Qui imaginerait que des erreurs grossières, comme de confondre une manette ou une vanne avec une autre, voire un réacteur avec un autre, se produisaient au coeur des centrales nucléaires ? C'est pourtant fréquent, comme en témoignent les exemples inédits que Science & Vie a retrouvés pour vous.
Est-il Possible de se tromper de bouton lorsqu'on a la responsabilité de "piloter" un réacteur nucléaire ? Mieux: est-il possible de confondre deux tranches voisines et d'effectuer une manoeuvre sur la première croyant agir sur la seconde ? Aussi invraisemblable que cela puisse paraître, ce type de confusion est classique dans l'univers nucléaire.
Une étude confidentielle réalisée par EDF sur une période allant de septembre 1983 à juillet 1984, couvrant donc presque une année, montre que sur 86 incidents imputables à une erreur humaine, 16 (soit 1 sur 5) sont dus à une confusion; 7 concernent une confusion de tranches; 9, des confusions de matériel à l'intérieur d'une même tranche.
Une analyse plus fine a montré que ce sont principalement les agents chargés de la conduite du réacteur qui sont responsables de ce type d'incidents; ces agents sont pourtant, dans la majorité des cas, expérimentés et habitués aux types d'interventions demandées.
Mais l'univers un peu carcéral "béton et boutons" dans lequel ils évoluent, ainsi qu'une certaine monotonie engendrée par des tâches répétitives, permettent sans doute d'expliquer en partie ces lacunes. Leurs confusions surviennent d'ailleurs fréquemment en fin de quart de nuit, au moment où leur vigilance a tendance à baisser.
Nous avons retrouvé ces exemples d'"erreurs humaines" qui ne connaissent pas grande publicité, mais qui pourraient pourtant, si la malchance s'en mêlait, être très graves.
L'incident qui s'est produit à la centrale de St-Laurent-des-Eaux, le 1er juillet 1984, en témoigne. Lorsqu'une centrale nucléaire est à l'arrêt, que ce soit pour déchargement et rechargement du combustible ou pour entretien et réparation, on en profite pour contrôler certains organes et se livrer à toutes sortes de tests intéressant la sûreté. Un de ces tests consiste à vérifier la bonne étanchéité de l'enceinte de confinement, ce gros dôme de béton qui renferme le coeur du réacteur. C'est ce qu'on appelle l'"épreuve enceinte". Pour cela, on fait monter la pression à 4 bars et on mesure quelque temps après, pour vérifier si la pression a varié, ce qui révélerait des fuites. Pour réaliser ce test, on est obligé d'isoler, en fermant les vannes adéquates, un certain nombre de circuits d'eau et d'air qui ne supporteraient pas une telle pression. Une fois l'épreuve enceinte terminée, il faut remettre tous ces circuits en état de marche.
C'est précisément ce que l'équipe de nuit s'apprête à faire en ce premier jour de juillet 1984, à la centrale de St-Laurent B1. Il est 4 heures du matin. Le chef de bloc essaie de manoeuvrer, pour vérifier leur fonctionnement, deux vannes de liaison contrôlant deux types de circuits d'eau bien différents. L'une commande le circuit d'eau primaire, qui amène l'eau de refroidissement au coeur lorsque le réacteur fonctionne; la pression dans ce circuit avoisine alors 150 bars. L'autre commande un circuit annexe qui alimente le coeur en eau lorsque le réacteur est à l'arrêt; le circuit primaire est alors dépressurisé et des pompes plus modestes que les grosses pompes primaires suffisent à évacuer l'énergie résiduelle du coeur.
Les deux vannes en question se ferment bien, mais refusent de s'ouvrir à nouveau, bloquées par une alarme générée par l'essai. Il est tard; l'équipe de conduite est fatiguée et l'assistant du chef de bloc décide de contourner ce verrouillage automatique, en allant commander l'ouverture de ces vannes à partir des locaux électriques. Il se trompe alors de contacteur et donne un ordre d'ouverture aux deux vannes de liaison des deux circuits visés, mais sur la tranche 2 de St-Laurent qui, elle, fonctionne à plein régime.
Lors des interventions d'entretien ou de réparation, il est facile de confondre une vanne avec une autre. |
Répondant à l'ordre lancé, la première vanne s'ouvre, mais la deuxième, fort heureusement soumise à une trop forte pression, refuse de s'ouvrir, car son moteur possède une protection thermique et se coupe, lorsqu'il peine trop, à partir d'une certaine intensité.
