Procédures de conduite

et interface homme-machine

par Bernard APPELL

Ingénieur ESE
Directeur Adjoint du Service Études et Projets Thermiques et Nucléaires (SEPTEN) EDF
et Yvon CHAMBON
Ingénieur ENSEEIHT
Chef du groupe Conduite du Service Études et Projets Thermiques et Nucléaires
(SEPTEN) EDF

1. Procédures de conduite .......................................................................... BN 3 421 - 2

1.1 Conduite normale......................................................................................... — 2
1.2 Conduite incidentelle ................................................................................... — 2
1.3 Conduite accidentelle................................................................................... — 3
1.3.1 Phases d’un accident........................................................................... — 3
1.3.2 Différents types d’approche ............................................................... — 3
1.3.3 Procédures événementielles .............................................................. — 3
1.3.4 Procédures de l’approche par état ..................................................... — 4
2. Traitement de l’information et aides opérateur............................... — 5
2.1 Traitement de l’information (exemple du 1 300 MW)................................ — 5
2.2 Aides opérateur (exemple du 1 300 MW)................................................... — 6
3. Interface homme-machine ..................................................................... — 6
3.1 Organisation de l’équipe de conduite et des moyens de conduite.......... — 6
3.2 Salles de commande.................................................................................... — 7
3.2.1 Salles de commande conventionnelles............................................. — 7
3.2.2 Salles de commande informatisées (palier N4)................................ — 8
4. Qualification de l’interface homme-machine ................................... — 10
5. Conclusion .................................................................................................. — 11
Pour en savoir plus ........................................................................................... Doc. BN 3 421

L ’accident de Three Miles Island (TMI) aux États-Unis en 1979 a montré le rôle
fondamental de l’homme dans la conduite d’une installation nucléaire.
Depuis cette date, de très nombreuses études ont été menées pour trouver la
meilleure organisation possible concernant les documents, les équipes et les
moyens de conduite.
On rappelle qu’à Three Miles Island, tous les moyens nécessaires pour éviter
l’accident étaient disponibles, mais que par suite d’informations ambiguës, erro-
nées ou contradictoires, les opérateurs n’ont pas su quoi faire.
La démarche engagée consiste à assurer une défense en profondeur en utili-
sant l’ensemble des moyens à disposition. Vis-à-vis d’un accident, cette défense
en profondeur permet de faire intervenir successivement :
— les systèmes de régulation associés aux spécifications d’exploitation et aux
alarmes qui permettent de détecter la sortie du domaine normal de fonctionne-
ment et de prendre les mesures correctives (automatiques et manuelles) per-
mettant un retour rapide dans ce domaine ;

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire BN 3 421 - 1
PROCÉDURES DE CONDUITE ET INTERFACE HOMME-MACHINE _________________________________________________________________________________

— le système de protection du réacteur qui permet de détecter toute sortie du

domaine de protection des barrières successives (gaine du combustible, enve-
loppe du circuit primaire, enceinte confinement) et d’initier automatiquement les
actions correctives pendant au moins trente minutes ;
— un diagnostic par les opérateurs de l’état des barrières, pendant cette
période d’intervention automatique du système de protection ;
— les actions manuelles des opérateurs nécessaires au bout de ces trente
minutes et qui permettent de ramener l’installation dans un état dit sûr c’est-à-
dire dans lequel les barrières sont maintenues dans un état garantissant leur
intégrité ; simultanément une tentative de diagnostic de la cause de l’accident
est faite pour essayer d’annuler si c’est possible la cause de l’accident ;
— un contrôle par un ingénieur présent en salle de commande (ISR) permet-
tant de confirmer le diagnostic des opérateurs et de surveiller pendant la période
de conduite accidentelle les paramètres principaux des barrières afin de détecter
une détérioration nécessitant un éventuel changement de stratégie de conduite ;
— la mise en place d’équipes de crise pour les accidents présentant un risque
de non-maîtrise ; ces équipes comportent des experts d’origines différentes se
réunissant dans les locaux de crise implantés dans les centrales mais également
à Paris dans les bureaux d’EDF, d’IPSN, de la DSIN et de FRAMATOME.
Le choix fait par EDF consiste à favoriser les automatismes pour les actions à
court terme, nécessitant un délai d’intervention inférieur à trente minutes envi-
ron, et les actions opérateurs à moyen et long terme.
Cette position permet de trouver un bon compromis entre les ordres intempes-
tifs qui peuvent résulter d’un automatisme et les risques d’erreurs opérateurs
qui sont d’autant plus fréquents que le délai laissé à l’opérateur pour réaliser les
actions manuelles est court.
Dans le cadre de cette stratégie, l’organisation de la conduite est fondamen-
tale. Cette organisation est basée sur :
— l’étude et l’élaboration de documents de conduites permettant de répondre
à l’ensemble des situations accidentelles dans laquelle peut se trouver la tranche ;
— une organisation des équipes de conduite permettant de faire jouer au
maximum la redondance humaine ;
— la mise en place de moyens de conduite permettant d’assurer une interface
homme-machine la plus ergonomique et fiable possible et suffisamment diver-
sifiés pour assurer une redondance matérielle et fonctionnelle permettant de
couvrir les différentes agressions possibles ;
— un processus de qualification des moyens de conduite permettant de garan-
tir le bien-fondé des choix fait à la conception.

