qu'il reste beaucoup à faire pour que les enseignements de TMI (Three Mile Island) soient effectivement mis en oeuvre. L'incident du Bugey d'avril 1984 en est d'ailleurs un exemple frappant:
     - les incidents précurseurs au nombre d'au moins 5 (Dampierre 1, Dampierre 3, Tricastin 2 (2 fois !), Blayais 4), n'ont pas été pris en compte.
     - le regroupement intempestif d'alarmes en salle de contrôle ne permettant pas aux opérateurs de porter un diagnostic correct est à la base du développement de cet incident.
     Ceci est clairement dû au fait que si l'analyse de TMI est bien en fiche, son application concrète n'est pas encore réellement dans les faits.
     De même si les vannes de décharge des pressuriseurs ont bien été protégées en série par des vannes d'isolement motorisées, le rapport signale qu'en cas de blocage en position ouverte, la sécurité était inopérante en raison de la perte d'alimentation du tableau LCA (rapport SASR no 46 page 7).
     Quant au report en salle commande de la position physique des vannes, il semble aléatoire. Le rapport SPT - DAF -D 546, page 29 signale : «exemple d'incohérence, RCV 46 VP: en salle de commande, indication d'ordre de commande (RCM) donné, et, vanne ouverte en grand (état réel) pas de compte rendu de position».
     Pour autre exemple de ces incohérences, on peut citer une demande du service central de sûreté des installations nucléaires (SCSIN) datant du 12 juin 1985 (lettre SIN n°3001/85, annexe II page 2): «ouverture intempestive des vannes de réglage de débit du RRA. Je vous prie de bien vouloir me préciser, sous six mois, les dispositions qui seront prises afin que la position exacte de ces vannes puisse être connue à tout moment, au moins en local».
     Or, en 1979, ce fut justement l'une des causes de l'accident. Le voyant en salle machine signalait que l'ordre de fermeture avait été envoyé mais il ne donnait pas la position physique. Six ans après, la lettre du SCSIN permet de comprendre que nous en sommes toujours au même point en France.
     Alors cessons de nous gargariser, la sûreté est le garant de notre sécurité. Il ne peut y avoir d'à peu près dans un tel domaine. L'accident résulte toujours de l'enchaînement de petites causes a priori sans liens et surtout sans conséquence, prises isolément.
     Nous avions déjà constaté lors de la relation de l'incident du Bugey que, ni Monsieur Arvonny, ni Monsieur Augereau n'avaient lu les dossiers qui leur ont été remis. Sinon, il n'eut pas été affirmé dans l'article du Monde que les mesures H3 permettaient de faire face à un accident. En effet, dans le rapport il est explicitement écrit page 7 (rapport SASR n°45): «... il faut noter que les matériels nécessaires à l'application de la procédure H3 destinée à faire face à cette situation, n'étaient pas encore opérationnels sur le site. Même s'ils l'avaient été, comme on le verra dans la suite de l'analyse, l'application de la procédure H3 telle qu'elle est prévue aujourd'hui aurait été difficile».
     Il est clair qu'EDF peut affirmer certaines choses, la moindre des honnêtetés pour un journaliste scientifique est au moins de les vérifier.
     Il est fort regrettable de constater que ce n'est pas du tout ce qui est fait dans Le Monde. Tchernobyl est déjà suffisamment révélateur des carences au plan de l'information officielle, si en plus les journalistes ne lisent même pas les dossiers que leur remettent les services officiels, mais se contentent des communiqués, le pire reste à venir.

Monique Sené
Présidente du GSIEN

[Rappel d'Infonucléaire: Le Monde titrait pendant l'accident de Three Mile Island en première page « Le pépin ».]

     A la suite de la publication de l'incident du Bugey qui typiquement est le reflet de la non prise en compte des leçons de TMI, EDF s'est fendue d'un magnifique dossier sur le sujet.

