20 avril 2009

Accident de Three Mile Island, là aussi, très probablement un sabotage gouvernemental 2

2) Critique de la version officielle


A) La liste des problèmes techniques ou humains

On a donc une accumulation de 20 problèmes techniques ou humains.

1) Le circuit d'eau qui est raccordé au circuit d'air, ce qui entraine que l'eau s'introduit dans le circuit d'air, ferme les vannes raccordant les déminéraliseurs au circuit secondaire et donc aboutit à l'arrêt des pompes du circuit secondaire.

2) Le fait que le blocage du circuit secondaire à cause des valves des déminéraliseurs avait été prévu, et un système empêchant leur fermeture installé, mais qu'il n'avait jamais été raccordé.

3) le fait que les vannes d'alimentation du circuit de secours secondaire soient restées fermées suite à un test 42h avant. Alors que la procédure indique bien qu'elles doivent être immédiatement rouvertes.

4) Un des indicateurs indiquant la fermeture de ces vannes qui est recouvert d'une étiquette de maintenance, empêchant ainsi les opérateurs de se rendre compte de la fermeture.

5) Le fait que les opérateurs ne soient pas capables de voir que l'indicateur de fermeture/ouverture des vannes est caché par une étiquette de maintenance.

6) Les opérateurs qui ne voient pas l'indicateur de la deuxième vanne, qui lui, n'est pas caché par une étiquette. Et ce, pendant 42h !

7) La présence des deux problèmes précédents alors qu'une des premières choses à vérifier dans la check-list des opérateurs de la salle de contrôle est le flux du circuit de secours grâce aux indicateurs en question.

8) Le design mal conçu du circuit de contournement, dans le circuit secondaire, qui fait que la pompe à vide s'arrête quasi immédiatement, ce qui fait que l'eau doit sortir directement dans l'atmosphère.

9) la soupape de décharge du circuit primaire qui reste ouverte alors qu'elle aurait du se fermer.

10) La désactivation par les opérateurs de l'injection d'eau automatique dans le circuit primaire. Ce qui fait que la perte en eau à cause de la soupape de décharge restée ouverte n'a pas pu être compensée.

11) l'indicateur de la soupape qui n'indique que le fait que l'ordre de fermeture a été donné, mais pas si la soupape est ouverte ou fermée (et donc pas si l'ordre de fermeture a été exécuté avec succès). Ceci alors qu'il est connu que la soupape de décharge a une durée moyenne de seulement 40 réussites avant de connaitre un échec de fermeture.

12) l'indicateur de niveau d'eau du circuit primaire qui dans certains cas, tout de même certainement assez fréquents, ne donne pas la bonne pression, soit disant à cause d'un phénomène qui ferait que l'eau, via des mouvements complexes avec la vapeur, tromperaient l'indicateur ; faisant ainsi croire que le niveau d'eau reste correcte (ou même est au maximum) alors que ce n'est pas le cas. Il est vrai qu'on pensait que c'était suffisant, parce que la soupape était sensée ne s'ouvrir que rarement (la même vanne sur l'unité 1 de Three Mile Island n'avait jamais été ouverte, sauf lors de tests). Mais on savait aussi que le défaut dans la conception du condenseur de l'unité 2 entrainait qu'elle s'ouvrait à chaque arrêt de la turbine génératrice.

13) Le fait que lorsque le réservoir dans lequel se déversait l'eau du circuit primaire via la soupape s'est rapidement retrouvé plein, les opérateurs aient ignoré pendant 3 heures l'alarme qui s'est alors déclenchée.

14) Le fait qu'un opérateur lise le mauvais indicateur quand on lui demande de donner la température à la sortie de la soupape du circuit primaire. Alors que s'il avait lu le bon indicateur, la température élevée affichée aurait montré que la soupape n'était pas fermée.

15) Le fait que les opérateurs aient également ignoré pendant 3h le fait qu'une température supérieure à la normale ait également été détectée dans la canalisation liée à la soupape de décharge.

16) Le fait que les opérateurs aient ignoré pendant 3h l'indication d'une température et une pression supérieures dans le bâtiment de confinement. Ce qui indiquait clairement qu'il y avait un problème.

17) Le fait que les opérateurs n'aient pas observé pendant au moins 2h que les réservoirs du bâtiment auxiliaire recevant l'eau radioactive venant du bâtiment de confinement se remplissaient.

18) Le fait que les alarmes à la radioactivité n'aient pas retenti quand le réservoir de confinement s'est crevé et que l'eau radioactive s'est déversée dans le bâtiment de confinement. Et également le fait que, bizarrement, elles aient fonctionné 3h plus tard (ce qui veut dire qu'elles fonctionnaient). Ou alors, (puisque le fait que les alarmes n'aient pas retentie n'est défendu que dans un document), le fait que les alarmes se soient déclenchées, mais que les opérateurs ne s'en soient pas rendu compte, et ce pendant plus de 3h.

19) Le fait que Fréderick ait consulté l'indicateur de niveau d'eau dans le réservoir de confinement trop tard, c'est à dire après que le disque de sécurité de celui-ci se soit brisé et que le réservoir se soit vidé. Ce qui fait que l'indicateur était revenu à un niveau normal.