1. Procédures de conduite gement à l’état en puissance) ; les procédures de conduite normales

1.1 Conduite normale
La conduite normale couvre l’ensemble du fonctionnement habi-
tuel de l’installation (production d’électricité, arrêt et démarrage de
la tranche, remplacement du combustible...) et le fonctionnement
incidentel des matériels constitutifs d’un système élémentaire. La
conduite normale s’appuie sur les informations en salle de
commande (alarmes, indicateurs, enregistreurs), sur des consignes
et sur le savoir-faire des opérateurs.
Ces différentes tâches sont :
— la surveillance d’ensemble des paramètres de la tranche et de
l’état des différentes fonctions en régime stabilisé de la tranche en
procédant à un certain nombre de relevés ;
— les actions à réaliser pour procéder à un changement d’état de
tranche (par exemple passage de l’état d’arrêt à froid après rechar-
sont articulées à partir de procédures « chapeau » (cf. encadré) ;
— les actions à réaliser pour vérifier le bon fonctionnement des
fonctions de sûreté (essais périodiques) ; l’équipe de conduite dis-
pose de procédures d’essais périodiques permettant de tester les
fonctions de sûreté ; ces procédures par système définissent la
façon de tester les différents capteurs, les actionneurs et les automa-
tismes concernés ;
— la mise en application des spécifications techniques d’exploita-
tion sur indisponibilité constatée de tout ou partie d’un système de
sauvegarde ou de protection ; l’état de tranche à rejoindre et le délai
pour y parvenir sont spécifiés.
1.2 Conduite incidentelle
La conduite incidentelle couvre certains grands transitoires (arrêt
automatique du réacteur, îlotage) mais aussi des défaillances de
système élémentaire ou des pertes de source de puissance ou de
contrôle.
Nota : l’îlotage est le découplage du réseau sans arrêt du réacteur.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
BN 3 421 - 2 © Techniques de l’Ingénieur, traité Génie nucléaire
_________________________________________________________________________________ PROCÉDURES DE CONDUITE ET INTERFACE HOMME-MACHINE
Suite à l’émission d’une alarme, la conduite s’appuie sur des pro-
cédures séquentielles de type I (I pour incidentelles) dans lesquel-
les, l’état de repli est spécifié ou obtenu à partir des spécifications
techniques d’exploitation. La conséquence en est généralement une
remise en état de l’installation avant de redisposer le réacteur en
production.
Alarme (suivie ou non d’un diagnostic) Þ procédures I Þ État
de repli Þ Réparation et redémarrage.
Procédures chapeaux
Une procédure GPO définit les états standards (arrêt à froid,
arrêt à chaud, attente à chaud, ...).
Des procédures pour les opérateurs GP et GS (primaire et
secondaire), qui à partir des différents états possibles, présen-
tent l’enchaînement des consignes particulières se rapportant
aux différents matériels et circuits. Elles fixent la disponibilité
requise des circuits. Elles prescrivent et décrivent les opérations
à réaliser sur l’ensemble des circuits et matériels concernés
(conditions préalables aux manœuvres, manœuvres à effectuer,
contrôle de la bonne exécution des manœuvres...).
Des procédures particulières F qui précisent les procédures
de mise en service et d’arrêt, les cas de fonctionnement particu-
lier.
1.3 Conduite accidentelle
La conduite accidentelle couvre l’ensemble des prescriptions qui
sont demandées à l’équipe de conduite suite à un accident et pour
lequel les actions de protection ont été automatiquement enclen-
chées. La gestion à court terme d’un accident est strictement du
domaine de l’équipe de conduite à l’aide de consignes de conduite.
1.3.1 Phases d’un accident
■ Actions automatiques
Le système de protection a pour but de déceler le dépassement
d’une valeur limite de fonctionnement du réacteur. Si c’est le cas,
une réponse appropriée est apportée. Cette réponse peut se limiter
à un arrêt automatique de réacteur (AAR) en faisant chuter les grap-
pes d’arrêt ou si la situation est plus dégradée en mettant en service
les actionneurs de sauvegarde (injection de sécurité, aspersion de
l’enceinte...). À l’issue de cette phase, la protection à court terme du
réacteur est assurée (réacteur devenu sous critique grâce à la chute
des grappes, inventaire en eau du circuit primaire stabilisé ou en
