Dossier délivré pour

DOCUMENTATION
30/09/2008

Contrôle-commande des réacteurs

et des usines : architecture générale

par Bernard APPELL

Ingénieur de l’École supérieure d’électricité
Directeur adjoint du Service études et projets thermiques et nucléaires SEPTEN-EDF
Guy GUESNIER
Ingénieur de l’École supérieure d’électricité, Docteur-Ingénieur
Chef de la division contrôle-commande au SEPTEN-EDF
et Jean CHABERT
Ingénieur-conseil
Ancien Directeur technique SGN et chargé de mission à la Cogema (BR/DT)

1. Rôle et présentation d’un système de contrôle-commande......... BN 3 411 - 2

1.1 Généralités .................................................................................................... — 2
1.2 Les composants............................................................................................ — 3
2. Architecture du contrôle-commande des centrales nucléaires
de puissance............................................................................................... — 4
2.1 Contraintes imposées au contrôle-commande.......................................... — 4
2.2 Spécifications fonctionnelles du contrôle-commande.............................. — 5
2.3 Qualification.................................................................................................. — 8
2.4 Architecture générale fonctionnelle............................................................ — 9
2.5 Architecture des tranches REP françaises .................................................. — 10
2.6 Architecture de la centrale à neutrons rapides de Creys-Malville............ — 14
3. Contrôle-commande des usines de retraitement ............................ — 15
3.1 Contraintes imposées au contrôle-commande.......................................... — 15
3.2 Spécifications et conception du système de conduite .............................. — 15
3.3 Architecture et composants......................................................................... — 15
3.4 Évolutions du système de conduite............................................................ — 17
Pour en savoir plus ........................................................................................... Doc. BN 3 411

omme toute installation industrielle, les centrales nucléaires de production

C d’électricité ainsi que les installations de retraitement des combustibles
nucléaires irradiés nécessitent des moyens pour surveiller et commander le pro-
cédé physique et les équipements associés. Ces moyens sont regroupés sous
l’appellation « contrôle-commande ».
Le contrôle-commande est essentiellement constitué de capteurs permettant
de transformer les grandeurs physiques en signaux électriques, d’automates
permettant de traiter ces signaux, de moyens de surveillance et commande mis
à la disposition d’opérateurs et enfin d’actionneurs permettant de transformer
les signaux électriques de commandes en actions mécaniques sur le process.
La conception générale du contrôle-commande ainsi que les équipements
associés doivent répondre à des spécifications qui sont imposées par des
contraintes spécifiques résultantes du type de processus physique, des règles
imposées par la sûreté nucléaire et enfin des conditions d’exploitation.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire BN 3 411 - 1

Dossier délivré pour

DOCUMENTATION
30/09/2008
 Dossier délivré pour
DOCUMENTATION
30/09/2008
CONTRÔLE-COMMANDE DES RÉACTEURS ET DES USINES _____________________________________________________________________________________

Pour ce qui concerne le process physique, les contraintes sont tout à fait diffé-
rentes suivant la nature de l’installation. Elles ont cependant pour point commun
le fait que les combustibles nucléaires irradiés émettent une énergie en perma-
nence et donc que la continuité de service du contrôle-commande doit être
totale.
Pour ce qui concerne les règles liées à la sûreté nucléaire, il faut noter les exi-
gences très fortes sur tous les équipements constituant une barrière vis-à-vis de
produits radioactifs et ceux mis en place pour protéger ces barrières en cas
d’accidents.
Enfin, pour ce qui concerne les conditions d’exploitation, il faut noter les
contraintes liées à l’existence de zones à accès contrôlés aussi bien en raison
des problèmes d’irradiation que des problèmes de sécurité.
L’architecture de contrôle-commande est une architecture à trois niveaux : le
niveau 0 constitué des capteurs et des actionneurs, le niveau 1 constitué des
automates et le niveau 2 constitué de la salle de commande. Les niveaux 1 et 2
sont constitués aujourd’hui d’équipements à base de systèmes informatiques.
L’ensemble des équipements est classé en trois niveaux d’exigences, le niveau
1 étant le plus contraignant et conduisant généralement à des équipements
développés spécifiquement pour répondre à ces exigences.

1. Rôle et présentation
d’un système Instrumentation

de contrôle-commande

1.1 Généralités Process Automates Interface

homme-machine

Comme tout process industriel continu une centrale nucléaire ou

une usine de retraitement du combustible irradié nécessitent la mise
en place de moyens permettant de contrôler et commander le pro-
cessus physique qui s’y développe. Actionneurs

L’ensemble de ces moyens constitue l’architecture de contrôle-

commande (figure 1) :
Figure 1 – Structure du contrôle-commande
— la mesure des paramètres physiques est effectuée par
l’instrumentation ;
— la commande et la surveillance du process sont assurées par — des choix faits en matière de conduite (composition et organi-
les opérateurs au travers d’une interface homme-machine (organes sation de l’équipe de conduite, rôle et formation des opérateurs,
de commande, indicateurs, enregistreurs, écrans de visualisation, niveau d’automatisme, etc.) ;
etc.) située dans une salle de commande ;
— le traitement des signaux fournis par l’instrumentation et des — des critères de disponibilité liés aux missions de l’ouvrage ;
ordres donnés par les opérateurs pour piloter et surveiller le process — des critères de fiabilité liés aux exigences de sûreté.
est effectué par des automates. Ces automates exécutent des opéra-
tions sur des données binaires (automatismes logiques de type La sûreté nucléaire, c’est-à-dire les dispositions à prendre pour
« marche-arrêt ») ou sur des données variant de façon continue éviter puis maîtriser les rejets radioactifs et assurer la protection des
(automatismes de réglage, mesures). ouvrages et des populations, influe fondamentalement sur les
L’action sur le processus physique est réalisée par des action- contraintes de conception des centrales nucléaires. Cette influence
neurs. est moins forte sur la conception du contrôle-commande des usines
de retraitement du fait de l’indépendance des différents sous-
L’ensemble de l’architecture ainsi que les équipements la compo- ensembles et de la faible dynamique du procédé.
sant doivent répondre à un certain nombre de contraintes qui
constituent la base des spécifications des équipements. Enfin, les installations de retraitement comme les centrales
nucléaires sont des ouvrages nécessitant des investissements très
Ces contraintes sont avant tout liées aux missions de l’ouvrage et
élevés et dont la taille et l’étalement dans le temps de leur réalisa-
au procédé à maîtriser.
tion conduisent à des contraintes très fortes en particulier pour le
Les spécifications du contrôle-commande dépendront ainsi : contrôle-commande (obsolescence des équipements).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
BN 3 411 - 2 © Techniques de l’Ingénieur, traité Génie nucléaire

Dossier délivré pour

DOCUMENTATION
30/09/2008
Dossier délivré pour
DOCUMENTATION
30/09/2008
_____________________________________________________________________________________ CONTRÔLE-COMMANDE DES RÉACTEURS ET DES USINES

■ L’échelle et la durée de vie des ouvrages [Link] Moyens d’information

Aux caractéristiques du procédé, il faut ajouter certaines particu- Ils permettent à l’opérateur de connaître à tout instant la valeur
larités inhérentes à ces nouvelles installations : des paramètres physiques caractérisant l’état du process et celui
— taille gigantesque de l’investissement ; des circuits associés.
— durée importante de la réalisation (8 ans) soit une décennie
Ces moyens sont ceux couramment utilisés dans l’industrie : indi-
avec les études de conception ce qui impose le choix de technolo-
cateurs, enregistreurs, voyants, verrines d’alarme, mais aussi
gies suffisamment nouvelles pour que les systèmes ne soient pas
écrans de visualisation, installés sur des tableaux et/ou pupitres ;
obsolètes au démarrage des usines ;
l’impératif de tenue sismique de certains de ces matériels et de leur
— nécessité d’assurer la maintenance et l’évolution du système
supportage constitue, en particulier pour les écrans de visualisation
pendant les 30 ou 40 ans d’exploitation ;
dans les centrales nucléaires, un critère de sélection.
— nombre et diversité des intervenants (un maître d’ouvrage,
plusieurs sociétés d’ingénierie et d’études de sous-traitance, très
grand nombre de constructeurs et de sociétés de montage), ceci [Link] Moyens de commande
entraîne un travail important de coordination, de standards d’équi-
pement, de montage et de programmation. Ils permettent aux opérateurs d’agir sur les actionneurs pour
modifier l’état du process.
■ Les contraintes de sécurité Les moyens utilisés ne se différencient pas de ceux employés
Enfin, le système de conduite doit garantir un niveau rigoureux de dans l’industrie ; on trouve des touches, des tourner-pousser lumi-
sécurité de fonctionnement vis-à-vis des équipements (protection neux, des commutateurs, des relais de commande à main et des
de l’outil de travail), du personnel (contrôle de radioprotection) et de points de consigne, des claviers, boules roulantes, souris, écrans
l’environnement (surveillance de la radioactivité de l’air ambiant et tactiles.
des effluents liquides et gazeux).

1.2.3 Automates
1.2 Les composants
Les automates mis en œuvre dans les usines de retraitement sont
des automates industriels courants, le gigantisme des installations
1.2.1 Instrumentation induisant des contraintes particulières dans leur architecture et la
gestion de leurs données.
Les capteurs convertissent en signal électrique le phénomène Dans les centrales nucléaires, on distingue les automates impli-
physique qu’ils mesurent ; le signal produit est soit discontinu (cap- qués directement dans la sûreté de l’installation, qui sont dévelop-
teurs de type tout ou rien [manostats, thermostats, fin de pés spécifiquement pour ces applications, et les autres automates,
course, etc.]), soit continu (signal de type analogique ou numéri- produits industriels courants, sélectionnés pour satisfaire aux exi-
que). gences de sûreté de fonctionnement.
Les capteurs utilisés dans l’industrie nucléaire ne diffèrent pas, Les évolutions technologiques ont permis, dans les installations
pour la plupart de ceux utilisés dans les autres industries (thermo- récentes, de faire effectuer par le même type d’automates des traite-
couples, mesures de pression, de débit, sondes à résistance) ; toute- ments logiques et de réglage. Les technologies utilisées, d’abord
fois une attention particulière est apportée à leur fiabilité et pour conventionnelles (relayage électromagnétique, modules analogi-
certains d’entre eux des exigences sévères de tenue aux conditions ques câblés), ont fait appel au relayage statique, puis, depuis une
d’environnement (température, humidité, rayonnement) sont spéci- quinzaine d’années, aux systèmes programmables.
fiées.
Une instrumentation particulière a été développée pour quelques
applications telles : 1.2.4 Actionneurs
— dans les centrales à eau sous pression :
• les chambres extérieures de mesures de flux neutronique, L’actionneur est l’équipement électromécanique qui reçoit du sys-
• les chambres internes de mesure de flux, tème de contrôle-commande un signal électrique (tout ou rien ou
• les mesures de position des grappes de contrôle, variant de façon continue) et qui le convertit en un phénomène phy-
• les mesures de radioprotection, sique. L’ensemble appareil de coupure, moteur, pompe est consi-
— dans les centrales à neutrons rapides : déré comme un actionneur. Une vanne motorisée, un disjoncteur
d’un tableau de distribution, un mécanisme de commande de
• les détecteurs de fuite et de feu sodium. grappe de contrôle sont des actionneurs.
Pour l’instrumentation spécifique, on se reportera à l’article Ins-
Les actionneurs ne sont pas généralement différents de ceux utili-
trumentation nucléaire dans les réacteurs [B 3 410].
sés dans l’industrie, toutefois, comme pour l’instrumentation, une
Dans les usines de retraitement comme dans les centrales attention particulière est apportée à leur fiabilité et pour certains
nucléaires, des réflexions sont en cours pour l’utilisation de d’entre eux des exigences sévères de tenue aux conditions d’envi-
« capteurs » intelligents ou de « cellules » intelligentes permettant ronnement (température, humidité, rayonnement) sont spécifiées.
de déporter le plus possible les traitements et de ne transporter que
des signaux élaborés à l’aide de bus de terrain.
1.2.5 Liaisons entre les composants
1.2.2 Interface homme-machine
Les besoins en information et le traitement de cette information
liés à la conduite des installations nécessitent de plus en plus de
La conduite des centrales et des usines de retraitement est cen- liaisons par bus entre les composants :
tralisée dans une salle de commande. Des moyens locaux sont
conservés essentiellement pour des opérations de maintenance et, — liaison par bus de terrain entre les capteurs et les automates ;
dans le cas des usines de retraitement, pour des actions de sauve- — liaison par bus rapides entre les automates et les équipements
garde. informatisés de conduite. Ces liaisons doivent répondre à des spéci-