20) Le fait que les opérateurs se rendent compte que les pompes du circuit primaire se sont mises à vibrer fortement, qu'ils coupent les pompes en question ; mais qu'ils ne comprennent pas que ça signifie qu'elles pompent plus de vapeur que d'eau et que ça veut donc dire qu'il n'y a plus assez d'eau dans le circuit primaire.


B) Analyse des problèmes techniques et de ceux liés aux opérateurs

Tous ces problèmes, ça fait beaucoup. Ca fait même énorme. Ca fait beaucoup trop pour que la thèse de l'accident soit crédible. Surtout que ce ne sont pas des petits problèmes ou des problèmes logiques ; non, ce sont des problèmes énormes et incroyables.
Quelle est la probabilité que 20 choses aussi incroyables arrivent le même jour dans un endroit aussi contrôlé qu'une centrale ? 1 sur 100 millions ? Non, la seule raison possible à une telle accumulation d'évènements, c'est un sabotage.


- Le problème initial des déminéraliseurs

Ce qui s'est passé à ce moment là est déjà très suspect.

Le fait de raccorder un circuit d'eau au deuxième système pneumatique indique déjà clairement une volonté de sabotage, surtout juste avant une opération de maintenance sur les déminéraliseurs. L'explication fournie selon laquelle quelqu'un aurait peut-être voulu pressuriser le circuit d'eau ou connecter ensemble les deux systèmes pneumatiques en faisant une erreur de connexion semble complètement tirée par les cheveux. Et puis personne n'irait prendre la responsabilité d'une telle chose sans en référer à un responsable. Il est rigoureusement impossible qu'un simple opérateur se soit amusé à faire ça sans ordres venant d'un supérieur hiérarchique. Et si un responsable avait donné un tel ordre, l'opérateur l'ayant exécuté ne se serait pas gêné pour en parler lors de l'enquête. Donc, en réalité, il n'y a aucune explication convaincante à cet acte en dehors d'une volonté de sabotage.

Le fait que les opérateurs n'aient pas vu qu'il y avait un tuyau raccordant le circuit d'eau au système pneumatique contrôlant les valves est très louche. On nous dit qu'il faisait sombre à cet endroit. Comme s'ils travaillaient dans le noir, comme s'il n'y avait pas suffisamment de luminosité pour qu'ils voient ce problème de raccordement non autorisé. Et même si c'était le cas, on peut imaginer qu'ils auraient alors amené des lampes torches.

On se demande d'ailleurs pourquoi tout ça n'est pas arrivé plus tôt, quand le tuyau a été raccordé. La personne (en supposant que ça ait été fait sans volonté de sabotage) qui a raccordé les deux systèmes a du le faire pour se servir immédiatement de ce bricolage. Dans ce cas, ça aurait du déclencher la catastrophe à ce moment là. Peut-être qu'il fallait ouvrir en plus une autre valve pour que l'eau déferle dans le système d'instruments à air. Donc, on ne peut effectivement pas être sur que ça aurait du obligatoirement se produire plus tôt. Mais il y a quand même un gros doute sur ce point.

Par ailleurs, concernant l'enquête réalisée après "l'accident", il est dit que le NRC a émis la présente hypothèse sur la cause de ce blocage des valves des déminéraliseurs. Seulement, lors de la réalisation d'une expérience pour vérifier l'hypothèse, ils ont été incapables d'obtenir le résultat attendu. Donc, le raccordement du circuit d'eau au système pneumatique ne permet pas de bloquer les valves contrôlées par celui-ci. Donc, l'explication officielle concernant les valves qui se seraient bloquées à cause de l'eau sous pression qui se serait introduite dans le circuit pneumatique ne tient pas.

Donc, il est bien possible que le raccordement entre les deux circuits ait été réalisé après coup et qu'en réalité ce qui a causé la fermeture des valves serait un ordre volontaire de la part des opérateurs, ou alors, un sabotage sur un élément du circuit pneumatique, là encore, par les opérateurs.

Par ailleurs, l'histoire de la fermeture des valves des déminéraliseurs a tendance à être simplifiée dans ce qu'on peut lire dans la plupart des descriptions. En fait, c'est seulement le premier déminéraliseur qui a été bloqué. Les valves des 8 autres déminéraliseurs auraient du rester ouvertes et le flux d'eau aurait donc du continuer à passer. Mais elles se sont fermée quasiment en même temps que celles du premier déminéraliseur. L'explication donnée officiellement serait une mystérieuse erreur de connexion qui aurait entrainé que les autres déminéraliseurs devaient se fermer quand le premier le faisait. On aurait donc encore une autre erreur de connexion. Ca commence à faire beaucoup. Et puis, là aussi, on imagine qu'une telle chose ne peut pas se faire sans l'assentiment d'un responsable. Et on peut penser que l'exécutant aurait ensuite donné le nom du responsable à l'origine de l'erreur. Donc, on peut imaginer qu'en fait d'erreur de connexion, celle-ci était en réalité tout à fait volontaire.