phase de rétablissement, évacuation de la puissance résiduelle
maintenue...).
■ Diagnostic
Une fois la situation stabilisée, il est alors possible de faire un dia-
gnostic sur l’état de la chaudière et définir la stratégie de conduite à
adopter pour prolonger les actions automatiques.
■ Conduite
L’objectif est de ramener progressivement le réacteur à un état de
repli pour réparation en maintenant une marge à la criticité, l’inven-
taire en eau primaire et évacuer la puissance résiduelle. Les différen-
tes actions sont réalisées par l’équipe de conduite où chacun a un
rôle prédéterminé :
— l’opérateur « réacteur » conduit et surveille le circuit primaire ;
il demande à l’opérateur « eau-vapeur » de régler la température
primaire ;
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire
— l’opérateur « eau-vapeur » conduit et surveille le circuit
secondaire ; il règle la température primaire via les circuits de refroi-
dissement du secondaire (générateurs de vapeur) ou système de
refroidissement du réacteur à l’arrêt ;
— les agents rondiers effectuent les actions demandées en local
(restaurations de fonctions, manœuvres de vannes manuelles...) ;
— le cadre technique superviseur règle la bonne application des
consignes et surveille la disponibilité des systèmes importants ;
— l’ingénieur de sûreté peut demander un changement de consi-
gne si l’état de la tranche le nécessite.
1.3.2 Différents types d’approche
À l’origine, les procédures étaient fondées sur une pure appro-
che événementielle. Le retour d’expérience de l’accident de
« Three Miles Island » a montré la nécessité d’une évolution. Cette
évolution s’est traduite sur les tranches REP françaises par une évo-
lution des règles de conduite événementielles et aussi par une
refonte plus globale dite par états.
À ce jour, les paliers 900 MW utilisent encore pour l’essentiel
l’approche événementielle et les tranches des paliers 1 300 MW et
1 400 MW utilisent l’approche par état. Cette dernière approche
est en passe d’être généralisée à l’ensemble des paliers.
Le RNR utilise une approche événementielle adaptée aux spécifi-
cités de la filière.
1.3.3 Procédures événementielles
■ Domaine de couverture
Il se décline en trois grandes catégories :
— les incidents d’exploitation relevant de perte de fonctions ou
d’incidents pour lesquels la chute des grappes suffit à régler à court
terme le problème ;
— les cas de brèche demandant une conduite adaptée après
l’action des systèmes de sauvegarde ;
— les cas de perte de systèmes de sauvegarde redondants.
■ Principes de conception
À l’issue du diagnostic fondé en partie sur le type d’alarme apparu
lors de la phase automatique de l’accident mais aussi sur les para-
mètres physiques de la chaudière, le type d’initiateur a pu être
déterminé. Une procédure spécifique au traitement de cet initiateur
peut alors être retenue pour rallier un état de repli. Cette procédure
propose des actions et des manœuvres à appliquer de façon
séquentielle à réaliser soit de la salle de la commande soit en local.
Cette conduite est optimisée pour les accidents thermohydrauliques
simples jusqu’à ce que le circuit de refroidissement à l’arrêt (RRA)
soit connecté. La gestion des cumuls (thermohydraulique, perte de
sources, défaillance matérielle, perte de contrôle commande, incen-
die) relève des procédures H et (ou) du savoir-faire de l’équipe de
conduite animée par le superviseur. Une redondance humaine et de
méthode est apportée par l’ingénieur de sûreté dès le début de la
situation perturbée via une surveillance permanente.
Alarme Þ Diagnostic Þ Procédure A ou H Þ État de repli.
■ Mise en application
Les procédures sont articulées de la façon suivante :
— un document d’entrée en consigne (DEC) sur apparition
d’alarme repérée pour confirmer le diagnostic et après balayage au
pas à pas de différents tests pour retenir la consigne adaptée à
l’événement ;
— un document de conduite après injection de sécurité (AO) qui
demande après balayage au pas à pas de différents tests une vérifi-
cation des actions automatiques et qui, via un logigramme, permet
d’identifier l’accident en cours ;
BN 3 421 - 3
PROCÉDURES DE CONDUITE ET INTERFACE HOMME-MACHINE _________________________________________________________________________________

