• la qualité retenue pour la conception et la réalisation des installations,
• le niveau de surveillance en exploitation,
• le nombre, la qualité et la puissance des systèmes de secours,
• les systèmes de sauvegarde,
• les plans d’urgence.

La conception des installations se caractérise par une approche déterministe - c’est-à-dire recensant les évènements pouvant conduire à la dispersion dans l’atmosphère ou dans les cours d’eau de produits radioactifs -, afin de définir des accidents dits " enveloppes ", majorants du point de vue de leurs conséquences dans l’environnement. Cette approche est complétée par une approche probabiliste permettant d’apprécier la probabilité des scénarios accidentels à retenir qualifiés d’accidents de référence.

Partant de la fréquence d’apparition d’évènements initiateurs - tels que brèche du circuit primaire ou rupture de tube(s) de générateur de vapeur -, les études correspondantes s’appuient sur le retour d’expérience en exploitation et les essais sur simulateur. Elles sont à même de déterminer la probabilité de succès ou d’échec des fonctions de sauvegarde prévues pour limiter les conséquences de ces évènements et ont conduit à prévoir des procédures d’exploitation dites H (hors dimensionnement initial) et U (ultimes), en cas d’accident très grave (fusion du cœur).

Pour un événement dont la probabilité d’occurrence peut être considérée comme " faiblissime " (la chute d’une météorite, par exemple), on ne prend aucune disposition de protection particulière et l’on parle de risque résiduel. L’approche déterministe considère que, quelles que soient les dispositions prises, aucune activité industrielle n’est en mesure de réduire la probabilité de survenue d’un accident à la valeur nulle. De cette considération découle la notion de risque acceptable et la définition de la règle de sûreté suivante : plus les conséquences d’un accident sont graves, plus sa probabilité doit être rendue faible. Un domaine de conception acceptable est ainsi délimité sur un graphique " conséquences radiologiques - fréquence des évènements ".

Ce volet se décline comme suit :

• Interposition de 3 barrières physiques : la gaine du combustible, le circuit primaire et l’enceinte de confinement.
• Définition des 3 fonctions de sûreté permettant de suppléer la défaillance des 3 barrières : contrôle de la réactivité, du refroidissement et du confinement.
• Définition du domaine de fonctionnement normal et des régulations.
• Définition du choix des matériaux.
• Introduction des marges dans les études et calculs.
• Classement de sûreté des matériels. Ce classement dit IPS (important pour la sûreté), qui concerne essentiellement les matériels mécaniques et électriques ainsi que les ouvrages et structures de génie civil, a pour but de déterminer la sévérité des exigences à appliquer à certains organes (à la conception, à la construction et à l’exploitation) en fonction de leur rôle vis-à-vis de la sûreté.
• Application du critère de défaillance unique imposant la redondance. Pour satisfaire ce critère et garantir des fonctions essentielles - de sûreté notamment -, on est amené à doubler certaines fonctions, systèmes ou matériels. De surcroît, sur plusieurs installations, les capteurs activant les chaînes d’automatismes sont triplés, voire quadruplés, et leurs signaux sont mis en jeu dans des logiques 2/3 ou 2/4. À titre d’exemples, le système d’aspersion de l’enceinte de confinement comprend 2 files indépendantes, chacune capable d’assurer la fonction d’aspersion ; le système de refroidissement intermédiaire du réacteur comporte 2 pompes identiques en mesure d’assurer individuellement 100% du débit. De la même façon, on est conduit à rendre indépendantes de nombreuses sources électriques et à les secourir.
• Prévention des défaillances de mode commun par la séparation physique et la diversification des systèmes et matériels redondants. Une défaillance est dite de mode commun si elle rend simultanément indisponibles 2 systèmes ou matériels redondants (généralement IPS) assurant la même fonction. De telles défaillances peuvent avoir pour origine une erreur de conception (erreur de calcul), une fausse manœuvre d’exploitation ou une origine extérieure au système (incendie, inondation…). C’est la raison pour laquelle il convient de prévoir, à la conception, la séparation physique des systèmes redondants et leur diversification.
• Prévention des agressions externes et internes. Les agressions internes sont l’incendie, dont la prévention est en constante évolution (sectorisation étanche des zones, détection sophistiquée, parois et portes coupe-feu en matériaux de dernières générations...), l’inondation, la rupture de tuyauteries à haute énergie, l’expulsion de projectiles sous l’effet de la pression des fluides justifiant, par exemple, la présence d’une dalle " antimissile " au-dessus de la cuve des réacteurs de Fessenheim et de Bugey. Quant aux agressions externes, le lecteur appréciera que leur soit consacré le paragraphe suivant.