Il est dit également qu'on a constaté qu'une canalisation d'air comprimé d'un des déminéraliseurs était cassée. Selon les enquêteurs, l'air ne pouvait pas se déverser dans le déminéraliseur, parce qu'une valve automatique aurait du se fermer alors automatiquement. Seulement, un opérateur a témoigné par la suite avoir entendu de l'air fuir dans le déminéraliseur au moment de l'accident. Une hypothèse avancée par un opérateur est que c'est un coup de bélier qui a cassé la canalisation en question. Mais les enquêteurs du NRC ont estimé par la suite que le coup de bélier n'avait pas été aussi important que l'opérateur l'avait affirmé. Donc, puisque selon les enquêteurs, ça ne pouvait pas être une cause naturelle qui avait causé la cassure de la canalisation d'air, on peut là aussi penser à un sabotage.

http://www.tmia.com/old-website/tmisab.html

Ensuite, un peu plus tard, il y a le problème des vannes du circuit de secours fermées et non rouvertes suit à une intervention 42h avant. Alors que la procédure dit expressément qu'elles doivent être rouvertes. Une "erreur" humaine de plus.

Par ailleurs, autre erreur, les opérateurs ne remarquent pas la lumière indiquant que les vannes sont restées fermées ; pour l'une, parce qu'une étiquette de maintenance cache la lampe, et pour la deuxième tout simplement parce qu'ils ne la remarquent pas. On peut bien sur se poser des questions sur la raison de la présence de l'étiquette de maintenance. Mais c'est surtout, le fait que la lumière qui n'était pas cachée n'ait pas été remarquée pendant 42 heures qui est extrêmement louche (le fait qu'ils n'aient pas tilté sur la présence de l'étiquette de maintenance est louche aussi, mais dans une moindre mesure). Pendant 42h, les opérateurs de la salle de contrôle ont une lumière qui est allumée alors qu'elle ne l'est jamais, ils savent à quoi correspondent cette lumière, et pourtant, ils ne la remarquent pas. Et à ce moment là, on ne peut pas invoquer le fait qu'ils étaient submergés par les alarmes. Donc, c'est très très louche.

Mais il fallait qu'il y ait tout ces dysfonctionnements si on voulait que l'accident arrive. Si le circuit d'eau n'avait pas été raccordé au circuit d'air comprimé commandant les valves du premier déminéraliseur, pas de raison que ce dernier se bloque. Si le circuit d'air comprimé du deuxième déminéraliseur n'avaient pas eu une erreur de connexion, pas de raison non plus que celui-ci se bloque, et du coup, pas de blocage du circuit secondaire. Et si les vannes du circuit de secours avaient été ouvertes, le circuit secondaire aurait été alimenté en eau après quelques secondes de blocage, et alors, pas de problème de montée de température dans le circuit secondaire, et donc, pas non plus dans le circuit primaire. De même, il fallait que les alarmes indiquant pourtant clairement que les vannes étaient fermées soient ignorées par les opérateurs pendant plus de 42 heures. Sinon, s'ils avaient réagi immédiatement, même problème : le circuit secondaire et le circuit primaires n'auraient eu aucun problème de montée en température. Donc, pas d'ouverture de la soupape de décharge dans le circuit primaire et pas de fonte du coeur.

Au passage, le fait d'avoir résolu le problème des vannes bloquées du circuit secondaire n'a rien d'extraordinaire. Dans la mesure où il doit certainement y avoir un indicateur de chaleur dans le circuit secondaire, ils ont très vite vu que le circuit secondaire ne se refroidissait pas. Donc, ça voulait forcément dire que les vannes étaient restées fermées. Je dis ça parce qu'on nous donne l'impression que vu qu'il y avait plein d'évènements qui se passaient, tout devait être super compliqué et que donc, les opérateurs ont réagit de façon très intelligente. Non, c'était complètement basique.


- Le problème de l'indicateur de niveau d'eau pendant les 10 ou 15 premières minutes

La partie de "l'accident" concernant le circuit primaire montre encore mieux la volonté de sabotage.

Déjà, les explications pour justifier la désactivation de l'injection automatique d'eau sont cousues de fil blanc. Cette histoire de l'indicateur de niveau d'eau qui n'indique plus correctement celui-ci quand la soupape décharge est ouverte ne tient absolument pas debout.

Déjà, si les mouvements d'eau et de vapeur avaient été complexes comme on peut le lire dans les comptes-rendus de l'accident, ils auraient également été instables. Donc l'opérateur en charge de l'analyse de la pression aurait du constater des variations continuelles du niveau d'eau.

Dans le même genre d'idée, il semble qu'on nous dise que la pression a augmenté petit à petit. Si l'indicateur de niveau d'eau était perturbé par des mouvements d'eau, en dehors de la situation conduisant à des variations continuelles de pression, éventuellement, il y aurait pu y avoir celle (très peu probable, mais bon, supposons) où l'indicateur aurait été poussé à son maximum en permanence. Mais alors, la pression n'aurait pas augmenté de façon régulière, mais elle aurait été au maximum aussitôt. Mais, en dehors de ces deux situations (variation, ou mise de l'indicateur au maximum), on voit mal comment des mouvements d'eau complexes, donc erratiques, aurait pu engendrer une augmentation progressive du niveau d'eau.