     Il y a quelques perles pas tristes:

     - Dès le début du mois d'avnl 1979, un groupe de travail a été créé pour identifier les actions...
     ...Il convient de relever que l'analyse de sûreté effectuée n'a mis en évidence aucune anomalie susceptible d'interrompre ou de retarder la mise en service des tranches 900 MWe qui se trouvaient à cette époque en construction, ni d'arrêter les tranches en fonctionnement (Fessenheim, Bugey).
     ...A ce jour, le bilan détaillé des actions est le suivant:
     - pour les tranches 900 MWe, les études sont toutes achevées et les modifications sont réalisées à 90%. Le solde sera achevé dans sa quasi totalité fin 86. Leur mise en oeuvre aura représenté un coût de l'ordre de 1 milliard de francs.
     - pour les tranches 1.300MW, toutes les actions sont achevées (car les premières tranches étaient juste en début de construction en 1979 et les études ont pu immédiatement prendre en compte l'effet TMI)
     - pour les paliers ultérieurs, le plan d'action est intégralement pris en compte dès la conception. Fin 1985 les Autorités de sûreté ont approuvé l'ensemble des résultats du plan d'action français et l'on peut considérer que ce dernier est totalement achevé.

Commentaire
     Bel exemple de la publicité EDF à l'intention des médias et du public.
     La réalité est, bien sûr, bien différente.
     Lors de la séance de juin 1985, le CSSN a examiné ces fameux retours d'expérience. Et que constate-t-on ?

1. Problème d'alimentation électrique de secours
     Divers incidents ont eu lieu
     - 11.01.1983: Graveline 4, grippage d'un piston
     - 10.02.1983: Bugey 3, rupture de 2 tiges de culbuteur
     - 21.04.1983: Dampierre 4, grippage d'un piston
     - 15.08.1983: Cruas 1, rupture d'une bielle
     - 28.11.1983: Blayais 3, rupture d'une tuyauterie d'injection du fuel
     Or, si on prend l'incident de Bugey 5 d'avril 1984, l'importance de l'alimentation de secours est évidente. EDF, à la demande des autorités de sûreté, doit ajouter un équipement complémentaire des turbines à gaz. L'état d'avancement de la mise en place, décrit par le SCSIN en juin 1985 était «... Il y a une turbine à gaz sur chaque site de tranches 900 MWe. Pour les sites de tranches de 1.300 MWe, Electricité de France s'interroge sur la stratégie à retenir: une turbine par site ou une par région qui pourrait dans un délai rapide être amenée sur place.»
     ... et si cela ne suffit pas, on fera pédaler le personnel du centre sur des gégènes !!!

2. Mise en oeuvre des mesures de sûreté
«...de me transmettre un certain nombre de dossiers portant sur 9 pointsprécis: huit de ces dossiers ne me sont pas parvenus»
     Or, il s'agit d'une demande de 1984 et la lettre date de 1985. Comme on demande la transmission sous 3 mois, on aimerait en 86 savoir si les fameux dossiers sont enfin arrivés.

3. Délais de réalisation
     Le SCSIN écrit à EDF
     «S'agissant des délais de réalisation, j'ai noté que votre établissement rencontre des difficultes à mettre rapidement en oeuvre certaines modifications sur les tranches»...
     Pas mal, qui choisit ? EDF ou les autorités de sûreté ? De mieux en mieux, le SCSIN écrit encore:
     «Enfin, j'ai  noté que votre établissement rencontre des difficultés pour prendre en considération mes demandes; ces difficultés se traduisent par des retards dans leur prise en compte, voire par l'absence de leur prise en compte. »
     Force est de constater que EDF peut toujours affirmer que post TMI leur a servi. A faire des papiers sûrement, à améliorer, la question se pose encore.
     Une série d'incidents:
     * sont dûs à des alarmes non hiérarchisées : les agents ne savent donc pas ce qui est, en fait, en panne.
     * sont dûs à des confusions de tranches : le regroupement des équipements est tellement bien étudié que les agent se trompent de tranche en voulant faire une manoeuvre
     * sont dûs au fait qu'on n'a pas tenu compte d'incidents précurseurs.
Dernière citation
     «Ouverture intempestive des vannes de réglage de débit du RRA. Je vous prie de bien vouloir me préciser, sous six mois, les dispositions qui seront prises afin que la position exacte de ces vannes puisse être connue à tout moment, au moins en local. »
     Eh bien bravo, en juin 85, en être encore à demander à connaître la position exacte de vannes.
     En 1979, à TMI, ce fut justement l'une des causes de l'accident le voyant en salle machine signalait que l'ordre avait été envoyé mais ne donnait pas la position.
     6 ans après, cette lettre nous permet de comprendre qu'on en est toujours au même point

Extrait de La Gazette Nucléaire, n°69/70.