• L’échelle retenue n’est pas l’échelle de Richter mesurant l’énergie dégagée sur une plage continue de 9 niveaux (5,4...), mais l’échelle MSK (Medvedev, sponheuer, Karnik) qui définit 12 niveaux de perturbation de l’écorce terrestre quantifiés en mesures d’accélération des mouvements : niveau 1 = secousse non perceptible ; niveau 12 = changement de paysage. Précision importante : l’accélération du niveau n+1 est double de celle du niveau n.
• Pour chaque site d’implantation d’une centrale nucléaire, un SMHV (Séisme Maximal Historiquement Vraisemblable) est défini par l’attribution d’un niveau MSK.
• Les calculs de conception des matériels et des systèmes prennent en compte un SMS (Séisme Majoré de Sécurité) établi à partir du SMHV comme suit : SMS = SMHV +1. On notera donc que l’accélération d’un SMS est double de celle d’un SMHV.

• Sur notre territoire, on dénombre une moyenne de 7 à 800 000 vols commerciaux par an, pratiqués par des avions dont la masse excède 5,7 tonnes. Sur ces appareils, la probabilité d’accident est inférieure à 10^E-6 (1 vol sur 1 million) et la probabilité d’impact sur une tranche nucléaire, inférieure à 10^E-8 (1 vol sur 100 millions).
• Pour l’aviation militaire, les données ci-dessus sont respectivement 500000 vols/an, un risque d’accident de 10^E-5, un risque d’impacter une tranche nucléaire de 10^E-7.
• Enfin, l’aviation d’affaire c’est 2 à 2,2 millions de vols/an, un risque d’accident de 10^E-4 et un risque d’impact de l’ordre de 10^E-6. La masse des avions concernés est inférieure ou égale à 5,7 tonnes.

• Choix d’implantation des sites nucléaires à l’écart des zones de fréquentation aériennes (aérodromes, zones d’exercices ou d’essais…),
• Interdiction de survol de ces sites à basse altitude (réglementation civile et militaire),
• Protection spécifique de certains systèmes et matériels :

• Renforcement de la résistance des bâtiments (du bâtiment réacteur en particulier) par renforcement du ferraillage du béton ;
• Dispersion des équipements redondants de sûreté ou de sauvegarde (c’est le cas des groupes diesels électrogènes de secours, voie A et voie B).

• Maintien hors d’eau des matériels IPS (importants pour la sûreté) grâce à une plate-forme (supportant les bâtiments concernés) située au-dessus du niveau dit de la " cote majorée de sécurité ". Exemple de définition de cette cote : le plus haut des 2 niveaux " crue millénale + 15% en débit " et " conjonction de la plus forte crue centenale et de l’effacement du barrage amont le plus contraignant ".
• En matière de grands froids, le risque le plus redouté est la perte de la source froide : l’eau du fleuve principalement. Dans le cadre d’un Plan d’Urgence Interne (PUI), on a déjà dû faire appel à l’armée pour casser la glace de la Loire, permettre l’installation d’agitateurs et garantir l’aspiration de l’eau.

• Conception de l’instrumentation et des alarmes.
• Définition des systèmes de mesures de radioactivité de l’air et des fluides, systèmes permettant de surveiller l’étanchéité des 3 barrières.
• Définition des dispositions permettant de tester et d’inspecter les matériels.
• Conception des procédés de détection des agressions externes et internes.

• Définition des systèmes de protection et de sauvegarde destinés à limiter les conséquences des défaillances des 3 barrières.
• Définition des procédures Incidentelles (désignées par I), accidentelles (A), hors dimensionnement (H) et ultimes (U).
• Définition des moyens d’action en cas d’agressions externes ou internes.

Eu égard à l’intérêt très relatif que le grand public accorde probablement à un tel sujet, il convient de traiter ce chapitre en se limitant à caractériser la méthode utilisée par l’ensemble des acteurs pour mener à bien la construction et la mise en service d’une tranche nucléaire.