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire BN 3 411 - 3

Dossier délivré pour

DOCUMENTATION
30/09/2008
 Dossier délivré pour
DOCUMENTATION
30/09/2008
CONTRÔLE-COMMANDE DES RÉACTEURS ET DES USINES _____________________________________________________________________________________

fications très serrées en matière de débit et de temps de réponse mise en place d’une instrumentation interne permettant de mesurer
pour faire face aux problèmes d’avalanches. les paramètres physiques au niveau du combustible. L’implantation
d’une partie de l’instrumentation à l’extérieur de la cuve conduit à
un accès indirect au paramètre que l’on veut contrôler d’où des trai-
En conclusion, l’architecture de contrôle-commande sera tements du signal nécessitant des techniques numériques.
essentiellement guidée pour les centrales nucléaires par le pro-
blème de la conduite des installations et de l’interface homme- Enfin l’existence, en situation d’arrêt, cœur chargé, d’une puis-
machine [B 3 421] alors que pour les usines l’architecture sera sance résiduelle et donc d’une production permanente d’énergie,
essentiellement guidée par la surveillance des installations et nécessite une disponibilité permanente des moyens de contrôle et
donc l’acquisition et la transmission des informations sans pour de commande des systèmes d’évacuation de cette énergie pour évi-
autant, bien sûr, négliger l’interface homme-machine. ter la détérioration du combustible. Cette caractéristique a conduit à
définir plusieurs états « d’arrêt » du réacteur :
— l’état d’arrêt chaud caractérisé par un état sous critique et un
circuit primaire chaud et en pression ;
— l’état d’arrêt froid caractérisé par un état sous critique
2. Architecture du contrôle- (avec marges d’antiréactivité élevées) avec réacteur froid
(180 °C > s > 60 °C) et pression faible (quelque bar) ;
commande des centrales — l’état d’arrêt pour rechargement caractérisé par une forte anti-
nucléaires de puissance réactivité, une température inférieure à 60 °C et la pression atmos-
phérique.
Les exigences de fiabilité imposées aux équipements de contrôle-
commande dépendent de l’état d’arrêt pour lesquels ils sont néces-
2.1 Contraintes imposées saires.
au contrôle-commande En conclusion, le process d’une centrale à neutrons thermiques à
eau sous pression impose :
— un niveau d’automatisme peu élevé pour les phases de démar-
2.1.1 Fonctions d’une centrale nucléaire rages et d’arrêts ;
— un niveau d’automatisme élevé pour la première phase des
La fonction première d’une centrale électrique est de produire de accidents compte tenu de la rapidité des phénomènes physiques et
l’électricité avec une continuité de service la meilleure possible. En de la complexité du diagnostic. Ces automatismes seront actionnés
matière de contrôle-commande cela se traduit par des exigences de par un système de protection performant et fiable ;
sûreté de fonctionnement (disponibilité, maintenabilité, fiabilité) — un traitement d’aide à l’application des procédures poussé et
des équipements. Par ailleurs, la centrale doit pouvoir participer à la fiable afin de permettre un diagnostic et une conduite après un inci-
tenue en tension et en fréquence du réseau. Ceci est obtenu grâce dent ou un accident la plus sûre possible ;
aux régulations du groupe turbo-alternateur et des grappes de — une disponibilité très poussée du contrôle-commande dans
contrôle du réacteur. Cette exigence conduit à assurer le réglage de tous les états du réacteur, en particulier les états d’arrêts.
fréquence à l’aide de la régulation de vitesse de la turbine (réglage
primaire) associée à un signal élaboré par le dispatching national [Link] Réacteurs à neutrons rapides refroidis au sodium
agissant sur la puissance du réacteur (réglage secondaire). Elle
nécessite des performances de rapidité sur ces équipements. Enfin À la différence des réacteurs de type REP, les réacteurs à neutrons
la centrale devra pouvoir s’adapter à l’équilibre production-consom- rapides refroidis au sodium ont un circuit primaire à la pression
mation sur le réseau en offrant des capacités de variations de charge atmosphérique.
dans des délais donnés. La température élevée du sodium leur confère, malgré l’existence
d’un circuit intermédiaire, des caractéristiques de pression et de
température de la vapeur qui leur permettent un rendement supé-
2.1.2 Contraintes fonctionnelles rieur à celui des centrales REP et une très grande inertie thermique,
ce qui rend leur fonctionnement très stable. Par contre, le cœur n’est
Les centrales nucléaires françaises sont basées sur deux types de pas dans la configuration la plus réactive, ce qui a pour consé-
process : les réacteurs à neutrons thermiques, modérés et refroidis quence qu’une attention particulière sera portée aux systèmes
par de l’eau légère sous pression et les réacteurs à neutrons rapides d’arrêt et aux dispositifs destinés à prévenir la fusion du combusti-
refroidis au sodium. ble. Également, les risques liés à la mise en contact, dans les géné-
rateurs de vapeur, du sodium et de l’eau nécessitent des systèmes
[Link] Réacteurs à neutrons thermiques à eau légère sous de protection particuliers.
pression
Les phénomènes thermodynamiques mis en œuvre dans un réac- 2.1.3 Contraintes de sûreté
teur à neutrons thermiques à eau légère sous pression (REP) sont
des phénomènes relativement peu complexes dans les conditions
normales d’exploitation : chaudière à circulation forcée avec pressu- La sûreté nucléaire impose une défense en profondeur des barriè-
riseur. Le circuit primaire (incluant la cuve du réacteur) est mono- res isolant les produits de fission. Cette défense est réalisée, d’une
phasique. Les phénomènes physiques sont lents compte tenu de la part, par des mesures de prévention et, d’autre part, par des moyens
forte inertie thermique du circuit primaire. de mitigation des accidents qui mettraient en cause l’intégrité des
barrières.
Par contre, les accidents peuvent conduire à des états diphasiques
en cuve, états qui deviennent très difficiles à appréhender (difficul- Les règles de sûreté imposent des contraintes sur tous les équipe-
tés de diagnostic) et à contrôler. ments jugés nécessaires pour la prévention ou la mitigation des
accidents. Pour prendre en compte ces contraintes, les équipements
De plus, les phénomènes physiques peuvent alors évoluer très sont identifiés et classés sur la base d’études de sûreté. Ces études
vite et nécessiter des temps de réaction très rapides. sont menées suivant deux approches : l’approche déterministe ou
Par ailleurs, le fonctionnement en pression du réacteur (160 bar) approche de dimensionnement et l’approche probabiliste ou appro-
impose une forte épaisseur des parois de la cuve qui rend difficile la che complémentaire.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
BN 3 411 - 4 © Techniques de l’Ingénieur, traité Génie nucléaire

Dossier délivré pour

DOCUMENTATION
30/09/2008
Dossier délivré pour
DOCUMENTATION
30/09/2008
_____________________________________________________________________________________ CONTRÔLE-COMMANDE DES RÉACTEURS ET DES USINES

Le niveau de classement d’un équipement étant identifié, il

Conséquences radiologiques s’ensuit, pour cet équipement, des exigences concernant sa redon-
dance, sa fiabilité, sa qualification et le niveau de contrôle en exploi-
tation requis.

4e Zone inacceptable 2.1.4 Contraintes d’exploitation

catégorie
Risque résiduel

L’exploitation des tranches nucléaires induit des contraintes qui

3e sont spécifiques au nucléaire mais pas au type de filière (eau légère,
catégorie rapide, etc.).
La première contrainte est bien entendu liée aux problèmes d’irra-
2e catégorie Fonctionnement
normal
diation et de contamination nucléaire. L’accès à toute zone compor-
tant un risque d’irradiation ou de contamination est contrôlé, d’où
Système de protection une perte de temps pour toute intervention. Il est donc spécifié que
Systèmes de sauvegarde (arrêt d'urgence) Régulations tout équipement de contrôle-commande nécessitant des interven-
10 –6 10 –4 10 –2 1 tions fréquentes pour dépannage ou maintenance doit être implanté
Fréquence de sollicitations par an hors zone contrôlée. De plus, tous les équipements qui sont installés
dans une zone sensible aux rayonnements doivent être qualifiés
Figure 2 – Diagramme fréquence-conséquences pour un tel environnement. Ceci est particulièrement vrai pour les
équipements implantés dans l’enceinte de confinement et qui doi-
vent continuer à fonctionner après un accident. Les niveaux d’irra-
Au titre de l’approche déterministe, les différentes situations diation atteints dans ces situations rendent très difficile l’utilisation
(dites situations de dimensionnement) dans lesquelles peut se trou- de certains équipements électroniques.
ver le réacteur sont classées en quatre catégories suivant la proba- La deuxième contrainte est liée à la surveillance en exploitation
bilité de l’initiateur de la situation : imposée par la réglementation dans le domaine nucléaire. Cette sur-
— catégorie 1 : situations normales de fonctionnement ; veillance comporte plusieurs aspects :
— catégorie 2 : incidents ayant une fréquence de 1 à 10-2 par an ; — les spécifications techniques d’exploitation : elles ont pour but
de fixer, d’un commun accord entre les autorités de sûreté et
— catégorie 3 : accidents de fréquence très faible de l’ordre 10-2 l’exploitant, les règles d’exploitation à appliquer en cas de sortie du
à 10-3 par an ; domaine « normal de fonctionnement ». Ces spécifications nécessi-
— catégorie 4 : accidents hautement hypothétiques de fréquence tent pour être appliquées un système de surveillance qui doit être
£ 10-4 par an. intégré au contrôle-commande ;
— les tests périodiques : leur but est de s’assurer, à intervalles
À chaque catégorie d’accident est associé un niveau de consé-
fixés à l’avance, du bon fonctionnement des équipements classés et
quences acceptables sur les barrières et vis-à-vis des populations
en particulier des équipements de contrôle-commande. Ces tests
environnantes (figure 2).
périodiques nécessitent des mesures particulières pour les équipe-
La démonstration de sûreté consiste à analyser les différents scé- ments de contrôle-commande ;
narios d’accidents, suivant des règles conventionnelles, à identifier — la « comptabilisation des situations de conception » exigée
les équipements nécessaires pour faire face à ces situations et à par l’arrêté de 1974 : elle s’applique au circuit primaire et consiste à
démontrer que les conséquences sont acceptables compte tenu de dénombrer les situations où les zones critiques du circuit primaire
la catégorie de la situation : (piquages par exemple) sont soumises à contraintes, afin de s’assu-
— pour la catégorie 1, l’ensemble des transitoires doit être sans rer que le nombre de ces situations est bien conforme aux hypothè-
conséquence et permettre la continuité de la production d’énergie. ses prises en compte dans le dossier de dimensionnement du circuit
Pour ce qui concerne le contrôle-commande on trouvera dans cette primaire. Cette comptabilisation nécessite également des mesures
catégorie l’ensemble des chaînes de régulation et des automatismes particulières dans le domaine du contrôle-commande.
permettant de maintenir les paramètres du process à l’intérieur du
domaine autorisé de fonctionnement ;
— pour la catégorie 2, l’ensemble des incidents ne doit conduire 2.2 Spécifications fonctionnelles
qu’à une interruption de la production d’énergie par arrêt d’urgence du contrôle-commande
du réacteur (chute des barres de contrôle), sans aucune consé-
quence sur les barrières. L’étude de ces incidents va permettre de
définir les exigences fonctionnelles du système de protection réac- Les spécifications fonctionnelles d’un système de contrôle-com-
teur par arrêt d’urgence ainsi que les réglages de ces protections ; mande ont pour objet de préciser comment doit se positionner ce
— pour les catégories 3 et 4, les accidents pourront conduire à système au regard des contraintes de sûreté, d’exploitation, fonc-
des conséquences limitées sur les barrières. L’étude de ces acci- tionnelles, exprimées ci-avant.
dents permettra de définir les exigences fonctionnelles des systè- Deux aspects principaux sont donc développés ci-après :
mes de sauvegarde (prévus pour la mitigation de ces accidents) et — le classement au regard de la sûreté et les exigences
de leur contrôle-commande associé. associées ;
L’ensemble de cette démarche déterministe permet d’identifier les — les dispositions retenues en matière d’exploitation.
matériels de contrôle-commande qui doivent être classés et de défi-
nir les exigences fonctionnelles associées. 2.2.1 Classement au regard de la sûreté
Une démarche complémentaire, s’appuyant sur les études proba- La prise en compte des contraintes de sûreté, en particulier vis-à-
bilistes, conduit à identifier des situations, dites situations complé- vis des quatre catégories de situations, conduit à identifier les systè-
mentaires, exclues du domaine des situations de dimensionnement mes de contrôle-commande au regard de leur fonction de sûreté.
mais ayant un poids non négligeable dans la probabilité de fusion
du cœur. L’étude de ces situations permet en particulier d’identifier On distingue :
les équipements de contrôle-commande nécessaires pour les maî- — le système de protection : système de sûreté qui décèle les
triser. Ces équipements seront également classés. écarts par rapport aux conditions acceptables de la centrale et qui