— des documents proposant un type de conduite à adopter selon
l’événement : procédures de type A et H.
Des procédures de type A en cas de brèche (A1.1 pour les
petites brèches primaires, A1.2 pour les grosses brèches primai-
res, A2.1 pour les ruptures de tuyauterie vapeur extérieur
enceinte, A2.2 pour les ruptures de tuyauterie vapeur dans
l’enceinte, A3 pour les ruptures de tube de générateur de
vapeur, A10 pour les brèches primaires RRA connecté).
Des procédures de type H en cas de perte de fonctions redon-
dantes (H1 pour les pertes de la source froide, H2 pour la perte
totale de l’eau alimentaire, H3 pour la perte des diesels avec
perte du réseau et, H4 pour la perte à long terme des systèmes
d’aspersion et d’injection de sécurité suite à une brèche pri-
maire).
Les principes retenus pour élaborer les procédures de conduite
sont de :
— diagnostiquer l’état du circuit primaire (par le biais des mesu-
res de puissance nucléaire, inventaire en eau, marge à la saturation),
l’état du circuit secondaire (par le biais du niveau d’eau et de l’inté-
grité des générateurs de vapeur), l’état de l’enceinte (par le biais de
la pression et de l’activité enceinte) ;
— définir les moyens d’action disponibles ;
— élaborer des priorités dans les engagements d’objectifs (sous
criticité, maintien/restauration de l’inventaire en eau, évacuation de
l’énergie résiduelle...) en définissant l’état de repli visé ;
— réaliser des actions de conduite correspondant à l’objectif prio-
ritaire.
La figure 1 présente de façon synthétique ces principes.

Ce noyau de procédures événementielles est complété par un jeu

de procédures « filet » basé sur l’analyse de l’état thermohydrauli-
que. Ce jeu est composé notamment d’une procédure SPI et d’une
procédure U1. Suivi des états physiques Suivi systèmes

Inventaire
en eau Primaire Injection de sécurité
La procédure SPI permet à l’ingénieur de sûreté de faire une
surveillance permanente de l’état de la chaudière et si néces- Eau alimentaire
saire de demander l’application de la procédure U1 (abandon de de secours
la procédure événementielle en cours) ; Marge à saturation
La procédure U1 définit les actions requises en fonction de Aspersion
Générateur
l’état de la chaudière et de la disponibilité des fonctions. Niveau de vapeur
enceinte
d’eau
......

1.3.4 Procédures de l’approche par état

Radio-activité
■ Domaine de couverture
Il reprend le domaine couvert par l’approche événementielle et le Pression Enceinte
complète avec une meilleure gestion des cumuls de perte de source. Objectif Disponibilité
■ Principes de conception
À partir de la connaissance de l’état de tranche (paramètres phy- Action
siques constatés et disponibilité des systèmes), il est possible de Radio-activité
déterminer les actions requises et cela sans avoir besoin de connaî-
tre la combinaison des événements antérieurs. Ce processus perma-
nent et itératif permet de réagir à toute nouvelle dégradation côté
paramètres physiques chaudière ou côté disponibilité des systèmes. Figure 1 – Principe de l’approche par états

Gravité

ECP 4
IRRA 2 ou A10
Problèmes
thermohydrauliques
ECP 2 ou ECP 3 ECPR 2

H1.1 ou H1.2
Incidents de systèmes ECP 1 ECPR 1
ou perte de systèmes

Fonctionnement normal Spécifications techniques d’exploitation

et procédures d’exploitation normale

Circuit de refroidissement non connecté connecté connecté au circuit

à l’arrêt RRA au circuit au circuit primaire ouvert
primaire primaire fermé ou non éventé
Figure 2 – Choix des procédures selon l’état
initial du réacteur et la gravité de l’accident