Cette construction et cette mise en service se déroulent en 5 étapes :

• Etudes de conception et de réalisation.
• Etudes d’exécution.
• Fabrication.
• Montage sur site.
• Essais de mise en service.

La rigueur d’exécution de ces étapes se manifeste dans les 3 domaines classiques :

• Prévention, consistant à déceler précocement les motifs d’interruption de l’installation : respect des réglementations, des doctrines, des spécifications diverses et des plans, agrément des procédures d’essais, validation des codes de calcul…
• Surveillance et détection des écarts, par rapport aux exigences. Elles procèdent par missions de contrôles, d’audits, de vérifications de documents ou d’habilitation des intervenants. Citons les contrôles de matériels (non destructifs), de fabrication en usine, d’agrément aux mines. Précisons que l’analyse approfondie des enregistrements et résultats d’essais de toutes natures (hydrauliques, pneumatiques, électriques et électroniques, fonctionnels…) complète le haut niveau de vigilance conditionnant la mise en exploitation de la tranche.
• Moyens d’actions correctrices. Ils vont de la reprise des essais à l’intégration du retour d’expérience local ou générique (ensemble du parc) et à l’évolution des modes d’installation de matériels, voire de leur conception. L’exploitation très formalisée des enregistrements et résultats d’essais, ainsi que le traitement des anomalies et des non-conformités est conçue pour être profitable à l’exploitant (durant toute la vie de la tranche) et au retour d’expérience global.

Ces exigences sont déclinées dans le chapitre 3 des Règles Générales d’Exploitation (les RGE) intitulé Spécifications Techniques d’exploitation (STE). Les RGE, associées au rapport de sûreté dans le décret d’autorisation de création de la centrale, constituent un document à caractère réglementaire (comme le code de la route), alors que les STE sont un ensemble de prescriptions souveraines pour la conduite des installations. Leur prééminence sur toute autre considération technique est intangible pour les équipes de conduite exposées à des sanctions en cas de non respect de ces prescriptions.

Toute dérogation aux STE est soumise à l’autorisation préalable de l’Autorité de Sûreté.

Les STE applicables à une tranche donnée sont constituées de 3 sections :

• Les prescriptions relatives au standard palier (ensemble des tranches de même génération),
• Les prescriptions spécifiques à la tranche considérée,
• Les instructions temporaires de sûreté, à caractère réglementaire, en attente d’incorporation dans les 2 sections précédentes.

La première section (document standard) est structurée en 6 domaines d’exploitation :

• Prescriptions concernant la réactivité (fonctions de sûreté),
• Prescriptions concernant le refroidissement du combustible (fonctions de sûreté),
• Prescriptions concernant le confinement des produits radioactifs (fonctions de sûreté),
• Prescriptions concernant les fonctions transverses et supports,
• Prescriptions concernant la conduite à tenir en cas d’indisponibilité fortuite de matériel requis.

Les STE concernent exclusivement le fonctionnement normal. En situation incidentelle ou accidentelle, la sûreté est garantie par des procédures particulières (chapitre 6 des RGE).

Le chapitre 9 des RGE est consacré aux essais périodiques qui s’imposent sur les matériels IPS pendant l’exploitation des tranches. De tels essais sont, en effet, indispensables à garantir :

• l’absence d’évolution défavorable par rapport au référentiel de conception,
• le respect des hypothèses de dimensionnement retenues et décrites dans les études d’accidents,
• la disponibilité des matériels et fluides requis par les fonctions de sûreté,
• la disponibilité des moyens rendant les procédures incidentelles et accidentelles opérationnelles.

Le premier corollaire à ces essais périodiques est une organisation sophistiquée de maintenance des matériels se répartissant en maintenance corrective (après défaillance), maintenance conditionnelle ou potentielle (subordonnée à des inspections, contrôles ou visites), maintenance prédictive (résultant de l’évolution d’un paramètre surveillé comme les vibrations), maintenance systématique ou périodique. La maintenance préventive de l’ensemble des matériels fait l’objet de vastes programmes : les Programmes de Base de Maintenance Préventive (les PBMP).

Le second corollaire à ces essais périodiques est la Surveillance en Exploitation des Matériels mécaniques. Cette surveillance est soumise à un ensemble codifié de Règles, les RSEM . Les RSEM sont prises en compte dans les PBMP.

Le troisième corollaire à ces essais périodiques est l’obligation de requalifier les matériels ayant fait l’objet d’une intervention.