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire BN 3 411 - 5

Dossier délivré pour

DOCUMENTATION
30/09/2008
 Dossier délivré pour
DOCUMENTATION
30/09/2008
CONTRÔLE-COMMANDE DES RÉACTEURS ET DES USINES _____________________________________________________________________________________

donne les ordres nécessaires au maintien de la sûreté. Ce système calculateurs utilisés dans les systèmes de sûreté des centrales
est conçu de façon à provoquer automatiquement l’arrêt d’urgence nucléaires » et qu’il ait un niveau de fiabilité global de 10-5 à la
du réacteur et à mettre automatiquement en action les systèmes de demande.
sauvegarde dont les fonctions sont d’assurer l’évacuation de la puis- Enfin, simultanément, l’autorité de sûreté a demandé d’identifier
sance du cœur et l’intégrité de l’enceinte de confinement. Il inter- les équipements « importants pour la sûreté, non classés » (IPS-NC).
vient durant les premières dizaines de minutes après l’événement Les exigences associées à ces équipements sont essentiellement :
initiateur ;
— les systèmes support des systèmes de sauvegarde : ce sont les — la surveillance lors de la conception, de la fabrication et du
systèmes dont le bon fonctionnement est nécessaire à celui des sys- montage, par application d’un programme assurance qualité ;
tèmes de sauvegarde ; ces systèmes sont généralement en fonction- — la surveillance en exploitation par des tests périodiques. La
nement au moment d’un accident ; demande de l’autorité de sûreté de conserver une redondance
— les systèmes nécessaires à la maîtrise à moyen et long terme durant les tests périodiques a conduit à adopter une architecture du
d’un accident ; système de protection à quatre trains.
— les systèmes non impliqués dans la sûreté. Pour ce qui concerne l’approche complémentaire, la situation du
palier 900 MW a été pratiquement reconduite.
Les exigences applicables à ces familles d’équipement ont évolué
au fil du temps dans les centrales françaises.
[Link] Palier 1 450 MW
On distingue, dans ces évolutions, trois étapes correspondant aux
trois paliers techniques de la filière REP en France, le palier des tran- Pour le palier 1 450 MW (N4) l’autorité de sûreté a exigé que
ches 900 MW, celui des tranches 1 300 MW et celui des tranches soient classées non seulement les mesures nécessaires à la
1450 MW. De nouvelles évolutions sont à l’étude pour les tranches conduite accidentelle mais également toutes les commandes asso-
du futur (projet EPR). La centrale de Creys-Malville (neutrons ciées à cette conduite. Compte tenu du nombre important d’équipe-
rapides 1 200 MW) se situe à un niveau d’exigences voisin de celui ments concernés, l’autorité de sûreté a accepté la demande d’EDF
du palier 900 MW. de prévoir deux niveaux de classification : 1E et 2E.
La classe 1E concerne, outre le système de protection comme
[Link] Palier 900 MW pour les paliers précédents, les systèmes supports des systèmes de
sauvegarde et la régulation des vannes vapeur de décharge à
Pour le palier 900 MW, le classement de sûreté des systèmes élec-
l’atmosphère. La classe 2E concerne tous les équipements nécessai-
triques et de contrôle-commande se limite à un seul niveau appelé
res pour la conduite post accidentelle. Les différences d’exigences
1E. À cette époque (début des années 1970), les études d’accident ne
entre niveaux 1E et 2E portent essentiellement sur l’architecture, les
portaient que sur la phase court terme de cet accident. Seuls étaient
tests périodiques, la conformité à la norme CEI 880.
classés les équipements nécessaires durant cette phase c’est-à-dire
en fait uniquement le système de protection. Pour ce qui concerne l’approche complémentaire, des situations
ont été ajoutées à celles retenues pour les paliers 900 et 1 300 MW
À ce niveau de classement 1E des équipements de contrôle-
et les exigences associées aux équipements nécessaires à la mitiga-
commande étaient associées les exigences suivantes :
tion de ces situations ont été formalisées au titre de la classe SH.
— respect du critère de défaillance unique : critère qui est res-
pecté par un ensemble de matériels si cet ensemble peut remplir
son objet malgré une défaillance unique aléatoire qui est supposée En résumé, le classement actuellement appliqué et les exigen-
survenir en un point quelconque de l’ensemble. Le respect de ce cri- ces précises associées sont présentés dans le tableau 1.
tère a conduit à une redondance d’ordre 2 (deux trains de protec-
tion) et à une séparation physique et galvanique de chaque train ;
— qualification du système aux conditions d’environnement : la Tableau 1 – Classement au regard de la sûreté et exigences
tenue au séisme est imposée et les matériels (capteurs) installés
dans l’enceinte doivent être qualifiés aux conditions accidentelles ; Classe
— essais périodiques possibles avec tranche en fonctionnement Exigences prescrites
de sûreté
(test d’un train de protection par mois) : durant ces essais le fonc-
tionnement sans redondance est admis. 1E Redondance (respect du critère de défaillance unique).
Indépendance (séparation géographique ou physique
Pour ce qui concerne l’approche complémentaire une liste de et électrique).
situations a été définie a priori, sans exigences particulières pour les Secours par des sources électriques internes respec-
équipements nécessaires pour éviter la fusion du cœur (perte totale tant les principes d’indépendance et de redondance.
des alimentations électriques externes et internes, perte totale de la Qualification des matériels aux conditions d’ambiance.
source froide, perte totale des systèmes d’injection de sécurité et Classement sismique.
Aptitude aux essais périodiques dans tous les états
d’aspersion, etc.). standard de la tranche.
Conception et construction selon le RCCE [2].
[Link] Palier 1 300 MW Application de l’arrêté qualité de 1974.
Pour le palier 1 300 MW l’autorité de sûreté a demandé la prise en 2E Exigences à définir au cas par cas en fonction du rôle
compte, dans le classement des équipements, de l’ensemble des joué par les systèmes ; a minima, sont à respecter les
exigences suivantes :
mesures nécessaires pour le diagnostic des accidents et la conduite
post accidentelle. Pour identifier ces mesures, a été définie la notion — alimentations électriques secourues ;
d’état d’arrêt sûr. C’est un état du réacteur, après accident, consi- — qualification aux conditions d’ambiance ;
déré comme stable, pour lequel les valeurs des principaux paramè- — classement sismique ;
tres physiques ne présentent pas un danger pour les barrières ; en — aptitude aux essais périodiques en exploitation ;
fait, pour la plupart des accidents, cet état sûr est très proche de — conception et construction selon le RCCE.
l’état d’arrêt à froid. Le niveau de classement requis pour ces équi- Application de l’arrêté qualité de 1974.
pements est le même que celui du système de protection c’est-à- SH Idem 2E à l’exception de l’alimentation électrique
dire 1E. secourue.
À la même période (fin des années 1970), compte tenu de la mise IPS-NC Exigences définies au cas par cas, avec au minimum :
en œuvre de logique programmée, il a été exigé que le système de — la possibilité d’essais périodiques ;
protection soit conforme à la norme CEI 880 [1] « Logiciels pour les — l’application de l’arrêté qualité de 1974.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
BN 3 411 - 6 © Techniques de l’Ingénieur, traité Génie nucléaire

Dossier délivré pour

DOCUMENTATION
30/09/2008
Dossier délivré pour
DOCUMENTATION
30/09/2008
_____________________________________________________________________________________ CONTRÔLE-COMMANDE DES RÉACTEURS ET DES USINES

[Link] Réacteurs REP du futur (projet EPR) — un chef d’exploitation responsable de l’équipe. Il assure, en
situation accidentelle, le rôle de l’ingénieur de sûreté jusqu’à l’arri-
Pour les réacteurs du futur, la démarche de classement de sûreté vée de celui-ci ;
a été réexaminée. Les fonctions, états physiques et équipements
— deux cadres techniques (un par tranche) en appui du chef
concernés dans l’accomplissement des trois objectifs fondamen-
d’exploitation. Ils assurent le rôle de superviseurs en situation acci-
taux de sûreté que sont la maîtrise de la réactivité, l’évacuation de
dentelle ;
la puissance résiduelle et la limitation des rejets ont été reformulés.
— quatre opérateurs, (deux par tranche) chargés, en particulier
Les fonctions considérés sont celles nécessaires à l’atteinte et au en situation accidentelle l’un de la conduite du réacteur, l’autre de
maintien, sans limitation de durée a priori, d’un état sûr de la tran- celle du circuit eau-vapeur ;
che en situation normale comme en situation accidentelle. — deux techniciens d’exploitation pour la conduite du bâtiment
Les états physiques considérés, au nombre de deux, sont définis des auxiliaires nucléaires ;
à partir des paramètres physiques de la tranche de la façon — des agents de terrain (techniciens d’exploitation et rondiers).
suivante :
— l’état contrôlé correspond à la fin du transitoire qui fait suite à [Link] Niveau d’automatisme
l’apparition de l’initiateur incidentel ou accidentel, à savoir lorsque La répartition des tâches entre l’opérateur et le système de
la situation est maîtrisée et que la réactivité est contrôlée et que le contrôle-commande (plus communément désigné par « niveau
refroidissement du cœur est assuré via une chaîne ouverte (ou fer- d’automatisme ») a assez peu évolué entre les différents paliers.
mée) d’évacuation d’énergie ;
— l’état sûr correspond à un état où l’évacuation de la puissance Ce niveau d’automatisme est réduit dans la plupart des cas à la
résiduelle est assurée durablement. Le cœur est sous critique, l’éva- « commande principale d’actionneur » c’est-à-dire la commande
cuation de la puissance résiduelle est assurée via une chaîne de d’un actionneur (pompe par exemple) et de ses auxiliaires (grais-
refroidissement fermée, les rejets sont maintenus dans les limites sage, refroidissement, étanchéité, etc.). Il n’y a pas d’automatismes
de la catégorie de fonctionnement considérée. séquentiels pour la mise en ou hors service de fonctions (hormis sur
le réacteur rapide de Creys-Malville qui dispose de quelques com-
En outre, au-delà du domaine de base du dimensionnement (com- mandes séquentielles de sous-ensembles fonctionnels).
mun à tous les paliers) et en extension des situations complémentai-
res, a été créé un domaine « d’extension du dimensionnement » qui Toutes les opérations de démarrage, c’est-à-dire le passage de
prend en compte des objectifs probalistes associés à la prévention l’arrêt à froid jusqu’à l’arrêt à chaud, se font manuellement. La diver-
de la fusion du cœur et au dépassement du rejet limite de concep- gence est manuelle. Par contre, la montée en puissance ainsi que les
tion. variations de puissance se font par commande de l’ouverture de la
turbine, la puissance thermique délivrée par le réacteur s’ajustant
Des classes fonctionnelles de sûreté ont été définies : sous l’action des régulations. La mise à l’arrêt est manuelle sauf
— une classe F1 subdivisée en F1A et F1B pour la mitigation des bien entendu en cas d’accident. Le passage de l’état d’arrêt chaud à
accidents de la base de dimensionnement jusqu’à l’état sûr ; l’état d’arrêt froid est manuel sur les paliers 900 et 1 300 MW et auto-
— une classe F2 pour maintenir en état sûr, en relais des fonc- matique pour le palier N4.
tions F1 au-delà de 24 heures, lors des accidents de la base de Pour ce qui concerne les actions de protection des équipements
dimensionnement. ou du réacteur, la règle consiste à automatiser toute action nécessi-
La classe F1A comprend l’ensemble des fonctions nécessaires tant un délai de réaction de l’opérateur inférieur à une certaine
pour permettre l’atteinte de l’état contrôlé (sans exigences tempo- valeur.
relles). Pour les paliers 900 et 1 300 MW, les temps de réaction pris en
La classe F1B comprend l’ensemble des fonctions nécessaires à compte sont de 10 minutes pour les situations incidentelles de caté-
l’atteinte et au maintien de l’état d’arrêt sûr à partir de l’état contrôlé. gorie 2 et de 30 minutes pour les situations accidentelles de catégo-
ries 3 et 4. Pour le palier N4 ce délai est de 20 minutes quelle que soit
La classe F2 comprend l’ensemble des fonctions nécessaires pour la catégorie de situation. Pour les tranches du futur ce délai est porté
maintenir l’état sûr de la tranche au titre des accidents de dimen- à 30 minutes pour toutes les catégories d’accidents.
sionnement, en relais des fonctions F1, au-delà de 24 heures, et à
celles considérées au titre de l’extension du dimensionnement. Pour toutes les actions de protection ne mettant pas en cause la
sûreté nucléaire, le délai de réaction admis est de 5 minutes.
À ces classes fonctionnelles sont associées des classes d’exigen-
ces applicables aux équipements ; pour les matériels et systèmes de
contrôle-commande on trouve trois classes d’exigences E1A, E1B et [Link] Traitement d’alarme
E2 ; la définition et la gradation de ces exigences sont en cours Les alarmes ont pour objet d’alerter l’opérateur lorsqu’un para-
d’élaboration dans l’ETC-I (EPR Technical code -Instrumentation mètre sort de la plage normale de mesure prévue dans une situation
and control) qui définit les règles de conception et de construction de tranche donnée ou lorsqu’une défaillance d’un matériel est
pour l’EPR dans le domaine contrôle-commande. détectée. L’opérateur doit alors suivre les instructions figurant sur
une fiche d’alarme ou une procédure de conduite.
La règle générale, en vigueur sur l’ensemble des paliers, est de
2.2.2 Dispositions en matière d’exploitation classer les alarmes en quatre catégories, identifiées par des cou-
leurs, et basées sur l’urgence d’intervention de l’opérateur.
Ces dispositions, communes à l’ensemble des paliers,
On trouve :
concernent :
— en rouge les alarmes correspondant à un défaut nécessitant
— l’organisation de la conduite ; une intervention rapide de l’opérateur, le défaut étant susceptible
— le niveau d’automatisme ; d’évoluer rapidement ;
— la classification des alarmes. — en jaune les alarmes correspondant à un défaut nécessitant
une action correctrice dans les 5 minutes si les moyens de com-
[Link] Organisation de la conduite mande sont en salle de commande, 10 à 30 minutes s’il est néces-
saire d’intervenir en local ;
La composition de l’équipe de conduite est commune à l’ensem- — en vert les alarmes traduisant une action automatique de pro-
ble du parc nucléaire EDF. tection conduisant au passage à charge nulle [arrêt automatique du
Définie pour une paire de tranche, elle comporte : réacteur (AAR), déclenchement turbine îlotage...] de la tranche.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire BN 3 411 - 7

Dossier délivré pour

DOCUMENTATION
30/09/2008
 Dossier délivré pour
DOCUMENTATION
30/09/2008
CONTRÔLE-COMMANDE DES RÉACTEURS ET DES USINES _____________________________________________________________________________________