Si cette protection n'avait pas empêché l'ouverture de la vanne, le circuit d'eau primaire à plus de 150 bars aurait été mis en communication avec le circuit de réfrigération à l'arrêt, qui est calculé pour des pressions inférieures à 40 bars. Sous l'effet de la surpression, il aurait sans doute éclaté, créant une brèche dans le circuit primaire de la tranche 2, libérant ainsi une eau terriblement radioactive et mettant en péril le refroidissement du coeur.
Cette fois-là, tout s'est bien passé. On a évité le pire, même s'il a fallu cinq longues heures pour maîtriser l'événement et ramener la tranche 2 en situation normale.
Cet événement peu connu du grand publie, car il n'a pas eu les honneurs de la presse, révèle des lacunes suffisamment graves sur les centrales nucléaires pour qu'on le remette sur le tapis. Car il n'est pas unique.
A peine deux mois plus tôt, le 29 avril 1984, alors qu'on est en train d'arrêter la tranche 1 de la centrale du Blayais pour pouvoir recharger une partie de son combustible, l'adjoint au chef de quart consigne les groupes électriques qui alimentent les actionneurs des grappes de contrôle, ces barres qui descendent plus ou moins profondément dans le coeur pour freiner ou accélérer la réaction nucléaire. Mais au lieu d'agir sur la tranche 1, il coupe ceux de la tranche 2 en pleine puissance. Résultat : la chute des barres dans le coeur en fonctionnement fait brusquement varier le flux neutronique et provoque un arrêt d'urgence.
Il ne s'agit pas de cas isolés. Ce type "erreur qui consiste à confondre deux réacteurs arrive, à notre connaissance, 5 à 10 fois par an en moyenne. Il s'agit, bien sûr, de faits suffisamment graves pour provoquer des arrêts d'urgence du réacteur. C'est pourquoi nous avons essayé d'en retrouver les traces. Car on imagine ce que ce genre d'événement pourrait engendrer s'il se produisait à un moment où un autre système est défaillant et où s'amorce un incident indépendant de cette confusion...
Autre exemple. Le 11 mars 1983, à la centrale de Bugey, lors d'une ronde, un agent condamne une vanne commandant le contrôle volumétrique du réacteur, le "RCV", qui permet d'ajuster la quantité d'eau dans le circuit primaire. Mais au lieu d'actionner la vanne de la tranche 3 à l'arrêt, il consigne celle de la tranche 2, sans se rendre compte que du fluide y circule, ce qui aurait dû lui mettre la puce à l'oreille. Mais le rondier était débutant et par ailleurs l'ordre qu'il avait reçu était erroné!
Le 21 juin 1984, à la centrale de Tricastin, c'est un agent d'une entreprise extérieure qui doit intervenir sur les câbles électriques qui traversent l'enceinte de confinement de la tranche 2 à l'arrêt et qui alimentent certains circuits électriques. Mais il s'attaque par inadvertance aux câbles de la tranche 1, provoquant une perte partielle d'alimentation électrique de cette tranche et un arrêt d'urgence.
Parmi des exemples plus récents, citons celui qui a affecté la tranche 1 de la centrale de Flamanville, le 22 octobre 1985. Voulant simuler sur la tranche 2 le fonctionnement d'une pompe d'aspersion (1) dans l'enceinte du réacteur, que l'on déclencherait vraiment en cas d'urgence pour refroidir le coeur, l'équipe d'EDF met en marche par erreur la pompe d'aspersion de l'enceinte de la tranche 1, noyant le matériel sous des trombes d'eau durant trois minutes et provoquant un arrêt d'urgence.
Plus récemment encore, le 30 mars 1986, à la centrale de Bugey, une manoeuvre intempestive a lieu sur une vanne du circuit secondaire de la tranche 4 en fonctionnement, alors que c'est la tranche 5 en cours de redémarrage qui est visée. Du coup, cette action entraîne un déséquilibre entre la vapeur et l'eau et il y a arrêt d'urgence. l'origine de cette erreur? Pour atteindre plus vite le lieu de l'intervention, le technicien a utilisé l'ascenseur rapide de la tranche 4 et il est tout bonnement resté sur cette même tranche.