Définition de la requalification : la requalification consiste à vérifier le fonctionnement d’un matériel ou d’un système pour s’assurer que les performances requises à la conception sont maintenues ou retrouvées à la suite d’une intervention, d’une modification ou d’un événement d’exploitation.

Cette opération, qui revêt une importance cruciale pour les matériels et systèmes IPS, se réalise généralement en deux étapes successives : la requalification intrinsèque (limitée à un matériel donné tel que pompe) et la requalification fonctionnelle (l’essai du même matériel dans un ensemble fonctionnel donné dont les performances doivent être maintenues).

La pertinence des moyens d’action garantissant la sûreté de l’exploitation d’une tranche nucléaire s’apprécie en situation incidentelle ou accidentelle. Ces moyens comprennent :

• Sur le plan organisationnel,

• l’application - par des équipes de conduite redéployées en conséquence - des procédures décrites dans le chapitre 6 des RGE (procédures I, A, H et U déjà évoquées). Le cas échéant, ces équipes peuvent avoir recours au Guide d’Intervention en cas d’Accidents Graves (GIAG) ;
• la mise en place d’une organisation de crise.

• Sur le plan matériel, mobilisation de la logistique requise pour la mise en œuvre des procédures ci-dessus et par l’organisation de crise.
• Sur le plan des dispositions humaines permanentes, la formation des équipes de conduite aux scénarios accidentels et la formation des membres de l’organisation de crise au travers d’exercices de simulation.

À elle seule, la mise en œuvre des procédures accidentelles nécessiterait un exposé hors de portée de la culture technique d’une majorité de lecteurs. Il convient cependant de s’attarder sur la méthode d’appréhension des situations accidentelles récemment adoptée à EDF, avec l’agrément de l’Autorité de sûreté. Elle est le fruit des enseignements tirés de l’analyse approfondie des accidents survenus à Three Mile Island (TMI), aux USA, et à Tchernobyl qu’on ne présente plus. Insistons, au passage, sur le fait que cette analyse a débouché sur un grand nombre de modifications d’installations et de procédures d’exploitation ou d’entretien dites " modifications post-TMI " ou " post-Tchernobyl ".

Ces deux accidents ont montré qu’un cumul de défaillances matérielles et humaines était possible et pouvait conduire à multiplier les procédures de conduites requises par divers régimes transitoires de la chaudière, susceptibles, de surcroît, de se combiner entre eux. Le diagnostic de la situation en était notablement compliqué et le choix de la procédure idoine rendu hasardeux. Pour éviter pareils écueils, l’Approche Par Etats physiques de la chaudière (APE) a été conçue. En effet, si les combinaisons d’évènements techniques peuvent se multiplier à l’infini, les états physiques possibles d’une chaudière nucléaire sont en nombre limité.

Les principes de cette approche par états (APE) sont les suivants :

• Identifier l’état physique de l’installation à partir des 6 fonctions d’état : sous-criticité, inventaire en eau primaire, évacuation de la puissance résiduelle, intégrité et inventaire en eau des générateurs de vapeur, intégrité de l’enceinte de confinement ;
• A partir de cette évaluation, définir l’objectif général de conduite (passage à un état de repli, par exemple) ;
• Définir les priorités entre fonctions d’état à rétablir ;
• Identifier toutes les actions nécessaires à maîtriser le contrôle des fonctions d’état ;
• Procéder à un recensement général de la disponibilité des principaux systèmes utilisés afin de déclencher, si nécessaire, les substitutions ou la restauration des systèmes disponibles.

Dans une approche par états, l’objectif général et la stratégie de conduite peuvent être redéfinis à tout moment en fonction de l’évolution de la situation.

A l’instar du précédent, ce thème nécessiterait, à lui seul, un volumineux exposé. On se limitera donc à donner quelques repères de nature à permettre au lecteur de se faire une idée sur l’ampleur des moyens de secours mis en oeuvre en cas d’accident.

Mobiliser l’organisation de crise c’est mettre en œuvre 2 plans : le Plan d’Urgence Interne (PUI) et, éventuellement, le Plan Particulier d’Intervention (PPI).