L’opérateur doit s’assurer que les actions automatiques se dérou- [Link] Exigences fonctionnelles du système de protection
lent correctement ;
Les marges de fonctionnement du réacteur c’est-à-dire ses perfor-
— en blanc les informations de changement de configuration
mances en matière de niveau de puissance ou de gestion du cycle
(passage normal-secours par exemple).
combustible dépendent beaucoup de l’efficacité du système de pro-
Les traitements et modes de présentation associés à ce classe- tection et de l’instrumentation associée.
ment ont évolué entre les tranches 900 MW et 1 450 MW.
Pour le palier 900 MW, la conception du cœur, associée à un
Sur le palier 900 MW les alarmes sont présentées sur verrine, les niveau de puissance linéique du combustible relativement faible
traitements d’inhibition et de masquage sont peu développés avec, conduit à des exigences fonctionnelles compatibles avec des traite-
pour conséquence, l’apparition non seulement de l’alarme associée ments simples associés à une instrumentation classique. Ces exi-
au défaut à l’origine de l’incident, mais aussi celles liées aux événe- gences ont pu facilement être respectées par un système de
ments générés par cet incident. protection combinant des traitements sur des signaux analogiques
et des logiques à relais électromagnétiques.
Un traitement dit « de premier défaut » effectué par le système
informatique d’aide à la conduite permet de pallier, en partie, cet Pour les tranches 1 300 et 1 450 MW, la conception beaucoup plus
inconvénient. performante du cœur a conduit à des exigences fonctionnelles
« pointues » qui ont nécessité le développement d’un équipement
Une autre conséquence de cette absence de traitement est la pré-
numérique programmmé.
sence, en situation d’arrêt de tranche, de fausses alarmes (l’événe-
ment générateur n’étant pas un défaut dans cette situation D’une façon générale, le système de protection réacteur est un
d’exploitation). système à relais ou informatique spécifique. Il est basé sur un
niveau de redondance 2 (1 sur 2) pour le palier 900 MW et sur un
Sur le palier 1 300 MW les alarmes rouges sont présentées sur
niveau de redondance 4 (2 sur 4) pour les paliers 1 300 et 1 450 MW
verrines et toutes les autres sont affichées sur des écrans ; le traite-
[B 3 410].
ment de masquage et d’inhibition a été développé et prend en
compte les situations d’arrêt de tranche (l’affichage de la situation
étant effectué par l’opérateur).
Ce traitement d’inhibition d’alarme a été implanté en partie a pos- 2.3 Qualification
teriori sur le palier 900 MW à la suite de l’accident de Three Miles
Iland.
Enfin, sur le palier 1 450 MW la totalité des alarmes est présentée Les règles de conception et de construction des matériels électri-
sur écran, le traitement et la hiérachisation ont été renforcés. ques des îlots nucléaires définies dans le RCCE [2] s’appliquent à
l’ensemble du système de contrôle-commande. Ce recueil comporte
Le mécanisme d’affichage est le même à savoir : les procédures de qualification, dont le but est de s’assurer que le
— pour les verrines : matériel est apte à l’usage pour lequel il est destiné.
• clignoté rapide à l’apparition, avec signal sonore, La qualification d’un système de contrôle-commande comporte
• passage en feu fixe lors de l’acquittement par l’opérateur, deux aspects :
• clignoté lent à la disparition et extinction lors de l’acquitte- — la qualification des matériels du système ;
ment par l’opérateur ; — la qualification (ou validation) fonctionnelle du système.
— sur les écrans :
• à l’apparition seul le repère de l’alarme clignote,
• à la disparition le clignoté lent est remplacé par le passage du
2.3.1 Qualification des matériels
texte en couleur magenta.
Les procédures de qualification des matériels visent à donner
l’assurance qu’un matériel est apte à remplir ses fonctions spéci-
[Link] Traitement de l’information
fiées dans les conditions d’ambiance spécifiées.
Pour faciliter la tâche des opérateurs, le traitement d’alarme est On distingue, selon les conditions d’ambiance, quatre classes :
complété par un traitement de l’information associé à des aides-
opérateurs. — la qualification classique, correspondant aux conditions
d’ambiance normales ; c’est la procédure applicable aux systèmes
Ce traitement complémentaire comporte essentiellement pour les non classés et IPS-NC ;
paliers 900 et 1 300 MW : — la qualification K3, correspondant aux conditions d’ambiance
— le journal de bord permettant de faire de l’analyse d’incident normale, hors enceinte de confinement, et sous sollicitations sismi-
en ligne ou en différé ; ques ; elle concerne la totalité du contrôle-commande de classe 1E
— la surveillance des équipements en complément à la sur- et 2E, à l’exclusion des capteurs installés dans l’enceinte de confine-
veillance par alarmes ; ment ;
— la présentation sous une forme ergonomique des paramètres — les qualifications K1 et K2 qui concernent les matériels installés
de fonctionnement et leur évolution dans le temps ; dans l’enceinte de confinement et qui doivent remplir leur fonction
— l’aide au pilotage du réacteur ; sous sollicitation sismique et dans les conditions d’ambiance acci-
dentelle (K2) et postaccidentelle (K1). Seule l’instrumentation de
— l’aide à la conduite postaccidentelle.
classe 1E et 2E est concernée, aucun autre équipement de contrôle-
Ces traitements sont réalisés par des systèmes informatiques, la commande de sûreté n’étant installé dans l’enceinte.
salle de commande étant conventionnelle.
Ces procédures de qualification portent sur :
Pour le palier N4 l’ensemble des moyens de conduite a été infor- — les caractéristiques constructives des produits (tenue diélectri-
matisé et les aides ont été intégrées dans les fonctionnalités des que à 50Hz et aux chocs, tenue aux surcharges et courts circuits) ;
postes de conduite.
— les essais aux limites d’emploi fonctionnelles (variations lentes
Pour la centrale à neutrons rapides de Creys-Malville les systèmes de la tension d’alimentation, influence d’une coupure brève, pertur-
d’aide à la conduite ont un rôle intermédiaire entre celui des tran- bations électromagnétiques) et appréciation du comportement dans
ches 900 et 1 300 MW et celui des tranches 1 450 MW (cf. § 2.6.3). le temps ;

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
BN 3 411 - 8 © Techniques de l’Ingénieur, traité Génie nucléaire

Dossier délivré pour

DOCUMENTATION
30/09/2008
 Dossier délivré pour
DOCUMENTATION
30/09/2008
_____________________________________________________________________________________ CONTRÔLE-COMMANDE DES RÉACTEURS ET DES USINES

— lorsque spécifié, des essais de tenue au séisme et l’application

des contraintes représentatives des conditions accidentelles (K2) et
Niveau 3 : gestion technique ; gestion de la maintenance ;
postaccidentelles (K1). échanges extérieurs au site

2.3.2 Qualification fonctionnelle Niveau 2 : interface homme-machine ; traitements fonctionnels

complexes ; aides opérateurs
Important
Classe de Classe de pour la
Les procédures de qualification fonctionnelle diffèrent selon qu’il sûreté 1E sûreté 2E sûreté ; Non classé
s’agit : non classé
(IPS-NC)
— un système cablé (relayage électromagnétique ou statique),
Niveau 1 : fonctions d'automatisme et de traitement d'information
d’un système programmé à architecture figée* ou d’un système
modulaire, configurable et programmable** ;
— d’un système développé spécifiquement pour un client ou d’un
produit catalogue. Niveau 0 : interface process (instrumentation et actionneurs)

Nota : (*) un système programmé est un système développé pour une application spé-
cifique, cette application étant réalisée par le fabricant du système. L’application et le sys-
tème sont indissociables même si, sur le plan du développement, logiciel système et
logiciel d’application sont réalisés séparément. Figure 3 – Architecture fonctionnelle. Niveaux et classe de sûreté
(**) Un système programmable est un système pouvant supporter une grande diver-
sité d’applications, réalisées par combinaison et assemblage de modules logiciels stan-
dard faisant partie de l’offre standard du système. La programmation est assurée soit par
le fournisseur du système soit par le client. 2.4 Architecture générale fonctionnelle
Pour les systèmes programmés, la qualification fonctionnelle est
réalisée généralement par le fabricant sur le système complet.
L’architecture fonctionnelle du contrôle-commande se déduit de
Pour les systèmes programmables, la validation des applications la prise en compte des spécifications fonctionnelles exposées au
est faite séparément de celle du système d’accueil. (§ 2.2). Elle fait apparaître, d’une part, une structure par niveau cor-
respondant à une hiérarchisation fonctionnelle, d’autre part, au sein
Pour les systèmes développés spécifiquement, la démarche de de chaque niveau, un découpage axé sur l’importance, au regard de
qualification comporte : la sûreté, de chaque sous-ensemble (figure 3).
— une validation des fonctionnalités par des essais de type Les classes de sûreté sont celles définies au paragraphe 2.2.
« boîte noire » au niveau des sous-ensembles puis du système inter-
connecté ; Les niveaux se rapportent aux fonctionnalités et équipements sui-
vants :
— une analyse support sur la confiance dans la qualité des logi-
ciels qui repose sur l’application, à partir du début du cycle de vie, ■ Niveau 0 : interface avec le process (circuits mécaniques,
des recommandations de la CEI 880 avec des restrictions liées à la moteurs, vannes, etc.).
classe de sûreté.
Cette interface est constituée par l’instrumentation d’une part, les
Pour les systèmes catalogue qui disposent donc d’un retour actionneurs d’autre part.
d’expérience, la démarche de qualification comporte :
■ Niveau 1 : ensemble d’équipements assurant des fonctions
— une validation des fonctionnalités par des essais de type d’automatismes de commande et de surveillance.
« boîte noire » et une analyse du retour d’expérience ;
— une utilisation des résultats de validation disponibles chez le On distingue :
fabricant ; — les fonctions de protection directement liées à la sûreté, de
— une analyse support sur la confiance dans la qualité des logi- classe 1E, assurant la protection du réacteur. Les équipements
ciels qui repose sur : correspondant sont redondants (pour leur description se référer à
l’article Systèmes de protection des centrales nucléaires françaises
• l’existence d’un plan qualité pour le développement, la spéci- [B 3 470]) ;
fication, les tests et la maintenance et un contrôle de son applica- — les fonctions d’automatismes de sûreté ; ce sont celles néces-
tion (par audits, analyses d’échantillons de codes...), saires à la conduite du réacteur en situation accidentelle ;
• une analyse du retour d’expérience sur les logiciels déjà opé- — les fonctions d’automatisme standard correspondant à la sur-
rationnels. veillance et aux actions nécessaires pour mettre en et hors service la
Pour les systèmes à architecture figée, la démarche de qualifica- tranche, assurer la protection des matériels, maintenir la tranche
tion repose sur : dans un état stable et réaliser les variations de charge.

— la qualification d’ensemble des logiciels système et d’applica- ■ Niveau 2 : interface avec les opérateurs de conduite, ou interface
tion. homme-machine (IHM) qui, outre les moyens de commande et
d’information (organes de commande, indicateurs, enregistreurs,
Pour les systèmes à architecture modulaire configurable, la écrans de visualisation...) inclut les systèmes informatiques de trai-
démarche de qualification comporte : tement de ces informations ou commandes. Cette IHM concerne en
— la qualification du logiciel système y compris les modules des premier lieu la salle de commande principale, (décrite de façon plus
bibliothèques d’application ; complète dans l’article Procédures de conduite, traitement de
l’information et interface homme-machine [B 3 421] d’où est effec-
— la validation séparée sur les différentes configurations de cha-
tuée la conduite centralisée de la tranche, mais aussi :
que programme d’application ;
— la vérification de la charge de chaque configuration avec la — des moyens supplémentaires de commande, appelés pan-
totalité des applications qu’elle doit supporter. neaux de repli, situés dans les locaux électriques mais éloignés de la
salle de commande, et d’où il est possible de ramener la tranche en
On pourra se reporter à l’article Qualité et qualification des systè- état d’arrêt chaud, puis, à l’aide de moyens locaux, en état d’arrêt
mes programmés [BN 3 425]. froid, si la salle de commande devait être évacuée et devenait indis-

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire BN 3 411 - 9

Dossier délivré pour

DOCUMENTATION
30/09/2008
 Dossier délivré pour
DOCUMENTATION
30/09/2008
CONTRÔLE-COMMANDE DES RÉACTEURS ET DES USINES _____________________________________________________________________________________

Niveau 3

IHM
Gestion technique ; liaisons avec le dispatching et les centres nationaux de crise