Et puis, une fois que l'injection d'eau a été désactivée, on ne sait pas trop ce qui est arrivé à l'indicateur de niveau d'eau. Est-ce que le problème a été résolu ? A priori, oui, vu qu'il semble qu'on dise que la pression d'eau baissait. Et par la suite, quand l'injection d'eau a été réactivée, il ne semble pas qu'on parle à nouveau de ce problème. Donc, pourquoi y aurait-il eu un dysfonctionnement juste au début ? Mystère. Si c'est parce qu'il y avait encore de l'eau dans le pressuriseur (donc, au tout début du problème, bien avant qu'il y ait surtout de la vapeur dans le circuit primaire), alors ça voudrait dire que ça arriverait essentiellement lors de situations peu éloignées de la normale. Donc, ça devrait arriver quasiment à chaque fois qu'il y a ouverture de la soupape pendant 5 ou 6 minutes. Si la soupape s'ouvre, c'est parce que la chaleur et donc, la pression, deviennent trop important dans le circuit primaire. Donc, il y a de fortes chances pour qu'il y ait alors formation de mouvements de vapeur ou d'eau complexes dans le pressuriseur. Et si ça arrivait souvent, il y a longtemps que les opérateurs s'en seraient aperçus.

Si ça n'était pas connu et résolu, c'est tout simplement que de tels mouvements n'existent pas. C'est une pure invention ad hoc pour expliquer que les opérateurs n'aient pas réagi. Si c'était connu, les concepteurs de la centrale auraient mis d'autres types de détecteurs pour éviter que le problème ne soit pas détecté.

Et par ailleurs, les concepteurs de l'indicateur de niveau d'eau du pressuriseur s'en serait évidemment aperçu lors des tests sur l'indicateur.

On nous dit que quand l'injection de sécurité a été coupée, après quelques minutes, l'indication de niveau d'eau est redescendue. Ca indiquait bien que la pression diminuait. Donc, ça veut dire que l'indicateur de niveau d'eau fonctionnait à nouveau correctement. La baisse progressive de la pression indiquait donc clairement qu'il y avait une perte de liquide. Donc, à ce moment là, les opérateurs auraient du comprendre immédiatement que la soupape était restée ouverte.

Par ailleurs, il devait bien y avoir un indicateur de pression. Là, il s'agissait d'un analyseur de niveau d'eau apparemment. Donc, s'il y avait un analyseur de pression par ailleurs (n'ayant pas de raison de mal fonctionner, lui), il y aurait bien eu un deuxième indicateur contredisant le premier.


- La soupape qui ne peut se fermer que 40 fois

Ensuite, cette histoire de soupape qui ne peut se fermer avec succès que 40 fois avant de connaitre un échec de fermeture est elle aussi fortement suspecte.

On imagine assez mal, pour un élément aussi critique, dans un environnement où les problèmes de sécurité sont cruciaux, qu'on puisse avoir un matériel qui soit si peu fiable. Il est dit que cette soupape était sensée ne fonctionner que très rarement. Mais même très rarement, vu le rôle absolument crucial de cette soupape, il aurait du être hors de question qu'elle ait une fiabilité si faible. Par ailleurs, on voit mal ce qui poserait problème pour la fermeture d'une simple soupape.

Il est dit que le problème était qu'elle était conçue pour ne jamais poser de problème à l'ouverture, mais qu'en contrepartie, elle posait fréquemment des problèmes à la fermeture. Mais dans ce cas, on double la soupape avec une autre soupape en aval, qui elle, n'a pas ces problèmes de fermeture.

Et si cette deuxième soupape est suspectée d'avoir des problèmes à l'ouverture, alors on fait un deuxième circuit de décharge. Comme ça, aucun danger que la pression ne puisse être évacuée, et aucun danger non plus que le liquide du circuit primaire puisse s'échapper à cause d'une défaillance de la soupape à la fermeture.

En tout cas, si on laisse la soupape sans doublon, on fait alors en sorte d'avoir des indicateurs qui donnent précisément la situation de la soupape ; avec des détecteurs redondants bien sur.

Le fait que l'indicateur de la soupape ne signale que le fait que l'ordre d'arrêt ait été donné, mais qu'il n'y ait aucun indicateur donnant exactement la situation de la soupape (ouverte ou fermée) est donc assez incroyable. Pourquoi faire une alarme qui ne sert qu'à dire que l'ordre a bien été donné, alors qu'on sait que la soupape est foireuse et ne peut servir qu'une quarantaine de fois ? Bonjour le truc louche.

Surtout qu'il semble clair que le problème ne vient pas d'une usure trop rapide du mécanisme de la soupape, mais qu'il s'agit d'un problème aléatoire. Donc, un changement de soupape, ou l'entretien de celle-ci n'auraient eu aucun effet sur le nombre de cycles avant le premier échec de fermeture. Le problème devrait donc arriver tôt ou tard dans une centrale. La présence d'indicateurs pour signaler son état réel était donc d'autant plus nécessaire.

La version la plus plausible c'est que la soupape avait une durée de fonctionnement avec succès bien supérieure à ce qu'on nous dit. Cette histoire serait donc une explication ad hoc pour nous faire accepter le fait que la soupape soit tombée en panne juste à ce moment-là. C'est sur qu'avec tous les autres dysfonctionnements et "erreurs" des opérateurs, si le problème de la soupape avait été considéré comme exceptionnel, l'idée d'un sabotage aurait pu venir à l'esprit des gens. Ca aurait pu être la goutte d'eau qui fait déborder le vase. En fait, la soupape devait fonctionner parfaitement, mais, elle a du être sabotée (ou c'est le logiciel commandant sa fermeture qui a été saboté).