Le PPI est un plan de sécurité civile sur lequel nous ne nous attarderons pas. Précisons simplement qu’il est conçu et activé sous la responsabilité du Préfet de Département, qu’il permet aux pouvoirs publics de prendre des mesures sanitaires pour protéger les populations exposées à des rejets radioactifs. Ce plan n’est pas systématiquement activé avec le PUI. Lorsqu’il l’est, PUI et PPI doivent fonctionner avec une certaine synergie.

Le PUI est de l’entière responsabilité d’un exploitant nucléaire, EDF en l’occurrence. Il mobilise, dans des délais très courts, les moyens techniques et humains destinés à aider le personnel de conduite à maîtriser la situation, tant sur le plan technique que sur le plan de la protection des personnes et du secours aux blessés.

Il existe trois niveaux géographiques de PUI :

• Le niveau local (moyens techniques et humains du site accidenté),
• Le niveau régional (les ingénieurs de Météo-France qui aident au diagnostic de la diffusion atmosphérique des polluants)
• Le niveau national constitué de l’Equipe Nationale de Crise. Cette équipe, constitués d’experts d’EDF et d’entreprises partenaires, dispose en temps réel de la signalisation et des paramètres physico-chimiques de l’installation accidentée. Elle est une précieuse aide au diagnostic et à la décision des exploitants locaux.

Précisons, pour conclure, les trois niveaux de gravité possibles d’un PUI :

• Le niveau 1 : accident à caractère non radiologique (incendie…) ;
• Le niveau 2 : accident avec des conséquences radiologiques limitées au site ;
• Le niveau 3 : accident pouvant entraîner des rejets radioactifs à l’extérieur du site.

En toute rigueur, le PPI n’est réputé être activé que pour un PUI de niveau 3.

La Défense en profondeur en exploitation repose sur 3 piliers : le professionnalisme des personnels, l’organisation de la qualité et la gestion du retour d’expérience.

• Par la formation et le professionnalisme :

• chaque agent est astreint à la formation définie dans son Plan Individuel de Formation adapté à son métier et à sa fonction. La sûreté y est omniprésente.
• Deux structures élaborent les cahiers des charges des formations à partir des besoins exprimés par le Parc : l’institut de formation à la conduite et l’institut de formation à la maintenance.
• Les principaux outils de formation sont :

• Les notices techniques et dossiers pédagogiques de toutes natures,
• Les modules d’Enseignement Assisté par Ordinateur (EAO),
• Les chantiers écoles (mise en situations complexes),
• Les simulateurs reproduisant intégralement les situations de fonctionnement normales et perturbées,
• Une machine réelle de manutention du combustible utilisée en simulateur,
• La familiarisation in-situ avec des outils complexes comme les robots, les bras porte-outils, les télémanipulateurs, les systèmes d’acquisition et de traitement des données…

• Par le développement de la culture de sûreté. Une culture qui imprègne tous les secteurs d’activités dans tous leurs domaines d’exercice. Ces derniers sont en perpétuel devenir et la formation y occupe une place très importante.
• Par l’amélioration constante de l’Assurance qualité. L’Assurance qualité est appréhendée avec le même état d’esprit et la même rigueur que la sûreté. À l’évidence, la dernière dépend dans une très large mesure de la première.
• Par le choix pertinent des axes d’amélioration.

• Sur chaque site, une Mission Sûreté Qualité exerce une vigilance de tous les instants sur les activités d’exploitation, de maintenance, de formation et même de gestion des ressources humaines. Elle dispose d’un certain nombre de prérogatives d’audit et d’alerte.
• Le parc électronucléaire d’EDF s’est doté d’un service de surveillance pointilleux : l’Inspection Nucléaire. Ce service a vocation à s’enquérir, par des audits impromptus ou systématiques, de l’application effective des Règles Générales d’Exploitation (RGE) - des Spécification Techniques d’Exploitation (STE), en particulier - et d’en rendre compte au plus haut niveau. Leurs actions peuvent donner lieu à de sévères rappels à l’ordre. Leurs observations et les instructions qui en découlent sont notoires sur l’ensemble du parc.

Le traitement efficace des écarts résulte de l’organisation très élaborée d’un Retour d’Expérience (REX) qui ne doit rien laisser dans l’ombre. Le REX s’élabore à deux niveaux : le niveau local (le site) et niveau national (le parc).