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
BN 3 421 - 4 © Techniques de l’Ingénieur, traité Génie nucléaire
_________________________________________________________________________________ PROCÉDURES DE CONDUITE ET INTERFACE HOMME-MACHINE
Il s’agit là de la première des procédures par état, mise en œuvre
dès le palier 900 MW afin d’éviter le renouvellement de l’accident
type Miles Island.
■ Mise en application
Les principales consignes par état sont articulées de la façon sui-
vante (figures 2 et 3) :
— un document d’orientation initiale et de stabilisation (DOS) qui
permet l’identification initiale de l’état physique global de la chau-
dière (DOS pour les états initiaux en puissance et en arrêt à chaud,
DOS R pour les états initiaux sur RRA) ; ce document à usage des
opérateurs « primaire » et « eau-vapeur » du superviseur demande
la vérification du comportement des actions automatiques et de la
stabilisation de la chaudière et présente la grille de choix des consi-
gnes à appliquer ;
— des documents pour la conduite du primaire (ECP 1 à 4 et
ECPR 1 et 2) à usage de l’opérateur « primaire » qui couvrent de
façon exhaustive les états plus ou moins dégradés de la chaudière.
ECP 1 couvre les états physiques non dégradés ; ECP 2 couvre les
états physiques peu dégradés sans activité au secondaire ; ECP 3
couvre les états physiques peu dégradés avec activité au
secondaire ; ECP 4 couvre l’ensemble des états physiques plus
dégradés ; ECPR 1 et 2 couvre les états non dégradés ou peu dégra-
dés sur RRA ; les états très dégradés restent couverts par ECP 4 ;
— un document pour le contrôle et le maintien de l’intégrité de
l’enceinte (ECE) à l’usage de l’opérateur « primaire » ;
— un document pour la conduite du secondaire (ECS) à l’usage
de l’opérateur « eau-vapeur » définissant la conduite à tenir côté
secondaire parallèlement au déroulement des ECP ;
— des documents synthétisant les opérations demandées aux
opérateurs (ECT) à l’usage du superviseur ;
— des documents assurant une redondance du diagnostic et une
vérification de la cohérence entre l’état de la chaudière et les straté-
gies de conduite engagées (SPE) à l’usage de l’ingénieur de sûreté.
Pour des raisons pratiques, le traitement des accidents pour
les états « primaire ouvert » continue à être assuré par une
approche événementielle.
Ce choix tient au fait qu’il est pratiquement impossible de prédé-
terminer l’état de l’installation. Par analogie, c’est un peu comme le
trafic au sol des avions sur un aéroport.
sous-saturation
Acceptable
Surchauffe
Saturation
Forte
140 ¡C
∆Tsat
ECP 1
pas de dégradation
des fonctions d’état
ECP 2
ECP 3 (secondaire radioactif)
ECP 4
∆Tsat marge de température à la saturation de l’eau primaire
Figure 3 – Choix des procédures selon l’inventaire en eau et la marge
à la saturation
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire
2. Traitement de l’information
et aides opérateur
La conduite d’une tranche REP est centralisée et s’effectue depuis
une salle de commande propre à la tranche qui regroupe tous les
organes de commande, de contrôle, de signalisation et de sur-
veillance nécessaires. Les systèmes dont le fonctionnement est
découplé du fonctionnement général de la tranche disposent géné-
ralement de moyens de conduite décentralisés.
Les moyens de commande (tranches du 900 et 1 300 MW) sont
assurés par des « Tourner-Pousser Lumineux » (TPL) pour les
commandes d’action, des boutons poussoirs (BP) pour des séquen-
ces de protection, des touches (TO) pour les séquences, des com-
mutateurs (CC) pour les choix de mesures ou en phase d’essais de
contrôle commande et par des relais de commande à main (RCM)
et des relais de point de consigne (RPC) pour les régulations.
Les informations mises à la disposition de l’équipe de conduite
ainsi que les aides opérateur se déclinent de la façon suivante.
2.1 Traitement de l’information
(exemple du 1 300 MW)
La surveillance des actions réalisées s’exerce au travers de
voyants d’état des actionneurs disposés sur synoptiques ou sur
tableaux et au travers d’enregistreurs et d’indicateurs donnant l’évo-
lution des paramètres physiques.
Les alarmes sont classées selon le degré d’urgence de la réaction
que doit avoir l’opérateur.
Catégorie Type de défaut Couleur
1 défaut nécessitant une action immédiate de rouge
l’opérateur en moins de 10 min
2 défaut nécessitant une action différée de jaune
l’opérateur
3 défaut traité automatiquement ou change- blanc
ment d’état automatique pour informer
l’opérateur
4 défaut traité automatiquement conduisant à vert
un passage à charge nulle pour que l’opéra-
teur suive le déroulement des actions auto-
matiques
Inventaire
en eau
Un traitement d’alarme est utilisé pour éviter l’apparition
Sommet d’alarme inutiles lors des transitoires et lors des arrêts de tranche.
du dôme
L’objectif est de ne laisser présentes que les alarmes réellement
Sommet
branches significatives d’un défaut.
chaudes
Le traitement complémentaire des informations (TCI) acquiert et