- Les opérateurs ne comprennent pas pendant plus de 3h que la soupape est restée ouverte

Le fait que pendant deux heures, les opérateurs ne s'aperçoivent pas que la soupape est restée ouverte est totalement incroyable. C'est clairement l'élément le plus incroyable de tous, celui qui indique clairement la volonté de sabotage.

Il y a trop d'éléments qui montraient que la soupape était restée ouverte pour que les opérateurs n'aient pas pu comprendre qu'elle l'était.


  • La température qui monte et la pression qui baisse indiquaient clairement d'où venait le problème

Déjà, le fait le plus évident est que la température continuait à augmenter de plus en plus dans le circuit d'eau primaire alors que la pression diminuait. Si la pression baissait et que la température augmentait, c'est forcément que : soit le système (et donc la soupape) n'était pas fermé et il y avait perte de liquide ; soit l'indicateur de température était déréglé.

La première hypothèse à retenir était qu'il n'y avait pas erreur d'indicateur. Dans ce cas, le fait que la pression diminue alors que la température augmentait montrait sans ambigüité que le système n'était pas fermé. Dans un système fermé, les variations de ces deux mesures vont dans le même sens. Si ça va dans le sens contraire, c'est que le système n'est pas fermé. Et s'il n'était pas fermé, c'était forcément que la soupape ne s'était pas refermée. Et vu la faible fiabilité de la soupape, on ne voit pas ce que les opérateurs auraient pu y trouver d'étonnant. Il aurait pu y avoir une fuite ailleurs bien sur, une brèche dans le circuit primaire. Mais la chose à vérifier en priorité, c'était nettement la soupape de décharge.

Dans le cas où la soupape aurait été fermée et que l'indicateur de température aurait été déréglé, ça veut dire qu'il n'y avait pas péril en la demeure et que tout était normal en réalité. Vu que le circuit secondaire était à nouveau en eau, il était évident que le circuit primaire était refroidi sans problème. Donc, c'était sur le problème éventuel de l'absence de fermeture de la soupape qu'il fallait concentrer les efforts d'analyse.

En fait, il ne pouvait même pas y avoir simplement erreur sur l'indicateur de température, puisque la pression baissait aussi, et s'est rapidement trouvée très basse. S'il n'y avait eu erreur que sur la température (donc elle baissait en réalité), et que la soupape était réellement fermée, alors, la pression aurait du baisser bien sur, mais seulement légèrement. Elle n'aurait pas baissé aussi fortement. Donc, si la soupape était fermée, ça veut dire que les deux indicateurs étaient faux, la température, et la pression. Vu que la probabilité que les deux indicateurs soient défaillants était très faible, ça voulait donc clairement dire que c'était la deuxième solution la bonne : la soupape était restée ouverte, et donc, le circuit primaire perdait du liquide, ce qui faisait baisser la pression et augmenter la température.

Donc, tout devait faire diriger l'analyse en priorité vers l'état de la soupape de décharge ; et seulement après, éventuellement, l'indicateur de température.

Une fois ceci posé, il est clair qu'en plus de vérifier tous les indicateurs pouvant révéler que la soupape était restée ouverte, il fallait faire immédiatement un test de réaction du circuit primaire en fermant la vanne située derrière la soupape de décharge. Si la température était montée moins vite, ou s'était stabilisée, voir s'était mise à descendre, et si la pression s'était mise à remonter, il aurait était immédiatement certain que c'était bien la soupape le problème. Le fait que les opérateurs présents n'aient pas effectués cette opération est là aussi extrêmement louche.

Donc, le fait d'avoir ignoré les 4 ou 5 indicateurs exposant de façon évidente le fait que la soupape de décharge était restée ouverte montre déjà clairement un sabotage. Ces indicateurs étaient suffisants en eux-mêmes pour qu'il n'y ait aucun doute sur l'origine du problème (la soupape). Mais en plus, vu qu'il était déjà parfaitement clair d'un point de vu logique qu'il y avait perte de liquide dans le circuit primaire, le fait d'avoir ignoré ces indicateurs montre sans aucune ambigüité le fait qu'il y a eu sabotage de la part des opérateurs. Quand on sait qu'il n'y a que deux raisons possibles à un phénomène, et qu'on ignore systématiquement les indicateurs désignant clairement l'une de ces deux raisons, et qu'en plus, il est quasi impossible que ce soit l'autre cause (vu qu'ici, le circuit secondaire était en eau), c'est qu'il y a volonté de sabotage. Surtout quand cet aveuglement dure deux heures.


  • Des indicateurs ignorés pendant 3 heures

Les éléments permettant de se rendre compte que la soupape de décharge était restée ouverte sont : 1) Le fait que lorsque le réservoir dans lequel se déversait l'eau du circuit primaire via la soupape s'est rapidement retrouvé plein, les opérateurs aient ignoré pendant 3 heures l'alarme qui s'est alors déclenchée. 2) Le fait qu'un opérateur lise le mauvais indicateur quand on lui demande de donner la température à la sortie de la soupape du circuit primaire. 3) Le fait que les opérateurs aient également ignoré pendant 3h le fait qu'une température supérieure à la normale a également été détectée dans le tuyau lié à la soupape de décharge. 4) Le fait que les opérateurs aient ignoré pendant 3h l'indication d'une température et une pression supérieures dans le bâtiment de confinement. Ce qui indiquait clairement qu'il y avait un problème. 5) Le fait que Fréderick ait consulté l'indicateur de niveau d'eau dans le réservoir de confinement trop tard, c'est à dire après que le disque de sécurité de celui-ci se soit brisé et que le réservoir se soit vidé. Ce qui fait que l'indicateur était revenu à un niveau normal.