Niveau 2
Niveau 1
Niveau 0
Figure 4 – Architecture fonctionnelle
du contrôle-commande

ponible. Il est postulé qu’un telle situation n’est pas concommitante que celui des 4 suivantes - Bugey 2 à 5 - est assez proche de celui
avec un accident ; des 28 autres tranches 900 MW) ;
— un centre local de crise, doté de moyens d’informations et de — le palier 1 300 MW (20 tranches) ;
télécommunications, situé à proximité de la salle de commande et — le palier 1 450 MW (4 tranches).
où, en cas d’accident, des experts peuvent assister le chef de cen-
Toutes ces architectures reposent sur des options communes (ou
trale. Ce centre est en liaison avec les centres nationaux de crise ;
voisines) concernant :
— des moyens locaux de commande, essentiellement utilisés
lors des opérations de maintenance. — l’instrumentation et les actionneurs ;
— l’organisation des sources de contrôle.
■ Niveau 3 : alors que les trois premiers niveaux se rapportent au
contrôle-commande propre à une unité (une tranche), le quatrième
niveau correspond aux fonctions communes à plusieurs tranches [Link] Instrumentation et actionneurs
telles la gestion technique, la gestion des opérations de mainte- L’instrumentation est constituée :
nance, la surveillance météorologique du site, et aux échanges avec
— de capteurs de type tout ou rien (fins de course, manostats,
des installations externes au site tels les dispatchings ou les centres
thermostats, etc.) ;
nationaux de crise.
— de capteurs de mesure délivrant un signal analogique norma-
L’architecture fonctionnelle est alors représentée selon la figure 4. lisé 4-20 mA. Ces capteurs sont parfois associés à des relais voltmé-
triques pour élaborer des informations tout ou rien.
Des instrumentations particulières ont été développées, en parti-
2.5 Architecture des tranches REP culier pour mesurer le flux neutronique à l’extérieur (chambres ex-
core) et à l’intérieur (détecteurs mobiles in-core) du cœur, et pour
françaises mesurer la position des grappes de contrôle.
Les actionneurs comprennent :
2.5.1 Caractéristiques communes — des robinets pneumatiques pilotés par des électrovannes
alimentées en 48 V ou 125 V en courant continu (vannes TOR,
Le parc nucléaire français est actuellement constitué de 34 tran- généralement de faible diamètre) ou par un convertisseur électro-
ches de 900 MW, 20 tranches de 1300 MW et 4 tranches de pneumatique (vannes de réglage) ;
1 450 MW. — des robinets à motorisation électrique (vannes TOR) pilotés
Les solutions techniques mises en œuvre sur ces différents paliers par des contacteurs inverseurs alimentés en 380 V en courant alter-
de puissance pour réaliser l’architecture fonctionnelle de contrôle- natif ;
commande décrite ci-avant sont différentes. Les écarts au sein d’un — des matériels (moteurs, transformateurs, onduleurs, redres-
même palier de puissance sont faibles, voire inexistants, à l’excep- seurs, etc.) alimentés au travers de disjoncteurs ou de contacteurs ;
tion des 6 premières tranches 900 MW. Cette quasi identité résulte — les tableaux de distribution.
de la politique de « contrats programme » où un même contrat Les disjoncteurs, appareils bistables, à pouvoir de coupure élevé,
concerne tous les systèmes ou matériels d’un palier technique. équipent les tableaux électriques et les départs des moteurs HT
Les descriptions ci-après concernent : (6,6 ou 7,2 kV) de puissance supérieure à 710 kW.
— le palier 900 MW, à l’exception des 6 premières unités (le Les contacteurs, appareils monostables, équipent les départs des
contrôle-commande des 2 premières - Fessenheim 1 et 2 - est direc- transformateurs de puissance inférieure à 800 kVA et des moteurs
tement dérivé de celui de la centrale américaine de référence, tandis HT de puissance égale ou inférieure à 710 kW (il leur est alors asso-

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
BN 3 411 - 10 © Techniques de l’Ingénieur, traité Génie nucléaire

Dossier délivré pour

DOCUMENTATION
30/09/2008
Dossier délivré pour
DOCUMENTATION
30/09/2008
_____________________________________________________________________________________ CONTRÔLE-COMMANDE DES RÉACTEURS ET DES USINES

cié des fusibles à haut pouvoir de coupure, pour la protection contre — 125 V, en courant continu, pour l’alimentation des bobines de
les courts-circuits), et tous les départs 380 V. contacteurs et disjoncteurs ;
En règle générale les contacteurs, comme les disjoncteurs, sont à — 48 V, en courant continu, pour le relayage électromagnétique
commande impulsionnelle, l’automaintien de la bobine étant assuré et les électrovannes ;
par une source auxiliaire de 125 V en courant continu. — 48 V, en courant continu (900 MW), 220 V, en courant alternatif
(1300 MW) et 28 V, en courant continu (1 450 MW) pour les automa-
Un ordre de grandeur du nombre de capteurs et d’actionneurs est tismes logiques ;
donné pour une tranche et selon les paliers dans le tableau 2. — 30 V, en courant continu (900 MW et 1 300 MW) et 28 V, en
courant continu (1 450 MW) pour les automatismes de réglage ;
— 220 V, en courant alternatif, pour les calculateurs.
Tableau 2 – Nombre de capteurs et d’actionneurs Toutes ces sources sont produites par des ensembles batterie-
pour une tranche et selon les paliers redresseur (puis onduleurs pour les sources alternatives) alimentés
par des tableaux électriques secourus par diesels.
Capteur Tranches Tranches Tranches
ou actionneur 900 MW 1300 MW 1450 MW
2.5.2 Contrôle-commande du palier 900 MW
Capteurs tout ou rien 1 930 1 560 1 660
Fins de course de vannes Conçu au début des années 1970, il se caractérise par les niveaux
330 140 700
manuelles et de registres suivants (figure 5).
Capteurs analogiques 1 360 2 050 2 280 ■ Un niveau 1 : il est à base de relayage électromagnétique pour les
(mesures) automatismes logiques (13 500 relais environ par tranche dont 1 700
Appareils de coupure pour le système de protection) et de modules analogiques pour les
6,6 / 7,2 kV 40 95 74 fonctions de réglage ; le système de commande des grappes de
contrôle est réalisé à partir d’une logique statique câblée et d’une
Contacteurs 380 V 340 600 540
électronique analogique de puissance.
Vannes motorisées 190 300 250
■ Un niveau 2 : pour ce niveau l’interface homme-machine est
Robinets 480 470 670 conventionnel (moyens de commande constitués de tourner-pous-
pneumatiques TOR ser lumineux, de relais de commande à main et de relais de point de
Vannes réglantes 180 500 110 consigne - présentation d’alarmes sur verrines - indicateurs et enre-
gistreurs), un système informatique non redondant apporte une
aide à la conduite en assurant des fonctions de surveillance, de jour-
nal de bord, d’archivage. Ce système informatique traite environ
[Link] Règles générales d’utilisation des capteurs 5 000 informations TOR (capteurs, positions d’actionneurs, informa-
tions élaborées par le niveau 1) et 1 400 mesures.
Les règles d’utilisation des capteurs dans les automatismes
concernent, d’une part, les spécifications de l’ensemble des cap- ■ Un niveau 3 : il est relié au système informatique de niveau 2 par
teurs de la tranche, d’autre part, celles spécifiques aux capteurs un réseau.
intervenant directement dans la sûreté et généralement imposées
par des critères de sûreté.
Ainsi : 2.5.3 Contrôle-commande du palier 1 300 MW
— les logiques élaborant des signaux de sûreté sont de type vote
m/n (1 signal sur 2, 2 signaux sur 3 ou 3 signaux sur 4...) ; Il a été conçu à la fin des années 1970 et comporte les niveaux sui-
— il n’y a pas de point commun fonctionnel entre chaînes de vants (figure 6).
mesure de voies de sûreté différentes (y compris leurs sources d’ali-
mentation) ; ■ Un niveau 1 : il met en œuvre des technologies numériques.
— l’émission d’un ordre de sécurité est généralement précédée Le système de protection intégré numérique (SPIN) est entière-
d’une alarme (action opérateur) et, éventuellement, d’une action ment numérique et comporte une douzaine d’armoires ; 4 unités
automatique visant à ramener l’installation à l’intérieur de la zone de d’acquisition et de traitement des protections (UATP) réalisées en
fonctionnement normal ; logique programmée (microprocesseur MOTOROLA 6800®) traitent
— lorsqu’un capteur de mesure est utilisé à la fois dans le sys- les mêmes fonctions de protection (logique en 2 de 4) et déclen-
tème de protection pour élaborer un signal de protection et dans la chent les ordres d’arrêt d’urgence et d’action de sauvegarde. L’arrêt
régulation, il est classé comme faisant partie du système de protec- d’urgence est provoqué par l’action directe des UATP sur 4 groupes
tion. de 2 disjoncteurs d’arrêt d’urgence tandis que 2 unités logiques de
sauvegarde (ULS) réalisées en logique magnétique à pannes orien-
[Link] Organisation des sources de contrôle tées sont chargées de la commande des actionneurs de sauvegarde
à partir des demandes globales élaborées dans les UATP et des
La structure générale des sources de contrôle est la même pour commandes de la salle de commande ; chaque ULS commande les
tous les paliers, avec des adaptations (niveau de tension, nombre de actionneurs d’une voie de protection.
sources) liées aux choix technologiques. Les automatismes logiques sont réalisés par un ensemble d’auto-
En règle générale il y a deux ensembles de sources mates programmables à haut niveau de sûreté le « CONTROBLOC
indépendants : N 20® ». Chaque tranche comporte environ 85 armoires capables de
— l’un alimente les équipements de l’une des voies de sûreté traiter chacune 256 entrées/sorties. Chaque armoire est structurée
(voie A) et ceux non classés de sûreté ; en 2 demi-logiques fonctionnant en 2 de 2 ; un microprogramme
— l’autre alimente les équipements de l’autre voie de sûreté. exécute les algorithmes de traitement des automatismes, algorith-
mes implantés dans des mémoires mortes ; des microprocesseurs
Le système de protection dispose en outre de quatre sources calculent les variables internes et les temporisations et gèrent les
indépendantes. communications point à point entre les armoires, vers le système
Les niveaux de tension sont : informatique de niveau 2 et vers les écrans d’alarme. Ces automates

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire BN 3 411 - 11

Dossier délivré pour

DOCUMENTATION
30/09/2008
 Dossier délivré pour
DOCUMENTATION
30/09/2008
CONTRÔLE-COMMANDE DES RÉACTEURS ET DES USINES _____________________________________________________________________________________

Niveau 3
Gestion technique ; liaisons avec le dispatching et les centres nationaux de crise

IHM
Niveau 2
Niveau 1
Niveau 0
Figure 5 – Architecture du contrôle-
commande des tranches de 900 MW

Niveau 3

Gestion technique ; liaisons avec le dispatching et les centres nationaux de crise

IHM
Niveau 2

-
Niveau 1

(mZ)
CONTROBLOC N20
Niveau 0

Figure 6 – Architecture du contrôle-

commande des tranches de 1 300 MW

assurent toutes les fonctions d’automatisme logique (démarrage, ■ Un niveau 2 : il comporte une interface homme-machine conven-
arrêt, protection) hors système de protection ; ils réalisent, en parti- tionnelle, les alarmes étant majoritairement présentées sur des
culier, les fonctions support des auxiliaires de sauvegarde telle la écrans situés au droit des commandes nécessaires pour réaliser les
séquence de délestage-relestage des diesels. En outre, pour pallier actions correctrices. Le système informatique d’aide à la conduite
une défaillance de la chaîne d’arrêt d’urgence pilotée par le SPIN est le même que celui des tranches 900 MW ; il traite 6 000 informa-
(ATWT : Anticipated transient without Trip), un ordre d’arrêt tions TOR et 1660 mesures.
d’urgence élaboré à partir de capteurs distincts de ceux du SPIN et
agissant sur l’alimentation électrique des groupes moteur-alterna-
teur alimentant les électroaimants des grappes de contrôle, est 2.5.4 Contrôle-commande du palier 1 450 MW
généré par le CONTROBLOC®.
Les automates de réglage sont réalisés, sur les 14 dernières tran- La structure du contrôle-commande du palier 1 450 MW, conçu
ches, par des automates numériques mZ® (environ 60 armoires). entre 1985 et 1991 est présentée (figure 7). Il comporte un niveau 1

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
BN 3 411 - 12 © Techniques de l’Ingénieur, traité Génie nucléaire

Dossier délivré pour

DOCUMENTATION
30/09/2008
Dossier délivré pour
DOCUMENTATION
30/09/2008
_____________________________________________________________________________________ CONTRÔLE-COMMANDE DES RÉACTEURS ET DES USINES
Niveau 3

Gestion technique ; liaisons avec le dispatching et les centres nationaux de crise

IHM
Niveau 2

Archivage Traitement 1 Traitement 2 Configurateur Échanges N3

Frontal (1 & 2) Frontal (3 & 4)