0% présente des informations sous des formes plus sophistiquées. Il a
pour objectif de permettre une analyse à posteriori du fonctionne-
ment normal ou incidentel et aussi l’acquisition des mesures de flux
acquises par l’instrumentation interne du cœur.
Le TCI comprend :
— une fonction « journal de bord » qui permet sur des écrans de
disposer des évolutions de grandeur physique et de la chronologie
des derniers changement d’état ;
— une fonction « perturbographie » mise en service automati-
quement suite à une action de protection. Cette fonction donne l’his-
torique de l’apparition d’informations tout ou rien.
BN 3 421 - 5
PROCÉDURES DE CONDUITE ET INTERFACE HOMME-MACHINE _________________________________________________________________________________
2.2 Aides opérateur
(exemple du 1 300 MW)
■ Le panneau de sûreté constitue l’élément essentiel du dispositif
de surveillance car il regroupe toutes les informations analogiques
nécessaires à l’application des procédures accidentelles (diagnostic,
refroidissement et surveillance du cœur). Ces informations sont pré-
sentées sur enregistreurs afin d’assurer une corrélation plus aisée
entre certains paramètres et de pouvoir suivre leur tendance.
■ La fonction d’aide au pilotage est une fonction de calcul mettant
en œuvre un code de simulation du cœur. Elle se subdivise en deux
fonctions :
— la fonction surveillance courante qui a pour but un suivi de la
tranche de façon à connaître le mieux possible l’état neutronique du
cœur nécessaire aux calculs prévisionnels (fonction simulation) ;
elle peut afficher en permanence l’irradiation dans le cycle, l’axial
offset (déséquilibre axial de puissance), la puissance thermique, la
température moyenne et la position des groupes gris (barres de
contrôle ayant un faible poids d’antiréactivité) ;
— la fonction actualisation qui est une bibliothèque de données
modifiables par le Service Technique de la Centrale ; elle constitue
la véritable fonction d’aide au pilotage dans les cas suivants :
• en arrêt de tranche : la marge d’antiréactivité nécessaire est
calculée (concentration minimale en bore à maintenir),
• en redémarrage de tranche : en fonction des heures de diver-
gence et de couplage prévues et du niveau de puissance à rallier,
le calculateur d’aide au pilotage fournit la concentration en bore
optimale pour la divergence et la possibilité de suivre le profil de
puissance prévu,
• en suivi de charge : le calculateur détermine, à partir du suivi
de charge prévu, la possibilité de la variation de puissance vis-à-
vis des protections et indique les actions à effectuer sur la concen-
tration en bore pour maintenir le groupe R (des barres de régula-
tion) dans sa bande de manœuvre.
3. Interface homme-machine
3.1 Organisation de l’équipe de conduite
et des moyens de conduite
Les choix faits par EDF sur les tranches nucléaires et présentés
précédemment ont été :
— de favoriser plutôt la conduite manuelle que la conduite
automatique ;
— de rechercher dans l’organisation des équipes de conduite une
redondance humaine permettant de détecter et corriger les
défaillances ;
— de favoriser la présence d’opérateur n’étant pas des spécialis-
tes de la physique, mais entraînés à appliquer des procédures pré-
sentant une très large couverture des incidents et accidents pouvant
survenir.
Ces principes de bases ont conduit à définir une organisation
de l’équipe de conduite par paire de tranches comprenant en
période normale :
— un chef d’exploitation ;
— des chargés de consignation, des hommes de terrain (compre-
nant les techniciens d’exploitation et les rondiers).
Cette équipe comprend de plus, par tranche :
— un cadre technique (superviseur) pour la préparation et l’exé-
cution ;
— deux opérateurs (« réacteur » et « eau-vapeur »).
Un Ingénieur de Sûreté et Radioprotection (ISR), dont la tâche est
la vérification, est appelé en période accidentelle pour les consigna-
tions.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
BN 3 421 - 6 © Techniques de l’Ingénieur, traité Génie nucléaire
Le chef d’exploitation et l’ISR jouent un rôle de redondance et de
diversification des opérateurs.
L’équipe de conduite s’appuie sur une équipe de maintenance qui
demande les consignations à l’équipe de conduite.
L’exploitation est basée sur l’organisation des équipes qui vient
d’être décrite et sur l’organisation des moyens de conduite.
La situation géographique des moyens de conduite est basée sur
les principes suivants :
— les commandes sont centralisées ;
— des commandes locales sont prévues pour des actionneurs ne
nécessitant pas une action concertée des opérateurs ni des délais
d’intervention court (inférieurs à une heure) ;
— les commandes locales peuvent être regroupées sur des pan-
neaux locaux lorsqu’elles sont relatives à la commande d’une instal-
lation décentralisée et autonome ;
— des commandes de repli sont prévues pour faire face à l’indis-
ponibilité de la salle de commande.
Compte tenu de ces principes, les moyens de commandes sui-