Concernant les problèmes 1, 3 et 4, ben voilà quoi. Pendant 3 heures, les opérateurs avaient ces indicateurs sous les yeux. Comme on l'a vu, ils savaient forcément que la cause la plus probable au problème rencontré était que la soupape était restée ouverte. Ces indicateurs impliquaient de leur coté forcément que la soupape de décharge était restée ouverte. Et pendant 3h, ils n'ont rien fait. Une telle chose est rigoureusement impossible sans volonté de sabotage. On ne peut pas ignorer systématiquement pendant 3 heures des indicateurs qu'on a sous les yeux sans que ce soit volontaire. Surtout quand on est plusieurs. Déjà, avec une personne seule, c'est complètement incroyable, alors, avec plusieurs personnes, c'est impossible.

Par ailleurs, on peut penser qu'il devait y avoir des indicateurs non précisés dans les divers articles sur "l'accident" qui devaient révéler le problème de la soupape. Par exemple, il devait y avoir d'autres outils pour connaitre la pression dans le circuit primaire. Dans un endroit aussi sensible, il y a évidemment redondance des instruments de mesure, pour que si un tombe en panne, deux ou trois autres puissent être consultés pour savoir ce qui se passe. On nous dit qu'une fois rempli, le réservoir de confinement se déversait ensuite dans l'enceinte de confinement. Là aussi, il devait y avoir un détecteur qui devait indiquer la chose. Et il devait y avoir des détecteurs de radioactivité dans l'enceinte de confinement. Donc, la présence d'eau radioactive aurait du être détectée immédiatement aussi par ce biais là.

Le fait que le technicien devant donner la température à la sortie de la soupape du circuit primaire à Zewe se trompe d'indicateur (pb 2) et lise la température de sortie d'une autre soupape fait un peu goutte d'eau qui fait déborder le vase. Au bout d'un certain nombre "d'erreurs" humaines (connexion du système d'air comprimé et d'eau, mauvaise connexion concernant le deuxième déminéraliseur, non vérification de l'ouverture des vannes, étiquette de maintenance sur un indicateur essentiel, autre indicateur visible mais ignoré, indicateurs systématiquement ignorés pendant 3 heures, etc…), on ne peut plus parler de maladresse ou d'erreurs, on ne peut parler que de traitrise. Mais, c'est sur que si on avait dit que Zewe n'avait pas pensé à ça, ça aurait paru beaucoup trop louche. Donc, on a dit qu'il y avait pensé, mais qu'il y a eu une erreur de lecture.

Concernant le fait que le superviseur ait regardé l'indicateur de remplissage du réservoir de confinement trop tard (pb 5), il faut voir le timing du truc. A la 8ème minute, le problème était réglé pour le circuit secondaire. Donc, les opérateurs pouvaient se concentrer sur le circuit primaire. Ils avaient déjà vu qu'il y avait un problème concernant celui-ci. Donc, ayant enfin le temps, ils auraient du se concentrer sur ce problème (qui est quand même l'élément le plus important de la centrale). Donc, vu qu'entre la 8ème minute et la 15ème, il y avait un indicateur montrant que le réservoir de confinement se remplissait, ils auraient du s'en apercevoir (on peut penser qu'il y avait une alarme le signalant). Ils avaient 7 minutes pour s'en apercevoir. Ensuite, quand le réservoir a été plein, il y a une alarme qui a retentit pendant 3h. Pendant 3h, les opérateurs ne pouvaient pas ne pas se rendre compte de ça. Quand le disque du réservoir de confinement s'est brisé et que l'eau s'est déversée hors du réservoir, un instrument de mesure à indiqué pendant 3h que la chaleur et la pression étaient supérieure à la normale. Les opérateurs ne pouvaient pas non plus passer à coté de ça.


  • Autres détails

Par ailleurs, on peut penser qu'ils devaient savoir exactement la quantité de liquide perdu par le circuit primaire. Il doit forcément y avoir un indicateur de remplissage du réservoir. Donc il suffit d'une simple soustraction pour savoir combien d'eau à été perdue par le circuit primaire et combien y avait été injecté par l'injection de sécurité. On sait alors combien d'eau il reste dans le circuit primaire (et en fonction de la température, quelle doit être la pression). Donc, pourquoi, au départ, arrêter le transfert d'eau à cause de la pression alors qu'on devrait savoir qu'en fait, le circuit primaire a perdu déjà beaucoup d'eau et ne peut pas être en situation de surpression ?

Un autre problème, c'est que la vibration des pompes indiquait elle aussi que le circuit primaire n'avait plus d'eau et donc que la soupape était restée ouverte. Si Zewe voyait que les pompes tremblaient, il aurait du forcément faire ce raisonnement. Mais non, Zewe ne comprend pas.

C'est bizarre qu'il n'y ait pas eu une alarme de prévue pour la rupture du disque de sécurité (apparemment, c'est le cas, vu qu'on n'en parle dans aucun des comptes-rendus). Parce que la rupture de ce disque doit être tout de même un problème majeur pour une centrale. Et une fois que l'alarme visuelle commence à tilter, elle ne doit pas s'arrêter. Donc, on doit la voir tôt ou tard.