Régulation
grappes
Niveau 1

Régulation
et
Protections protection
neutroniques turbine
Niveau 0

Figure 7 – Architecture du contrôle-

commande des tranches de 1 450 MW

mettant en œuvre des technologies numériques et un niveau 2 dans [Link].2 Un ensemble d’équipements de classe 2E
lequel l’interface homme-machine est très informatisée. et non classé. Le SCAT
Le SCAT (système de commande des auxiliaires de tranche)
[Link] Niveau 1
est constitué d’automates programmables : les automates
Le niveau 1 est entièrement numérique. Il comporte : « CONTRONIC E ® » qui, contrairement au « CONTROBLOC N20 ® »
des tranches 1 300 MW, n’ont pas été développés spécifiquement
[Link].1 Trois ensembles d’équipements de classe 1E pour l’industrie nucléaire.
On retrouve, sous l’acronyme SPIN, le système de protection du
Les automates assurant des fonctions classées ont tous une struc-
réacteur (arrêt d’urgence du réacteur et initiation des actions de sau-
ture redondante, de type normal-secours (doublement des unités de
vegarde) ; le SPIN fait partie d’un système, désigné par CO3 (con-
traitement et des cartes d’entrées-sorties) ; ceux assurant des fonc-
trôle-commande cœur), incluant la fonction de réglage des grappes
tions non classées ont leur unité de traitement doublée (N/S) mais
de contrôle (non classée de sûreté) et l’ensemble du système de
les entrées-sorties ne le sont pas.
mesure de puissance neutronique (dont seule une partie est classée
de sûreté). Ces automates réalisent des fonctions d’automatisme logique et
de réglage, ces fonctions étant le plus souvent effectuées par des
Le SPIN est constitué de quatre unités d’acquisition et de traite-
automates distincts.
ment des protections, redondantes et indépendantes, et de deux
unités logiques de sauvegarde redondantes et indépendantes ; tou- Les fonctions importantes pour la sûreté traitées par le SCAT
tes ces unités sont réalisées en logique programmée (microproces- sont :
seur MOTOROLA 68 000®), la programmation étant développée en — les fonctions liées à la conduite postaccidentelle réalisées par
langage C et en code assembleur 68 000. Les échanges d’informa- un contrôle-commande classé 2E ;
tion entre les unités du SPIN se font par l’intermédiaire de réseaux — le contrôle-commande d’équipements appartenant à un sys-
locaux (8 réseaux locaux de type NERVIA®, redondants, assurant les tème classé 1E mais non sollicités immédiatement lors d’un événe-
échanges entre UATP et ULS). ment accidentel ;
Le CS3 (système de commande des systèmes support des systè- — le contrôle-commande d’équipements participant à l’ATWT
mes de sauvegarde) assure les fonctions de délestage-relestage des (cf. § 2.5.3).
tableaux 6,6 kV secourus, sur manque de tension de ces tableaux et Pour une tranche (hors auxiliaires de site) le dimensionnement est
agit sur les ventilations de la salle de commande, du bâtiment réac- le suivant :
teur et du bâtiment combustible en cas de dépassement de radioac-
tivité de l’air ; ces fonctions étaient assurées sur les tranches — nombre d’armoires : 130 ;
1 300 MW par le CONTROBLOC®. — nombre d’unités de traitement : 2 fois 285 ;
— nombre de cartes d’entrées/sorties (hors redondance) : 2 325.
Le SCAP (système de contournement à l’atmosphère utilisé en
protection) a pour rôle d’éviter la sollicitation en eau et en vapeur Le nombre total d’entrées/sorties correspondant est de l’ordre de
des soupapes des générateurs de vapeur dans des transitoires acci- 35 000. Ce nombre comprend non seulement les informations
dentels de rupture de tube de générateur de vapeur et d’évacuer venant de ou allant vers les actionneurs et les capteurs, mais aussi
l’énergie après une brèche primaire et une défaillance passive sur les informations et commandes allant vers ou venant de la salle de
les lignes d’injection moyenne pression. L’application, sur le palier commande et du panneau de repli.
1 450 MW, des règles fondamentales de sûreté IV.1.a et IV.2.a [3] Les communications interautomates sont assurées par un bus
nécessite le classement 1E de ces fonctions. doublé, et celles avec le niveau 2 par un autre bus, également dou-
CS3 et SCAP ont été développés avec la même technologie et les blé. Les bus des voies redondantes sont découplés (utilisation de
mêmes règles de conception que le SPIN. fibres optiques).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire BN 3 411 - 13

Dossier délivré pour

DOCUMENTATION
30/09/2008
 Dossier délivré pour
DOCUMENTATION
30/09/2008
CONTRÔLE-COMMANDE DES RÉACTEURS ET DES USINES _____________________________________________________________________________________

[Link] Niveau 2 2.6.2 Organisation des sources de contrôle

La conduite de la tranche est assurée depuis des postes de travail et du contrôle-commande
constitués d’écrans de visualisation et de moyens de dialogues
(écrans tactiles, boule roulante, claviers) [4]. Les contraintes de sûreté applicables à Creys-Malville condui-
saient, comme sur les REP 900 MW à disposer, pour les systèmes de
Ces postes de conduite, au nombre de 4 identiques, sont configu- classe 1 E, de 2 voies électriques indépendantes.
rables pour la conduite (2 postes en configuration Commande) ou
pour l’observation seulement (2 postes) ; depuis chaque poste Le fait de disposer, pour évacuer l’énergie thermique produite, de
l’opérateur assis a accès à l’ensemble de la tranche. 2 groupes turboalternateurs de 600 MW et d’avoir une symétrie
d’ordre 4 (4 circuits primaires sodium, 4 circuits secondaires
Ces postes sont gérés et animés par un système informatique sodium, 4 générateurs de vapeur), a conduit les concepteurs à asso-
(acronyme KIC) mettant en œuvre 15 calculateurs dans une architec- cier à une voie électrique de sûreté la moitié de l’ensemble des cir-
ture en grande partie doublée. cuits et équipements électriques ne participant pas à la sûreté (à
Le système KIC manipule des « objets » (actionneur, capteur, mais l’exclusion des systèmes uniques tels la régulation générale et les
aussi animations d’images tel des renvois fléchés ou des textes systèmes de traitement de l’information qui sont des systèmes
actifs) ; le système est dimensionné pour 50 000 objets. concernant l’ensemble de la centrale).
Chaque objet est décrit, en moyenne, par 40 attributs, ce qui L’équipement électrique de la centrale est donc constitué de deux
conduit à gérer une base de données de 2 millions de paramètres. ensembles sensiblement de même importance, l’un affecté à la voie
Le système KIC est dimensionné pour présenter aux opérateurs : électrique A, l’autre à la voie électrique B (alors que pour les REP la
voie B ne concerne que les systèmes classés de sûreté).
— 800 images synoptiques de circuits ;
— 4 400 fiches d’alarmes ; Les systèmes uniques sont alimentés par une troisième voie, la
— 1 200 médaillons de courbes ; voie C, qui assure également le découplage des signaux entre voies
— 5 000 textes actifs ; A et B.
— 10 000 fiches techniques ; Les niveaux de tension retenus sont de 125 V, en courant continu
— 3 500 pages de procédures (dont 2 000 pour la conduite acci- pour les tableaux de disjoncteurs et contacteurs, de ± 24 V, en cou-
dentelle). rant continu, pour les automatismes logiques et de 220 V, en cou-
Pour permettre une vision d’ensemble de l’état de l’installation, rant alternatif, pour la régulation générale.
un synoptique visible de tous les postes opérateurs a été mis en
place. Ce synoptique est directement raccordé aux automates de 2.6.3 Technologie du contrôle-commande
niveau 1.
Enfin, pour pallier la perte totale du système informatique de Les fonctions d’automatisme logique sont réalisées par des auto-
conduite, il a été mis en place un panneau auxiliaire de technologie mates câblés en relayage statique « SIMATIC ® » les fonctions de
conventionnelle raccordé aux automates de niveau 1 [B 3 421]. réglage sont remplies par des automates programmables
« CONTRONIC 3 ® ».

2.6 Architecture de la centrale à neutrons 2.6.4 Systèmes informatiques d’aide à la conduite

rapides de Creys-Malville
Plusieurs systèmes informatiques sont utilisés.
Les principes généraux du contrôle-commande de Creys-Malville ■ Le traitement complémentaire des informations (TCI)
(conduite centralisée, niveau d’automatisme, traitement d’alarme) Il ne joue aucun rôle de sûreté, est utile pour l’analyse postacci-
sont les mêmes que ceux du contrôle-commande des tranches REP. dentelle, est nécessaire pour démarrer la tranche ; en cas de panne
Les différences apparaissent au niveau : en régime transitoire, l’installation doit être ramenée à une puis-
— de l’architecture du système de protection [B 3 470] ; sance stable, le temps de marche dans cette situation, sans TCI,
— de l’organisation des sources de contrôle et du contrôle-com- étant limité à 72 heures.
mande ; Il effectue des traitements sur des informations logiques (tout ou
— de la technologie du système de contrôle-commande ; rien) et sur des mesures (détection et signalisation de changement
— de l’architecture et du rôle des systèmes informatiques d’aides d’état, traitement et présentation d’alarmes, journaux de bord, suivi
à la conduite. de mesures, élaboration de bilans, etc.).
Le volume d’information à traiter est sensiblement plus impor- Le nombre d’informations logiques acquises est de 8 128, celui de
tant, l’installation comportant : grandeurs analogiques est de 3 190 ; plus de 2 000 informations
— 10 600 capteurs tout ou rien (dont 3 100 fins de course) ; binaires sont élaborées par le système.
— 8 850 capteurs analogiques (dont 3 630 mesures de tempéra- Le système est constitué de 2 calculateurs fonctionnant en nor-
ture et 1 630 mesures d’activité) ; mal-secours, avec basculement manuel sur le système en secours ;
— 1 000 vannes pneumatiques et 600 vannes motorisées ; il pilote 7 écrans en salle de commande.
— 400 actionneurs réglants.
■ Le système de détection et diagnostic des défauts cœur (3DC)
Ce système d’aide à la conduite, non classé de sûreté, remplit
2.6.1 Système de protection 3 fonctions :
Le système de protection est constitué de deux ensembles de — ANABEL (analyse du niveau de bruit en ligne dans le réacteur)
technologie différente sur chaque voie de protection ; sur la voie A détecte un niveau de bruit anormal et l’ébullition du sodium ;
le système est réalisé en logique dynamique synchrone, alors que — CAROL (calcul de réactivité en ligne) permet le suivi de la réac-
sur la voie B est installé un système en logique intégrée TTL, avec tivité ;
test à impulsions fines. — CORA (cœur acquisition) effectue la détection et la localisation
En outre un système, le TRTC constitué de deux calculateurs (un des ruptures de gaines.
par voie de sûreté), assure la surveillance des températures cœur et Le système est constitué de 3 calculateurs ; il comporte 1 écran en
initie les arrêts d’urgence. salle de commande.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
BN 3 411 - 14 © Techniques de l’Ingénieur, traité Génie nucléaire

Dossier délivré pour

DOCUMENTATION
30/09/2008
Dossier délivré pour
DOCUMENTATION
30/09/2008
_____________________________________________________________________________________ CONTRÔLE-COMMANDE DES RÉACTEURS ET DES USINES

3. Contrôle-commande matériels et des cheminements fait l’objet de soins particuliers (pro-

tection contre le feu, la chute des charges, etc.).
des usines de retraitement
3.2.2 Réponse aux contraintes du procédé
3.1 Contraintes imposées Il s’agit :
au contrôle-commande — du développement de la conduite centralisée et à distance ;
— de l’étude soignée de l’installation des matériels compte tenu
Les caractéristiques du procédé que doit piloter le système de des contraintes de radioactivité ;
conduite de procédé sont les suivantes : — de l’étude et du développement de matériel spécifique, en par-
— extrême diversité du procédé : ticulier des mesures nucléaires.
• mécanique lourde (déchargement des châteaux, cisaillage,
conditionnement des déchets solides),
• mécanique fine (conditionnement du PU O2), 3.2.3 Réponse relative au « gigantisme »
• opérations chimiques variées (dissolution, séparation liquide- et à la durée du chantier
liquide, purification, concentration, vitrification, traitement des
effluents liquides et gazeux, bitumage, etc.) ; Il s’agit :
— spécificité des équipements du procédé et notamment des
organes de transfert de solutions du fait de la nature radioactive de — de l’obligation de concevoir des standards d’installation et de
ces solutions ; programmation pour assurer la coordination des différentes ingé-
— nécessité de conduire à distance tous les équipements par nieries et intervenants ;
suite de leur inaccessibilité ; — de la nécessité de commander au plus tard les matériels et de
— prise en compte, dès la conception, de la maintenance des uni- choisir des systèmes (automates, calculateurs, système de régula-
tés mécaniques qui entraîne des dispositifs spécifiques pour faciliter tion) non forcément éprouvés (début de cycle de vie) de façon à ne
cette maintenance ; pas avoir des matériels obsolètes au démarrage des usines ;
— création d’unités spécifiques complexes comme le réseau de — de choisir une architecture ouverte pour intégrer, au fil des
transport pneumatique d’échantillons pour véhiculer les échan- années, des nouvelles technologies et fonctionnalités (réseaux, aide
tillons radioactifs depuis leur point de prélèvement jusqu’aux cellu- à la conduite).
les blindées d’analyses ;
— grand nombre de points de mesure : les cinq ateliers princi-
paux de l’usine UP3, le laboratoire et le réseau de transport pneuma-
tique d’échantillons (sans les piscines de stockage et les ateliers de 3.3 Architecture et composants
conditionnement) représentent environ :
• 900 régulations,
• 4 000 mesures analogiques, 3.3.1 Capteurs et actionneurs tout ou rien
• 65 000 informations tout ou rien. et numériques

Dans la mesure du possible, les capteurs et actionneurs installés

3.2 Spécifications et conception dans une usine de retraitement sont identiques à ceux ayant fait
leurs preuves dans l’industrie chimique.
du système de conduite
Par contre compte tenu de la spécificité du milieu (corrosion, acti-
vité nucléaire), le choix des matériaux doit être spécialement rigou-
Pour répondre à toutes ces contraintes, la conception du système reux (exemple : fin de course étanche en acier inoxydable) et des
de conduite a pris les orientations suivantes. adaptations spécifiques sont souvent nécessaires pour installer ces
capteurs.

3.2.1 Réponse aux contraintes de sécurité Notamment, la maintenance des matériels (facilité de démontage,
de décontamination et d’entretien) est étudiée dès la conception des
installations. Citons comme exemple le remplacement à distance de
Au niveau de la sécurité, trois systèmes distincts sont mis en fins de course dans des cellules de déchargement ou de cisaillage
œuvre. par des télémanipulateurs. De plus, des systèmes spéciaux (EMEM)
Le système de conduite de production, système normalement ont été développés pour transporter, sans risque pour le personnel,
actif : les différents postes de conduite sont répartis dans les salles les matériaux détériorés vers une unité de conditionnement. Dans la
de contrôle. Ce système prend en compte de pilotage de la produc- mesure du possible, les capteurs et actionneurs sont reportés hors
tion, le contrôle de l’environnement et la protection des travailleurs, des zones hostiles. Au fil des années, outre les capteurs tout ou rien,
notamment au niveau du contrôle de radioprotection. nous pouvons noter l’accroissement important de codeurs numéri-
Le système de sécurité, dont les commandes et les visualisations ques de positionnement (ponts, chariots, cisaille, ...), de variateur de
disposées dans les salles de contrôle assurent le pilotage de quel- vitesse qui deviennent intelligents, de détecteurs de code à barres,
ques organes en cas de panne du système de conduite de produc- etc.
tion, permet de mettre et maintenir en état sûr le procédé, tant pour
le personnel que pour l’environnement, pendant et après tout inci-
dent du système de conduite de production. 3.3.2 Mesures continues
Le système de sauvegarde, implanté au plus près du procédé,
permet la commande manuelle en local de certains actionneurs en Ces mesures en lignes sont décrites en détail dans l’article
cas de dommage important (feu, séisme) de la salle de contrôle. Ce Contrôle-commande des usines de retraitement. Instrumentation
système est conçu pour résister aux séismes. L’installation des [BN 3 445].