La confusion entre deux réacteurs n'est toutefois possible que sur les tranches nucléaires de 900 MWe. Ce sont les seules qui, pour des raisons d'économie, ont été jumelées deux par deux, c'est-à-dire qu'un certain nombre de bâtiments et d'équipements leur sont communs. Par la suite, EDF s'est aperçue que cette solution n'était pas idéale et les tranches de 1300 MWe sont restées indépendantes les unes des autres.
Il faut bien reconnaître, en regardant les choses de près dans ces tranches de 900 MWe, que les architectes nucléaires n'ont pas toujours eu la main heureuse. La logique, qui ne semble généralement pas l'apanage de cette confrérie, ne règne pas plus dans ces bâtiments-là que dans les pavillons de banlieue. Ainsi, dans le bâtiment auxiliaire nucléaire, le "BAN", commun aux deux réacteurs, l'accès aux deux tranches se présente, suivant les niveaux, parfois à droite et parfois à gauche pour les équipes qui sortent des ascenseurs, ce qui favorise bien évidemment les confusions. Le numéro de tranche inscrit dans ces ascenseurs est d'ailleurs écrit en caractères si petits qu'à faudrait presque une loupe pour parvenir à les déchiffrer!
Autre erreur possible: on trouve, dans le couloir d'une certaine tranche, du matériel appartenant à une autre. Ou bien encore, comme à Bugey, pour accéder aux locaux électriques de la tranche 3, il faut parfois traverser une partie de la tranche 2.
Bref, c'est à un véritable jeu de piste que doivent se livrer quotidiennement les techniciens pour se repérer dans ce dédale de béton, malgré le fléchage et les indications. Rien ne ressemble plus à une centrale qu'une autre centrale: tous les commutateurs se ressemblent. Rien d'étonnant si les confusions ont lieu, pour la plupart, à partir des locaux électriques. De plus, lorsqu'une centrale est à l'arrêt, elle requiert paradoxalement beaucoup plus de personnel que lorsqu'elle fonctionne. Si bien que des agents habitués à intervenir sur une tranche et qui sont "réquisitionnés" sur une autre, auront encore plus tendance à se tromper.
Si les erreurs de tranche sont les plus spectaculaires, car elles frappent l'imagination, elles ne représentent qu'une partie des confusions possibles. On peut aussi se tromper à l'intérieur d'une même tranche et l'erreur risque d'être aussi lourde de conséquences. De plus, ce type d'erreur ne frappe pas seulement les centrales de 900 MWe, mais tous les réacteurs nucléaires.
On peut, par exemple, confondre deux boutons voisins dans la salle de commande et provoquer une fermeture rapide des vannes de vapeur principales, gênant l'évacuation du générateur de vapeur et faisant augmenter la pression dans le circuit primaire, comme cela s'est produit sur la tranche 3 de Cruas, le 24 avril 1984, puis, à nouveau, le 13 septembre 1984.
On peut encore condamner une pompe primaire qui sert à refroidir le coeur, en croyant fermer une petite pompe du circuit secondaire, comme cela s'est produit sur la tranche 3 de la centrale de Bugey, le 25 avril 1982.
Un autre incident, qui s'est produit au réacteur
4 de Tricastin, le 12 juillet 1983, est instructif à plus
d'un titre, puisqu'il est très fréquent. Il s'est
notamment également produit:
- le 23 février 1982 à Gravelines 3,
- le 20 janvier 1983 à St-Laurent B2,
- le 19 avril 1983 au Blayais 2,
- le 17 août 1983 à Gravelines 1,
- le 27 octobre 1983 à Tricastin 2,
- le 8 décembre 1983 à Graveline 1,
- le 6 mars 1984 à St-Laurent B1,
- le 24 octobre 1984 à St-Laurent B2,
- le 3 juillet 1984 à Gravelines 4, etc.
Dans cet univers "presse-bouton" que représente une centrale nucléaire, toutes les armoires électriques se ressemblent. |
De quoi s'agissait-il ? Périodiquement, les équipes d'EDF réalisent des essais à blanc pour tester les systèmes de sécurité. Cette procédure, appliquée à date régulière, se nomme dans le jargon nucléaire "essais RPR" (réacteur protection). On sollicite ainsi certains organes de sécurité en leur envoyant un signal électrique qui simule des situations particulières et on observe les réactions des systèmes de protection qui doivent se déclencher.