Autre chose, dans "the nuclear accident at TMI day 1" (part 4), il est dit qu'en fait, l'eau radioactive coulant du bâtiment primaire vers le bâtiment auxiliaire par des pompes via des drains était stockée dans un réservoir dans le bâtiment auxiliaire. Donc, l'eau ne se retrouvait pas dans le bâtiment auxiliaire directement. Et du coup, ça veut dire que là aussi, il devait y avoir des indicateurs de remplissage, des indicateurs de pression, etc… Donc, le remplissage des réservoirs dans le bâtiment auxiliaire aurait du être vu par les opérateurs.

Comme déjà dit plus haut, concernant le moment ou la première alarme à la radioactivité a commencé à sonner, les sources sont contradictoires. Selon les versions, ça s'est déclenché vers la 15ème minute de l'accident ("Engineering.com"), ou alors ça n'a pas sonné à se moment là par défaillance de l'alarme ("TMI step by step"), ou encore les opérateurs se sont aperçus que l'eau était radioactive à la 45ème minute (everything). Ailleurs, il est dit que ce n'est qu'à T = 2h45, que l'alarme à la radioactivité se déclenche (version anglaise de wikipedia). Enfin, selon la version française de Wikipédia, c'est à T = 3h12 que l'alerte à la radioactivité se déclenche. Engineering.com se contredit apparemment lui-même, puisqu'il est dit que l'alarme à la radioactivité retentit juste au moment où Porter arrive dans la salle de contrôle (donc vers 6h du matin, soit à T= 2h). 5 sources qui se contredisent toutes, plus une contradiction dans une source, ça fait beaucoup.

Dans tous les cas, on a un incroyable dysfonctionnement ou une incroyable erreur humaine de plus. Si l'alarme s'est déclenchée à T = 15mn, comme ça serait logique, ça veut dire que très tôt durant "l'accident", les opérateurs avaient un élément très important en plus pour comprendre ce qui se passait concernant la soupape et que là encore, ils n'ont rien compris pendant environ 1h45. Même avec une alarme se déclenchant à la 45ème minute, ça fait encore 1h15 d'encéphalogramme plat. Et si l'alarme ne s'est déclenchée que vers 2h45 ou 3h12, ça veut dire qu'il y a eu dysfonctionnement de l'alarme avant ça (et même de plusieurs alarmes, puisque rapidement, l'eau a été pompée dans des drains qui possédaient apparemment des capteurs de radioactivité), ce qui est tout aussi incroyable (et d'autant plus qu'ensuite, l'alarme aurait fonctionné).

On nous dit qu'à T = 2h (6h du matin), l'ingénieur du matin, Ivan Porter, voit que la pression du circuit primaire est basse. Donc, l'indicateur de pression montrait bien la bonne pression depuis un moment si cet ingénieur a pu voir que la pression était basse. Donc, les opérateurs de la salle de contrôle auraient du s'en apercevoir depuis longtemps. Il remarque aussi que la température dans le réservoir de confinement est très élevée. Donc, il y avait aussi un détecteur de température dans le réservoir de confinement, en plus d'un détecteur de niveau d'eau. Donc, la aussi, les opérateurs auraient du s'apercevoir que l'eau du circuit primaire était en train de se déverser dans le réservoir de confinement.

Vers la fin de la crise, entre T = 2h22 et T = 3h12, on ne comprend pas pourquoi les opérateurs ont fermé la vanne en aval de la soupape du pressuriseur (pour arrêter l'évacuation de l'eau donc), et ont remis une pompe en marche, tout ça sans introduire de l'eau à nouveau. S'ils ont fermé la vanne, c'est qu'ils avaient du se rendre compte que la soupape était toujours ouverte. Et partant de là, ils devaient forcément se rendre compte qu'elle était restée ouverte depuis plus de 2h. Donc, ils savaient que le circuit primaire avait été fortement vidangé. Ils auraient donc du introduire de l'eau de refroidissement en plus. Evidemment, on comprend beaucoup mieux dans le cas où il s'agissait de traitres.

On se demande bien aussi comment ils ont calculé la quantité d'eau à remettre dans le circuit primaire. Parce que si l'indicateur de pression est foireux et déconne dès qu'il y a de la cavitation, ben il n'est absolument pas fiable. Or, vu qu'on se repose apparemment uniquement sur lui pour déterminer la quantité d'eau dans le cœur, on voit mal comment on pourrait savoir combien il y a encore d'eau dans le cœur, et donc, combien d'eau il faut remettre pour que celui-ci soit à nouveau entièrement submergé. Mais comme par hasard, à ce moment-là, l'indicateur ne déconnait plus.


- Des opérateurs soi-disant submergés par les alarmes

Pour expliquer le fait que les opérateurs n'ont pas compris ce qui se passait pendant plus de 3h, on nous dit que les opérateurs étaient submergés par les indicateurs. Ben voyons.