Tous les incidents d’exploitation et avaries de matériels font l’objet d’analyses locales consistant à :

• reconstituer finement le scénario de l’incident ou de l’avarie,
• identifier les causes profondes de l’événement,
• identifier ses conséquences potentielles dans le but d’en estimer la gravité et les risques de dégénérescence possibles,
• définir les mesures correctives immédiatement applicable sur le site,
• faire remonter l’ensemble de l’étude vers le service concerné du parc.

Au niveau du parc, la démarche suivante est constamment appliquée :

• Identification de similitudes permettant de constituer des ensembles de défaillances homogènes, à caractère générique ou précurseur,
• Lancement éventuel d’études concertées entre les niveaux local et national destinées à approfondir les causes d’une anomalie,
• Lancement de telles études, plus poussées, confiées aux départements techniques d’EDF chargés d’élargir le domaine de causalité et de trouver les remèdes appropriés. Certaines de ces analyses sont ensuite examinées par des groupes d’experts (groupes " fonctionnement ", " machines tournantes ", " machines statiques ", " électricité ", " automatismes ", " mécanique ").
• Enfin, l’importance des facteurs humains dans la survenue d’un incident peut être déterminée par une cellule composée de spécialistes locaux et/ou nationaux. Des modifications organisationnelles peuvent résulter des conclusions de leur analyse.

Outre sa superficialité, la description ci-dessus de la Défense En Profondeur - grâce à laquelle EDF revendique une sûreté de ses centrales de très haut niveau - est incomplète. Il y manque le chapitre " Défense en profondeur pendant le démantèlement des installations ". Vaste sujet, selon nous indissociable de la gestion des déchets, qui ne saurait être traité sommairement. Les débats polémiques et passionnés qu’engendre la gestion des déchets justifient qu’un exposé clair et complet soit consacré à ce thème.

Par ailleurs, il convient d’attirer l’attention du lecteur sur le fait que la protection contre les actes de malveillance - hélas ! d’une douloureuse actualité - n’est pas spécifiquement prise en compte dans une défense en profondeur conçue par des scientifiques et des techniciens. Pareille protection nous semble davantage relever de dispositions de sécurité civile, dont la Police, la Gendarmerie et l’Armée ont la responsabilité. Pour autant, il n’est pas inutile de se livrer à quelques spéculations destinées à montrer qu’un acte de malveillance - quelle qu’en soit la nature (acte de guerre exclu !) - a peu de chance de se traduire par une contamination radioactive importante des populations environnantes.

Quiconque a un peu pratiqué l’aéronautique sait que n’est pas Kamikaze " performant " qui veut. Il est ici question de pilote-suicide. Les Kamikazes japonais survivants peuvent attester que le rendement de leurs missions désespérées était décevant ; et pas seulement à cause de l’efficacité des défenses anti-aériennes américaines.

Ils étaient pourtant des professionnels aux commandes d’appareils, certes peu maniables, mais tout de même avions de combat. Rien à voir, en tout cas, avec nos patauds avions de commerce actuels dont des amateurs ou des " occasionnels " parviendraient à s’emparer ; le supplément d’efficacité obtenu par un " professionnel-pirate " demanderait d’ailleurs à être vérifié. La routine de son métier consiste à suivre un cap dont le terme, après une longue et patiente approche, est la piste de l’aéroport. Non seulement son appareil n’est pas conçus pour le vol à vue intégral, non seulement il est confié au pilotage automatique le plus clair du temps, mais il arrive - heureusement, dans de rares cas - que l’habileté de l’opérateur soit défaillante à l’atterrissage…

Les pistes modernes ont pourtant une centaine de mètres de largeur et, au moins, 2000 mètres de long, tandis que les navires américains engagés dans la bataille du Pacifique avaient une superficie moyenne proche du 1/2 hectare. Le bâtiment du réacteur d’une centrale PWR française n’a qu’une trentaine de mètres de diamètre et une cinquantaine de mètres de haut. De plus, il est enchâssé dans un ensemble de constructions pouvant gêner la trajectoire de tout projectile, voire constituer, au moins partiellement, un obstacle pour atteindre la cible.

Ces quelques considérations amènent à admettre que la destruction totale d’un réacteur nucléaire civil et de ses auxiliaires de sauvegarde ne serait pas chose facile pour les émules des pilotes ayant abattu les " Tours jumelles " ; une gageure dont nous convenons cependant qu’elle n’est pas impossible à réaliser.