vants sont prévus par tranche :
— des panneaux de commande décentralisés ;
— un panneau de repli ;
— une salle de commande principale ;
— un local de crise.
■ Les panneaux de commande décentralisés concernent es-
sentiellement :
— le panneau de commande de la déminéralisation : cette instal-
lation est complètement décentralisée, commune à deux tranches et
n’est couplée au process des tranches que par le niveau des réser-
voirs d’eau déminéralisée ; ces niveaux sont renvoyés dans les
salles de commande des tranches ;
— le panneau de commande local des diesels : ce panneau ne
comporte que les commandes locales de mise en configuration du
diesel et de ses auxiliaires ; toutes les commandes principales du
diesel sont reportées en salle de commande ;
— le panneau de commande du traitement des effluents : ce pan-
neau est implanté dans l’espace entre salle de commande jumelé
des tranches 900 MW, dans le BAN (Bâtiment des Auxiliaires
Nucléaires) pour les tranches P4 et en salle de commande principale
pour les tranches P’4 et N4. Ce panneau regroupe toutes les
commandes du traitement des effluents qui sont commandés par
les techniciens « effluents » et non par les opérateurs.
L’abandon de l’implantation décentralisée dans le BAN est essen-
tiellement dû aux inconvénients pour les automaticiens d’intervenir
en zone contrôlée avec changement de tenue et contrôles de radio-
protection.
■ Le panneau de repli permet de commander la tranche en cas
d’indisponibilité de la salle de commande principale. Les hypothè-
ses faites sur cette indisponibilité sont les suivantes :
— la faible probabilité de cette indisponibilité conduit à ne pas la
superposer avec des conditions incidentelles ou accidentelles ;
— cette indisponibilité oblige les opérateurs à évacuer la salle
de commande avec un délai suffisant pour commander l’arrêt
d’urgence du réacteur ;
— la cause de l’évacuation peut entraîner des dégâts sur les équi-
pements de commande pouvant conduire à des ordres intempestifs ;
cette agression sera cependant suffisamment lente pour permettre
aux opérateurs d’atteindre le panneau de repli avant l’émission de
ces ordres intempestifs.
La cause essentielle d’indisponibilité présumée de la salle de
commande est l’incendie.
Le panneau de repli comprend toutes les commandes indispensa-
bles au maintien en état d’arrêt chaud et au passage en état d’arrêt
à froid sans superposition d’un incident ou d’un accident. L’implan-
tation du panneau de repli est telle qu’il puisse être accessible en cas
d’incendie dans l’une des voies de sauvegarde. Enfin, l’ensemble
des commandes de la salle de commande principale pouvant avoir
_________________________________________________________________________________ PROCÉDURES DE CONDUITE ET INTERFACE HOMME-MACHINE
une action néfaste pour la sûreté en cas d’ordre intempestif peuvent
être neutralisées par le panneau de repli. Les commandes du pan-
neau de repli sont prioritaires sur celles de la salle de commande
principale.
■ Le local de crise est un local mis à disposition des équipes de
crise lors d’un accident. Cette équipe de crise comprend des experts
extérieurs à la centrale. Elle est mise en place quelques heures après
le début de l’accident. L’équipement de ce local permet aux équipes
de prendre connaissance des principaux paramètres de la tranche.
Ces équipements permettent également de communiquer avec les
autres centres de crise implantés à Paris (direction EDF, IPSN, DSIN,
et FRAMATOME). Il faut souligner qu’aucune commande n’est pos-
sible depuis ce local.
3.2 Salles de commande
1970-1999 : il se sera écoulé près de 30 ans entre la mise en ser-
vice du premier réacteur français de la filière à eau sous pression
(Chooz A) et le dernier (Civaux 2). La démarche de conception des
salles de commande, les normes et règles applicables, les exigences
de sûreté, ont considérablement évolué durant cette période ; l’er-
gonomie, la prise en compte du « facteur humain », totalement ab-
sentes jusqu’au milieu de la décennie 1970 se sont progressivement
développées. Alors que les premières réalisations s’appuyaient sur
le savoir-faire, sur les habitudes et sur le retour d’expérience, les
plus récentes font appel à ces méthodes plus rigoureuses.
Concevoir une salle de commande implique aujourd’hui une
approche globale, qui inclut des aspects technologiques, fonction-
nels, organisationnels, humains.
On doit rechercher une répartition optimale des tâches entre
l’homme et les systèmes de Contrôle-Commande (automatismes,
traitement de l’information), en vue d’une utilisation maximale des
capacités de l’homme et des automates et ce en prenant en considé-
ration l’organisation de l’exploitant, ses habitudes, ses souhaits
d’évolution. La conception doit également tenir compte des
contraintes liées à la première mise en service et permettre des
modifications et la maintenance.
Sur le plan fonctionnel, la conception doit permettre, pour tous les