Ils disent que les alarmes s'allumaient partout. Mais de toute façon, l'important, ce sont les indicateurs, pas les alarmes. Et jusqu'à nouvel ordre, les indicateurs, eux, n'étaient pas devenus fous (à part le problème de l'indicateur de la soupape, ce qui faisait seulement 1 indicateur erroné. Et encore, le problème était inhérent à la conception de l'instrument). Donc, il suffisait qu'ils analysent les indicateurs. Et une fois résolu le problème du circuit secondaire, il n'y avait pas 36 choses de changées dans la centrale. Il n'y avait que la température du circuit primaire qui augmentait et la pression qui baissait. Rien de tout cela ne devait être surprenant pour un opérateur. En quand l'eau radioactive s'est déversée dans le réservoir de confinement, puis le bâtiment de confinement et enfin, dans le réservoir du bâtiment auxiliaire, eh bien justement, ça aurait du rendre évidente l'origine du problème (le fait que la soupape soit restée ouverte).

De toutes façons, ils sont sensés être formés à ce genre de situation. On doit les former à ne pas se laisser affoler par les alarmes et à ne regarder que les indicateurs. Et comme on l'a vu, il y avait de nombreux indicateurs qui permettaient de comprendre la situation. Surtout que, come déjà dit, les évènements ne se sont pas passés en 10 minutes, ce qui aurait effectivement justifié que les opérateurs aient pu être noyés sous les alarmes, mais en 3h20, ce qui laissait largement le temps de comprendre la situation, surtout avec tous les ingénieurs présents.

Et comme les barres de contrôle étaient toutes descendues, et que le circuit secondaire était à nouveau en eau, les opérateurs de la salle de contrôle n'avaient quasiment plus aucun problème. Ils pouvaient prendre tout leur temps, vu que le cœur ne conservait encore (avant de refroidir complètement), qu'une chaleur de quelques mégawatts. Et le fait que tout se soit passé si lentement le montre bien. Donc, même s'il y avait réellement des indicateurs qui clignotaient de partout, les opérateurs n'avaient plus de raison de stresser complètement. Ils pouvaient analyser la situation relativement tranquillement.

Et puis, on nous dit que les opérateurs étaient noyés sous les alarmes, mais évidemment, comme par hasard, on ne nous dit pas lesquelles. Si ça avait été le cas, ils auraient dit quelles alarmes clignotaient et en quoi ça les rendaient circonspects, en quoi ça faisait qu'ils ne comprenaient pas ce qui se passait. Ils auraient dit quelles étaient les alarmes qui ont attiré leur attention à tel moment, et pourquoi ça a attiré leur attention. Par ailleurs, dans des circonstances pareilles, on élabore des hypothèses. Mais, pratiquement nul part on ne nous dit les hypothèses élaborées par les opérateurs à tel ou tel moment (sauf vers la toute fin), ce qu'ils ont fait pour vérifier si l'hypothèse en question était bonne, et à quel moment ils se sont aperçus qu'elle était mauvaise. C'est normal, en réalité, ils ne réfléchissaient absolument pas à des hypothèses ; ils savaient très bien ce qui se passait. Ils attendaient tranquillement de refermer la soupape du circuit primaire au moment voulu (ou la vanne se trouvant en avale de celle-ci).

En fait, on ne voit pas trop quelles alarmes n'ayant pas à voir avec le problème qui restait il pouvait encore y avoir. Tout était résolu dans le circuit secondaire. Donc, il ne devait plus y avoir d'alarmes de ce coté là. L'essentiel des alarmes devait être concentré sur ce qui posait problème, à savoir le circuit primaire. Donc, les alarmes en question étaient certainement des alarmes utiles et centrées sur le problème du moment. En aucun cas, on ne peut considérer ça comme une avalanche d'alarmes inutiles déconcentrant les opérateurs du problème principal.

Le plus probable, c'est certainement que toutes les alarmes ne se sont pas mises à fonctionner en même temps, que celles qui sonnaient étaient les alarmes significatives, mais qu'ils ont décidé de les ignorer parce que c'était des traitres, tout simplement.

Concernant les preuves de cette submersion par les alarmes (et les preuves de la façon dont s'est passé l'accident), il semble que tout repose sur les rapports donnés par l'imprimante servant à retranscrire les alarmes de la salle de commande. Or, selon les opérateurs, il y a eu tellement d'alarmes qui se sont déclenchées durant les premiers moments de l'alerte que l'imprimante n'arrivait pas à suivre. Plus le temps passait, et plus elle prenait du retard. Au bout de 2 heures, les opérateurs de la salle de commande ont vidé la mémoire de l'imprimante pour pouvoir imprimer les alarmes de l'instant. Du coup, ces informations sur les alarmes ont comme par hasard été perdues à jamais. Ce qui permettait ainsi aux opérateurs d'inventer cette histoire d'avalanche d'alarmes (et d'absence du déclenchement de l'alarme pour certains évènements) à postériori comme ils le voulaient. Personne ne pouvait plus les contredire.

En tout cas, ça veut dire que pour cette histoire d'avalanche d'alarmes, il n'y a aucune preuve. Il n'y a que sur la bonne fois des opérateurs qu'on doit se reposer.

Cela dit, on a du mal à croire qu'ils ne se reposaient que sur l'imprimante pour avoir un historique des évènements et qu'ils ne pouvaient pas remonter dans le temps avec l'ordinateur (sur l'écran relié à celui-ci) pour voir ce qui s'était passé. Ils auraient ainsi pu vérifier l'évolution de la pression au cours de la dernière heure et voir ce qui s'était passé à ce niveau là.