Considérons donc l’impact. Outre l’évaluation de son rendement destructif tenant compte de ce qui vient d’être dit, l’estimation de la gravité des dégâts et de leurs conséquences sanitaires dépend surtout du niveau de prévention retenu à la construction des installations. Rappelons les principales dispositions en la matière :

• Le bâtiment du réacteur est conçu pour résister au choc d’un biréacteurs de 5,7 tonnes (LEAR JET 23) lancé à 360 Km/h,
• Les équipements redondants de sauvegarde sont variés et dispersés. Leurs organes vitaux sont placés dans les étages inférieurs du bâtiment (quand ils ne sont pas à l’extérieur). Pour les atteindre et provoquer leur neutralisation, il faudrait anéantir les écrans que représentent le génie civil du cloisonnement en béton, les massives structures d’acier, comme le pont tournant, la cuve du réacteur, le pressuriseur ou les générateurs de vapeur…Seul, un " dantesque " incendie échappant à tout contrôle pourrait peut-être parvenir à ce résultat.

Dans ces conditions, une seule question importe : ce type de bombardement peut-il être en mesure de neutraliser simultanément les 3 fonctions de sûreté que sont le contrôle de la réactivité, le contrôle du refroidissement du cœur et le contrôle du confinement des polluants radioactifs (gazeux principalement).

La réponse ne peut être que oui, mais avec quel degré vraisemblable de probabilité ? Certainement très faible ; au moins pour les deux premières fonctions. Car, l’Arrêt d’Urgence (A.U), automatique ou manuel, provoque quasi-instantanément la chute des barres de contrôle dans le cœur du réacteur et l’exploitant dispose de plus d’un moyen pour éviter son dénoyage. Des rejets radioactifs gazeux seraient, certes, inévitables - même pour une agression du circuit primaire infiniment moindre - mais une organisation de crise très structurée et déjà bien rodée prendrait aussitôt en charge la sécurité sanitaire des personnels et des populations environnantes avec une efficacité que personne ne peut aujourd’hui mettre en doute : les deux plans PUI et PPI déjà mentionnés, volets particuliers des plans ORSEC.

Miner le réacteur c’est, avant tout, parvenir jusqu’à lui. Dès lors, le problème de sécurité civile se poserait dans les mêmes termes que précédemment. Toutefois, la probabilité de succès d’une pareille entreprise est encore plus faible que celle du bombardement, car l’accès au bâtiment du réacteur est drastiquement réglementé.

Tranche en fonctionnement ou en arrêt de courte durée, l’accès à l’intérieur de ce bâtiment est interdit ou autorisé à de rares intervenants du service. Les sas de passage sont physiquement infranchissables : leur manœuvre - conditionnée par un automatisme d’identification et sous surveillance vidéo permanente - provoque des alarmes en salle de commande.

La seule période au cours de laquelle le sabotage pourrait être tenté est celle du rechargement du réacteur, généralement mise à profit pour réaliser des programmes d’entretien ou de réparation. Dans cette circonstance, des personnels d’entreprises extérieures, dont certains membres pourraient être animés d’intentions malveillantes, interviennent dans le bâtiment du réacteur.

Il convient, là encore, de relativiser le risque. En effet, durant ces périodes, les accès ne sont autorisés que nominativement et sous réserve du contrôle des habilitations, du recensement des matériels - à l’entrée et à la sortie pour une éventuelle décontamination - et de leur conformité. Par ailleurs, pour des raisons évidentes de sécurité, ces accès sont sévèrement contingentés : on sait, à chaque instant, qui se trouve dans le bâtiment et, bien entendu, en quel nombre.

Cela dit, il serait malhonnête de prétendre que le reste des installations d’une centrale - lui aussi parcouru par des intervenants extérieurs lors des arrêts de tranches - est aussi peu vulnérable que l’îlot nucléaire. Mais on est obligé d’admettre que les dégâts qui y seraient provoqués auraient, certes, des conséquences importantes sur la disponibilité, mais des conséquences faibles ou très faibles sur la sûreté et sur la sécurité des personnes. De ce point de vue, c’est certainement une destruction partielle ou totale du bâtiment du combustible qui poserait le plus de problèmes.

Pour conclure, on peut rassurer le lecteur en l’informant que des missions secrètes de pénétration menées par des agents de la DST permettent régulièrement d’améliorer la sécurité des sites de production électronucléaires français.