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire BN 3 411 - 15

Dossier délivré pour

DOCUMENTATION
30/09/2008
 Dossier délivré pour
DOCUMENTATION
30/09/2008
CONTRÔLE-COMMANDE DES RÉACTEURS ET DES USINES _____________________________________________________________________________________

3.3.3 Traitement des informations procédé La deuxième variante, plus orientée procédé manufacturiers, est
bien adaptée pour gérer le déplacement de mobiles et le suivi des
L’évolution de la technologie a beaucoup bouleversé le système graphes mécaniques.
de traitement des informations, avec notamment le remplacement
En plus de ces deux systèmes principaux utilisés pour la conduite
du traitement analogique de mesures (régulation analogique, resti-
des procédés, d’autres types de consoles et de progiciels sont utili-
tution des mesures sur des enregistreurs analogiques) par le traite-
sés pour le contrôle de radioprotection, les systèmes d’aide à
ment numérique de ces mesures. De même, la logique câblée (relais
l’exploitation (SAD, SYDDEX, COGEMO), la gestion de production,
électromagnétiques ou circuits logiques, logimors, TST2,
etc.
Silimog, etc.) a été remplacée par de la logique programmable.
Le système de traitement d’informations des deux usines récen- Une deuxième génération (1990) fait la synthèse des deux conso-
tes UP3 et UP2 800 est basé sur les technologies suivantes : les précédentes (mZ Bailey et COCIXI) permettant ainsi la conduite
des ateliers chimiques et mécaniques. Ses avantages par rapport
— traitement des informations tout ou rien pour l’ensemble des
aux consoles de la première génération sont :
informations aussi bien chimiques que mécaniques :
• automate programmable Série SMC 600 (APRIL) pour UP3, — console graphique à grande résolution (1 204 x 768 ou
• automate programmable April Série 1000 (APRIL 5000, APRIL 1 280 x 1 024) ;
7000) pour l’usine UP2 800 ; — multifenêtrage ;
— traitement des informations analogiques des unités chimi- — extension à d’autres fonctions que la conduite tels que les sys-
ques (acquisition simple ou acquisition avec régulation) : système tèmes d’aide à l’exploitation (SAD, SYDDEX, COGEMO).
numérique de conduite centralisée type mZ Bailey (représenté
aujourd’hui par Yokogawa) pour les deux usines UP3 et UP2 800. Cette version a été développée sous VMS et implémentée sur des
stations de travail DIGITAL EQUIPEMENT VS 4000/60 ou station
Nota : pour UP3, le système mZ a été utilisé dans son ensemble (acquisition, traitement,
restitution, ...). Pour UP2 800, seuls l’acquisition et le traitement ont été conservés (voir ALPHA.
§ 3.3.4 et § 3.3.6 ).
L’opérateur a à sa disposition deux consoles A et B. La console A
n’a accès qu’à la conduite immédiate (visualisation du procédé, télé-
3.3.4 Interface homme-machine (IHM) commande, avertissements, courbe de tendances et historiques). La
console B utilisée normalement en conduite de secours a accès aux
L’interface homme-machine (IHM) permettant à l’opérateur de autres fonctions complémentaires (gestion technique, aide à
suivre l’évolution du procédé et d’émettre des télécommandes a l’exploitation).
beaucoup évolué depuis le démarrage de l’usine de retraitement
La figure 8 et l’encadré « Poste de conduite multifonctions » mon-
UP1 (1959).
trent l’évolution de l’interface Homme-Machine entre la génération
L’interface homme-machine des premières unités (années 1960), UP3 et la génération UP2 800.
était caractérisé par les techniques du « tableau droit » qui utilisent
pour la restitution et la commande des informations tout ou rien,
des boutons poussoirs, des commutateurs, des claviers, des
voyants, des verrines d’alarme. Cette génération, qui a connu plu-
Poste de conduite multifonctions (PCMF)
sieurs variantes compte tenu de la multiplicité des fournisseurs, de
Mise à disposition sur une même console des fonctions sui-
l’évolution technologique des matériels (exemple : voyants rempla-
vantes.
cés par diodes électroluminescentes), des concepts d’exploitation
(exemple : verrines d’alarmes centralisées par unité ou verrine iso- ■ Conduite immédiate
lée près de l’organe en défaut), des types de support (tableaux
(poste A - conduite normale / poste B - conduite secours)
métalliques avec joncs collés, tableaux plastiques avec joncs gra-
vés, tableaux carroyés de verre gravés, ...) a subsisté environ 25 ans Visualisation du procédé :
(1959-1984). - chimie
La restitution des mesures continues était effectuée au début uni- - mécanique
quement par des enregistreurs analogiques. À partir de 1966, - ventilation
l’apparition de centralisateurs numériques d’abord uniquement - CRP secours
câblés, ensuite programmés, a remplacé, mais pas complètement,
les enregistreurs analogiques. Logiciel
Télécommande du procédé
COGIMAGE
À partir de 1985, les systèmes de conduite et de supervision à
base de consoles et claviers ont remplacé les technologies du Gestion des avertissements :
tableau droit. - alarmes
Deux générations de systèmes ont été utilisées : - mises en garde
— une pour UP3 à partir de 1985. Cette génération a aussi été uti- - messages opérateur
lisée pour la rénovation d’ateliers d’UP2 400 ou d’UP1 ;
— une pour UP2 800 à partir de 1990. Courbes de suivi, tendance, historique (logiciel CHTPE)
La première génération qui a vu le jour au cours de la décennie
■ Gestion technique (poste B uniquement)
80, est constituée de consoles semi-graphiques avec clavier pour
visualiser et conduire le procédé. · Suivi d’exploitation
Deux variantes ont été utilisées selon le type de procédé à · Gestion des transferts liquides « GTL »
conduire : · Demande d’analyses « ANA »
— atelier chimie : console mZ Bailey ; · Contrôle nucléaire procédé « CNP »
— atelier mécanique : console COCIXI (développement sur du
matériel standard Multibus 1 (INTEL) par la société Gixi d’un logiciel ■ Aide à l’exploitation (poste B uniquement)
spécifique sur cahier des charges Cogema. · Modes opératoires « COGEMO »
La première variante, plus orientée procédés continus, possède · Aide au diagnostic « SAD »
en particulier une possibilité intéressante des tracés de courbes
(tendances, historiques). · Base de données techniques « SYDDEX »

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
BN 3 411 - 16 © Techniques de l’Ingénieur, traité Génie nucléaire

Dossier délivré pour

DOCUMENTATION
30/09/2008
Dossier délivré pour
DOCUMENTATION
30/09/2008
_____________________________________________________________________________________ CONTRÔLE-COMMANDE DES RÉACTEURS ET DES USINES

— faciliter et standardiser l’acquisition des données pour les

Évolution de l'IHM
applications ;
Équipements UP3 Fonctions UP2 800 Équipements — rendre transparente aux applications la provenance des don-
nées qu’elles utilisent.
Les applications désignent et manipulent les données par leur
repère logique (par exemple 24120XVZC0212) sans avoir à connaître
leur repère physique.
PCC Bailey Conduite chimie
Le terme de « données procédé » comprend aussi bien les varia-
bles issues du procédé que les résultats d’analyse, fiches de trans-
Conduite fert, informations électriques, incendie, etc.
COCIXI mécanique
La couche logicielle gérant le dialogue avec les composants sur la
machine d’acquisition s’appelle le serveur physique. La couche logi-
Conduite
COCIXI ventilation cielle gérant le dialogue avec l’application sur la machine utilisatrice
Poste s’appelle le serveur logique.
COCIXI Conduite de La couche logicielle servant au transport des données s’appelle le
CRP secours serveur de flux.
conduite La machine d’acquisition et la machine utilisatrice peuvent être
INTERCOLOR Suivi
et PICB d'exploitation multifonctions les mêmes machines, ou des machines différentes ce qui entraîne
des schémas d’architecture différents.
Console
alphanumérique COGEMO
[Link] Architecture du serveur de données
SAD L’architecture proposée pour le serveur de données est structurée
Station de
travail VS 3100
ANA en quatre couches (figure 10) :
Gestion technique
— SL (serveur logique) : couche logique du serveur de données
servant d’interface entre une application et un serveur de flux ;
La gestion contrôle de radioprotection (calculateur SP5 et console — SP (serveur physique) : couche physique du serveur de don-
INTERCOLOR avec progiciel EURIWARE) reste un cas particulier non
intégré dans le PCMF (IHM identique à UP3). nées servant d’interface entre un serveur de flux et un composant ;
— SF (serveur de flux) : couche de gestion de flux du serveur de
Figure 8 – Hétérogénéité des postes de conduite données servant d’interface entre les serveurs logiques et les ser-
veurs physiques. Si le serveur logique et le serveur physique ne sont
pas sur la même machine, on distingue un serveur de flux local et un
serveur de flux distant.
Consommation D’une manière générale :
des données Applications
— pour une machine donnée, il y a autant de couches SL qu’il y a
d’applications utilisatrices ;
Demande Données — les couches SP sont spécifiques à chaque type de composant ;
de service procédé — la couche SF est unique pour une machine donnée.
Serveur La figure 10 montre l’architecture la plus courante du serveur de
de données utilisée à l’usine UP2 800.
données
Le communicateur, servant de frontal entre les applications et les
composants, contient les deux serveurs de flux (un pour le réseau
Lecture Données
Écriture procédé
de conduite A ou B, un pour le réseau de service), les serveurs phy-
siques (automate, cartes micro Z (mZ), éventuellement centrale de
détection d’incendie), les cartes d’acquisition des composants. Ces
Production Automates programmables, fonctions sont implémentées dans des cartes INTEL MULTIBUS II.
Composant cartes mZ Bailey,
des données
Cerberus (incendie),
calculateur, etc.
3.3.6 Les architectures de conduite
Figure 9 – Applications et serveur de données
Les figures suivantes montrent :
— l’architecture générale de conduite de l’usine UP3 (figure 11) ;
3.3.5 Acquisition des données : le serveur — l’architecture générale de conduite de l’usine UP2 800
de données (usine UP2 800) (figure 12) ;
— les architectures logicielles des postes de conduite A et B de
l’atelier UP2 800 (figures 13 et 14).
[Link] Fonctionnalités du serveur de données

Le serveur de données permet de mettre en forme et de repérer

les données indépendamment de leur origine (automates APRIL, 3.4 Évolutions du système de conduite
cartes de régulation mZ, centrales d’acquisition, système de gestion
des analyses ANA, etc.). Celles-ci peuvent alors être utilisées dans
les diverses applications. 3.4.1 Généralités
Les applications et le serveur de données (SD) sont répartis en
général sur plusieurs machines hétérogènes. Cette architecture Les évolutions peuvent porter sur l’ensemble des composants
symbolisée figure 9 permet de : capteurs, actionneurs, mesures continues, traitement, entraînant

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire BN 3 411 - 17

Dossier délivré pour

DOCUMENTATION
30/09/2008
 Dossier délivré pour
DOCUMENTATION
30/09/2008
CONTRÔLE-COMMANDE DES RÉACTEURS ET DES USINES _____________________________________________________________________________________

Application 1 Application 2 Application 3

COGIMAGE Archivage CHTPE
Machine immédiat
utilisatrice

SL1 SL2 SL3

SF

Machine SF0 SF2

acquisition SP0 SP0 SP2 SP2
(communicateur) JBUS micro Z JBUS micro Z

Coupleurs acquisition Coupleurs acquisition

JBUS micro Z

Composants de base Automates Cartes micro Z

Figure 10 – Architecture du serveur
de données

Matières Centre
Gestion Radio- Modes de maintenance
de base
magasin protection opératoires des logiciels
et déchets

Réseau HAGUENET
Modes
COCIXI Chef Matières Historique
opératoires
Conduite de de base Suivi
Gestion et déchets
ventilation quart d'exploitation
magasin (SMBD) Transferts
(pièces de Analyse
rechange)

PCC BAILEY SAD

Analyse Analyse Automates
COCIXI
historique micro Z
1 an
Suivi COCIXI
Suivi
d'exploitation Traceur
d'exploitation

BUS BAILEY 1-2 SAD

Concentrateur
J-BUS

SOLAR
API API MuR PICB J-BUS
Fonction Radio- Détection
passerelle Mécanique Mécanique Ventilation Électricité
protection incendie
Régulations mesures
J-BUS
SAD MICRO Z Interface SAD API

Réseau HAGUENET

Figure 11 – Architecture générale de conduite de l’usine UP3

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
BN 3 411 - 18 © Techniques de l’Ingénieur, traité Génie nucléaire

Dossier délivré pour

DOCUMENTATION
30/09/2008
Dossier délivré pour
DOCUMENTATION
30/09/2008
_____________________________________________________________________________________ CONTRÔLE-COMMANDE DES RÉACTEURS ET DES USINES

Poste
Salles électroniques
Postes de conduite locale mécanique ingénieur sécurité
SYDDEX SAD COGEMO exploitation Conduite locale
bancs de prise
d'échantillons