Afin de ne pas perturber la bonne marche du réacteur (2), on prend soin. auparavant d'isoler les organes testés. Ainsi dans le cas qui nous préoccupe, le service concerné doit simuler un flux neutronique élevé dans le réacteur 4 de Tricastin, en pleine puissance. Un opérateur observe l'état des lampes et des alarmes concernées en salle de commande. Un autre opérateur, qui se trouve "en local", c'est-à-dire hors de la salle de commande, sur le matériel, et dans ce cas précis devant un tableau électrique, doit actionner les commutateurs adéquats. Ils se ressemblent tellement, qu'il confond le 552 CC avec le 550 CC. Si bien que, lorsqu'il appuie su le bouton-poussoir pour faire passer l'ordre, le système de mesure du flux neutronique, qui n'a donc pas été inhibé, interprète comme réel le signal électrique lancé et déclenche un arrêt d'urgence du réacteur.
On ne sera pas étonné de la confusion de l'opérateur, lorsqu'on saura que le malheureux, pour exécuter ce type d'essai, doit manoeuvrer 256 commutateurs et 171 boutons... La procédure l'oblige même, à certains moments, à jouer le rôle d'homme-orchestre, puisqu'il devrait théoriquement: maintenir en même temps deux commutateurs, cocher des cases sur des formulaires sans pouvoir poser ses documents sur un plan de travail, et appuyer simultanément sur le bouton de l'interphone!
A la lueur de ces quelques exemples, il est tout de même juste de reconnaître que les systèmes de sécurité fonctionnent, puisque ce type d'erreurs conduit généralement à un arrêt d'urgence du réacteur.
Mais ces arrêts intempestifs, précisons-le d'emblée, n'arrangent pas le matériel qui, à chaque fois, prend un coup de vieux. Et puis, il reste tous les cas où l'erreur a bien eu lieu, mais où l'on ne s'en aperçoit pas tout de suite, car le matériel confondu n'a pas été sollicité, ce qui laisse subsister un danger potentiel, d'autant plus grave qu'il est méconnu.
Parfois, c'est le personnel qui trinque. Ainsi à la centrale de Dampierre, début mars 1983, l'équipe de quart demande à un "rondier" de condamner une vanne située dans le local d'instrumentation du coeur, la tranche étant à l'arrêt pour entretien et rechargement du combustible. Mais on lui confie par erreur une clef permettant d'accéder à la "zone rouge", celle où l'on ne pénètre qu'avec un grand luxe de précautions, même lorsque le réacteur est à l'arrêt, car le niveau de radiations y est très élevé.
Ajoutant une erreur de plus à celle de ses collègues, le rondier en question, sans se soucier des balisages qui auraient dû l'alerter, confond le local où il devait se rendre avec le local puits de cuve, auquel sa clef lui permet précisément d'accéder. Juste au-dessus se trouve la cuve du réacteur, qui contient le coeur. La dose "exposition y est de 500 rads par heure. Il suffirait d'y rester plusieurs dizaines de minutes pour voir ses chances de survie se réduire dramatiquement. Heureusement notre rondier est alerté par le clignotement frénétique du dosimètre accroché dans une poche sur sa poitrine. Il a tout de même le temps d'encaisser 650 millirads !
Après ce réquisitoire accablant montrant qu'il est aussi facile de confondre un interrupteur dans une cuisine que dans une centrale nucléaire, précisons qu'il est possible d'améliorer les choses et EDF y pourvoit, Une vaste étude portant sur le repérage a permis de mieux individualiser les tranches, grâce à des jeux de couleurs notamment, et à la différenciation, par leur taille et leur forme, des étiquettes appliquées sur le matériel. Mais tout cela fait beaucoup d'étiquettes et les couleurs utilisées pour différencier les tranches ne doivent pas interférer avec celles utilisées pour différencier le matériel à l'intérieur dune même la tranche!
Bref, cela fait beaucoup trop d'informations à traiter et à synthétiser pour notre malheureux cerveau... Or, tous les physiologistes savent qu'un nombre élevé de sources d'information a un effet défavorable sur la perception visuelle. Si bien qu'on ne pourra jamais, malgré la meilleure volonté, éliminer totalement ce risque d'erreur humaine.
Jacqueline Denis-Lempereur,
Science & Vie n°842 novembre 1987.
(1) La pompe fonctionne alors en circuit fermé pour éviter d'abîmer le matériel.
(2) Ces essais sont trop fréquents pour qu'on les effectue seulement en période d'arrêt du réacteur.