RCI (B) R1/R2

RCL
RIA

RTX (B)
Salle de contrôle : chef de quart Suivi d'exploitation Conduite immédiate Voie A Conduite immédiate Voie B
Demandes d'analyses
SUPERVISION CDQ
SYDDEX SAD SE COGEMO
VS 4000 VS 4000
TX

RTX (B)
RIA RIA

RCI (B)
RCI (A)
RCL

Communicateur Communicateur Communicateur

Conduite locale Voie A Voie B
mécanique

RIA

CDQ chef de quart RTX réseau pour terminaux X

COGEMO modes opératoires SAD système d'aide au diagnostic

RCL réseau de conduite locale SE suivi d'exploitation

RCL A ou B réseau de conduite immédiate A ou B SYDDEX système de documentation et données pour l'exploitant

Figure 12 – Architecture générale de conduite de l’usine UP2 800

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire BN 3 411 - 19

Dossier délivré pour

DOCUMENTATION
30/09/2008
 Dossier délivré pour
DOCUMENTATION
30/09/2008
CONTRÔLE-COMMANDE DES RÉACTEURS ET DES USINES _____________________________________________________________________________________

Applications locales VS 4 000

(Seules sont représentées
les applications principales)
Accueil

Applications distantes Applications locales

Tendances (fenêtres X)
COGIMAGE et
historiques VS 4 000
SAD Accueil
(Seules sont représentées SYDDEX
les applications principales)
Archivage immédiat COGEMO Tendances
COGIMAGE et
GP historiques

SL1 SL2 SL3 GTL

SF Archivage immédiat
ANA
CMLNET
DECNET Restitution centralisée
VOTS
RIA - Réseau de service SL1 SL2 SL3
SF
Serveur X
Réseau de conduite (RCIA) CMLNET
DECNET
VOTS
RIA - Réseau
de service
Réseau
UC Conduite RTX B de conduite (RCIB)
UC GP
486/133 SE 486/133 SE
INA 960 INA 960 Applications
distantes
CMLNET CMLNET UC Conduite UC GP
SF SF 486/133 SE 486/133 SE
SP SP SAD - INA 960 INA 960
SPACE SPACE SYDDEX CMLNET CMLNET
DEC 5 000
Acquisition Acquisition Acquisition Acquisition SF SF
JBUS mR JBUS mR SP SP
SPACE SPACE
Carte MIX Réseau interne multibus 2
486/020 Acquisition Acquisition Acquisition
Acquisition
COGEMO JBUS/API JBUS/API mR
Coupleur SUN
Coupleur
Réseau interne multibus 2
JBUS mZ Cartes
186/450

Cartes
Cartes d'acquisition GP, GTL, Coupleur Coupleur 186/450
ANA, JBUS mZ
Communicateurs Restitution
centralisée Carte MIX
CLUSTER Cartes d'acquisition
Figure 13 – Conduite UP2 800. Architecture logicielle du poste 486/020
VAX
de conduite A
Communicateurs

Figure 14 – Conduite UP2 800. Architecture logicielle du poste

ipso facto une modification des architectures. D’une façon générale, de conduite B
deux notions principales sous-tendent cette évolution, à savoir :
— décentralisation de l’intelligence au niveau bas de l’architec-
ture ; La normalisation 4-20 mA du signal analogique qui paraît natu-
— utilisation des réseaux de terrain ou d’équipements. relle aujourd’hui a tout de même nécessité plusieurs années
d’efforts.
Cette décentralisation de l’intelligence s’accompagne d’une
nécessité de normalisation de protocole de communication afin Aujourd’hui se pose le problème de la normalisation entièrement
d’assurer l’interopérabilité et l’interchangeabilité de matériels (cap- numérique des données, des commandes, des protocoles de trans-
teurs, actionneurs, système de traitement) provenant de fournis- mission, etc., dans le domaine complet de la conduite (capteurs,
seurs de divers horizons. Un réseau de terrain utilisant ce protocole système de traitement, communication homme-machine,
normalisé permet d’assurer la communication entre tous les com- réseaux...).
posants. En revenant 25 ans en arrière, dans un domaine beaucoup Le réseau de terrain normalisé au plan internationnal (l’équivalent
plus limité que celui d’aujourd’hui puisqu’il n’intéressait que les d’Ethernet, réseau normalisé de fait pour les couches hautes) n’est
mesures continues, qui ne se souvient pas des querelles passion- pas encore pour demain : les réseaux de terrain (associés à leur pro-
nées, entre constructeurs notamment, pour choisir une norme de tocole) sont nombreux, les plus connus étant FIP (initiative fran-
représentation analogique du signal de sortie 10-50 mA, 4-20 mA, çaise), PROFIBUS (initiative Siemens) et ensuite plusieurs outsiders
0-20 mA, 0-10 V, 2-10 V, 1-5 V, - 5 V + 5 V, etc. (DEVICENET, INTERBUS.S). En attendant une normalisation interna-

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
BN 3 411 - 20 © Techniques de l’Ingénieur, traité Génie nucléaire

Dossier délivré pour

DOCUMENTATION
30/09/2008
Dossier délivré pour
DOCUMENTATION
30/09/2008
_____________________________________________________________________________________ CONTRÔLE-COMMANDE DES RÉACTEURS ET DES USINES

tionale toujours promise pour demain malgré quelques rapproche- — la régulation est faite par des cartes spécialisées implantées
ments de point de vue (WORLDFIP, ISP, FIELDBUS FOUNDATION), dans les automates ;
un protocole mixte (analogique + numérique) s’impose sur le mar- — suppression des communicateurs : la connexion entre les
ché des transmetteurs de contrôle industriel comme un standard de automates et les postes de conduite doublés est faite via 2 réseaux
fait : il s’agit du protocole HART utilisé par 80 % environ des Ethernet reliant les postes de conduite à 2 cartes Ethernet implan-
constructeurs de matériels de contrôle industriel. Il superpose au tées dans les automates APRIL 7000 ;
signal analogique de mesure 4-20 mA, un signal modulé fournis- — utilisation de transmetteurs intelligents ROSEMOUNT utilisant
sant un certain nombre d’informations numériques de paramétrage le protocole HART ;
ou d’état. — utilisation de contacteurs intelligents (Verger Delporte Indus-
En résumé, le choix d’un réseau de terrain est difficile et surtout trie) dialoguant en liaison JBUS (2 voies), d’une part, avec les auto-
prématuré qu’il est possible de différer : c’est la position adoptée par mates procédé (écriture-lecture) et, d’autre part, avec un automate
la Cogema (usines de La Hague) pour les prochains ateliers ACC et de gestion technique [API électricité (lecture seulement)].
R4 dont le démarrage est prévu au début des années 2000. L’apport des contacteurs intelligents est le suivant :
La non-utilisation d’un bus de terrain n’empêche pas d’utiliser, — diminution du câblage ;
avec certes quelques difficultés, des capteurs intelligents avec le
— restitution en ligne des paramètres du moteur, des valeurs de
protocole HART ou des contacteurs intelligents avec un protocole
courant, tension, courants homopolaires, des temps de marche, du
JBUS. L’ atelier Extension BST1 qui a démarré en 1996 et les futurs
nombre de démarrage... ;
atelis (ACC, R4) mettent en œuvre ces nouvelles technologies (voir
paragraphe suivant). — contrôle de la limitation du nombre de démarrage dans
l’heure ;
L’apport des capteurs intelligents est le suivant : — protection moteur améliorée par le contrôle en ligne de l’évo-
— amélioration de l’exactitude ; lution de l’image thermique du moteur : le dépassement d’un seuil,
— élargissement de l’étendue de mesure ; signifiant une augmentation du couple résistant synonyme d’un
— maintenabilité améliorée. frottement mécanique ou d’une usure, entraîne un avertissement de
l’opérateur ;
[Link] Évolution des architectures — gestion technique, bilans... ;
Les nouveaux ateliers, Extension BST1 (qui a démarré en 1996), — connaissance de la position de consignation : aide à la fonction
ACC et R4 qui démarreront en 2000, bien que faisant partie de disponibilité des installations.
l’usine UP2 800, ont vu leur architecture évoluer pour tenir compte La figure 15 donne le schéma d’architecture de l’atelier Extension
des modifications suivantes : BST1.

SAD
PCI PCI SYDDEX
normal secours TX COGEMO

RCI A

RCI B
RIA
RIA / RTX UP2 800
[ ]
HAGUENET
[ ] HAGUENET

SAD SYDDEX COGEMO API API API

7 000 7 000 électricité
procédé procédé

JBUS JBUS

Contacteurs Contacteurs
Figure 15 – Schéma d’architecture de l’atelier
intelligents intelligents
Extension BST1

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire BN 3 411 - 21

Dossier délivré pour

DOCUMENTATION
30/09/2008
 Dossier délivré pour
DOCUMENTATION
P 30/09/2008

O
U
Contrôle-commande des réacteurs R
et des usines : architecture générale
E
N
par Bernard APPELL
Ingénieur de l’École supérieure d’électricité
Directeur adjoint du Service études et projets thermiques et nucléaires SEPTEN-EDF
S
Guy GUESNIER
Ingénieur de l’École supérieure d’électricité, Docteur-ingénieur
A
et
Chef de la division contrôle-commande au SEPTEN-EDF
Jean CHABERT
V
Ingénieur-conseil
Ancien Directeur technique SGN et chargé de mission à la Cogema (BR/DT) O
I
Bibliographie R
Références B 3 470 (1998). Traité Génie nucléaire, volume 8e colloque de fiabilité et maintenance. Greno-
[1] Commission Électrotechnique Internationale B II. ble, oct. 92.
- Norme de la CEI - Publication 880 : LEGRAS (A.) et QUENOT (D.). – Qualité et qualifica- CHABERT (J.) et NICOLET (J.L.). – Vers une nouvelle
« Logiciels pour les calculateurs utilisés dans
les systèmes de sûreté des centrales
tion des systèmes programmés. BN 3 425
(1998). Traité Génie nucléaire, volume B 8I.
ligne de partage entre l’homme et les automa-
tismes. AIEA Munich, juin 90.
P
nucléaires », première édition 1986 ; Bureau

[2]
central de la CEI, Suisse.
RCCE - Règles de conception et de construc-
Autres ouvrages
BERN (J.B.) , CHABERT (J.) et LEGRAND (F.). – Con-
CHABERT (J.), PEROT (J.P.) et SILVAIN (B.). – Total
Data Managment System for La Hague Facili-
ties. RECOD 91.
L
tion des matériels électriques des îlots trôle et conduite de procédé dans les nouvelles
nucléaires (édition janvier 1993) - AFCEN
(Association française pour les règles de con-
usines de retraitement de La Hague. RECOD 87.
BERN (J.B.) , CHABERT (J.) et LEGRAND (F.). – Pro-
CHABERT (J.). – Supervision : La Hague vitrine des
technologies. Industries et Techniques janv. U
ception et de construction des matériels des 1991.

[3]
chaudières électro-nucléaires), Paris.
Règles Fondamentales de sûreté - Direction
cess control and monitoring in the new repro-
cessing plant at La Hague. IAEA - CN49 TOKIO
15 au 18/02/88.
PEROT (J.-P.). – La conduite du procédé dans les usi-
nes de retraitement de combustibles irradiés.
S
de la Sûreté des Installations Nucléaires ; BERN (J.-B.) et CHABERT (J.). – Diagnostic Aid and RGN 1993 n° 5, sept./oct.
Ministère de l'industrie, PARIS. Maintenance at the La Hague Reprocessing SILIE (P.). – Les systèmes de conduite centralisés
Dans les Techniques de l’Ingénieur plant - OPERA 89. des usines de retraitement. RGN 1993 n° 5 -
JOVER (P.). – Instrumentation nucléaire dans les CHABERT (J.). – Concept global de conduite et de sept./oct.
réacteurs. B 3 410 (1987). Traité Génie nucléaire, maintenance dans l’usine de retraitement de La PIGNAULT (J.). – Conception d’une salle de con-
volume B 8I. Hague. Entretiens de Cherbourg sur la mainte- duite centralisée. Application aux extensions La
nance des systèmes complexes. Hague. RGN 1993 n° 5 - sept./oct.
APPELL (B.) et CHAMBON (Y.). – Procédures de con-
duite, traitement de l’information et interface CHABERT (J.). – General control and maintenance CHABERT (J.) et MICHON (J.-C.). – Systèmes de
homme-machine. BN 3 421 (1998). Traité Génie concept for the La Hague spent fuel reproces- conduite des usines UP3, UP2 800. Utilisation
nucléaire, volume B 8I. sing plant. ENC 90. d’outils pour le diagnostic et le suivi des logi-
JEANNOT (A.) et LE MEUR (M.). – Systèmes de pro- CHABERT (J.) et NICOLET (J.L.). – Vers un poste de ciels. Journées électroniques du CEA - JE 95.
tection des centrales nucléaires françaises. conduite et de maintenance intégrées. Électronique et informatique pour la sûreté.

Constructeurs et fournisseurs
Elsag Bailey Hartmann & Braun SA. Schneider Electric SA Syséca SA.
Usine M3. Sofrelog SA.
Sema Group Cegelec
Division Energie et Industrie. Division ERE-P.

Organismes et laboratoires
Laboratoire Central des Industries Électriques LCIE Centre d’Essais en Environnement Sopemea

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

est strictement interdite. - © Techniques de l’Ingénieur, traité Génie nucléaire Doc. BN 3 411 - 1

Dossier délivré pour

DOCUMENTATION
30/09/2008