états opérationnels, y compris les situations d’arrêt et les conditions
accidentelles, d’optimiser les tâches, de minimiser la charge de tra-
vail requise, pour surveiller et conduire la centrale.
Une telle approche globale est relativement récente. C’est l’acci-
dent de Three Miles Island qui a été l’élément révélateur du poids du
facteur humain (équipe de conduite, procédures, formation, ergono-
mie du poste de travail) dans les situations accidentelles.
Cette évolution dans la démarche de conception se retrouve dans
la conception des salles de commande des centrales françaises,
avec trois étapes :
— la conception des salles de commande des centrales des
paliers 900 MW (CP0, CP1, CP2), antérieure à TMI, avec, après TMI,
des actions importantes d’amélioration ;
— la conception des salles de commande des centrales du palier
1 300 MW (P4, P’4) concomitante avec l’accident de TMI ;
— la conception des salles de commande des centrales du palier
1 450 MW (N4), postérieure à TMI.
Des actions génériques post TMI, dans les domaines de l’organi-
sation des équipes de conduite, de la formation, des procédures de
conduite, ont bien sûr concerné l’ensemble des paliers.
3.2.1 Salles de commande conventionnelles
3.2.1.1 Conception des salles de commande
des tranches 900 MW
■ Conception initiale
Excepté les deux centrales de Fessenheim, dont la salle de
commande est pratiquement conforme à celle de la centrale de réfé-
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire
rence américaine (il s’agissait alors, pour l’ingénierie française de ne
pas s’écarter du modèle) la totalité du parc 900 MW (paliers
CP1/CP2) soit 32 centrales a, à des variantes architecturales près, la
même salle de commande (figure 4).
Sa conception date de 1972 ; le choix, remis en cause pour le
palier 1 300 MW, d’un pupitre principal, où sont rassemblés tous les
moyens de commande et d’informations nécessaires à la conduite
normale (depuis l’état d’arrêt chaud jusqu’à la pleine puissance) et
d’un panneau « arrière » regroupant commandes et informations
nécessaires lors des opérations de démarrage depuis l’état d’arrêt à
froid et en situation accidentelle ainsi que celle des auxiliaires géné-
raux, résulte de deux considérations.
La première est une référence à l’organisation des salles de
commande des centrales thermiques à flamme française (disposant
d’un pupitre principal et d’un tableau arrière), organisation à
laquelle l’exploitant était habitué et dont il était satisfait.
La seconde est que l’on privilégiait, (comme dans une centrale
thermique à flamme) la conduite normale, les interventions des opé-
rateurs après un accident n’étant pas finement analysées (les analy-
ses d’accidents portaient sur les accidents de dimensionnement,
aux événements initiateurs bien identifiés).
La répartition des tâches entre l’opérateur et le système de
Contrôle-Commande (plus communément désigné par « niveau
d’automatisme ») est, sur l’ensemble du parc, la suivante :
— les actions de protection liées à la sûreté sont automatisées ;
l’intervention de l’opérateur dans les dix minutes suivant l’initiation
d’une action de protection n’est pas requise d’un point de vue
sûreté ;
— les actions liées à la protection d’un matériel sont automati-
ques pour les matériels de coût important ;
— les fonctions de réglage nécessaires au maintien en un état
stable de la centrale ou aux variations de charge sont automa-
tisées ;
— il n’y a pas d’automatisme séquentiel pour la mise en ou hors
service de fonctions, l’opérateur intervenant au niveau de la
commande d’un groupement d’actionneurs remplissant une tâche
limitée ou au niveau de la commande individuelle d’actionneurs.
Le traitement d’alarme est restreint ; en particulier, les situations
d’arrêt de centrale ne sont pas prises en compte.
L’équipe de conduite est constituée, en salle de commande, d’un
superviseur (cadre technique), et de deux opérateurs.
Les procédures de conduite, du type événementiel, sont des docu-
ments papiers « classiques » sans effort particulier de présentation.
Figure 4 – Salle de commande des centrales 900 MW (CNPE Chinon)
BN 3 421 - 7
PROCÉDURES DE CONDUITE ET INTERFACE HOMME-MACHINE _________________________________________________________________________________

■ Actions post TMI

Elles se sont traduites, sur l’ensemble du parc 900 MW, et pour ce
qui concerne le Contrôle-Commande, par :
— une amélioration notable de l’ergonomie des salles de
commande ; les ergonomes sont, pour la première fois, intervenus
sur une maquette à l’échelle 1 pour optimiser la disposition des
commandes et informations (avec pour contrainte importante de ne
pas remettre en cause leur câblage) et définir une présentation par
panneaux colorés faisant clairement ressortir les ensembles
fonctionnels ;
— l’adjonction dans le prolongement du pupitre principal d’un
panneau de sûreté, doté de moyens conventionnels et infor-
matiques, pour fournir aux opérateurs, en situation accidentelle,
des informations mieux adaptées (signaux d’état, marge à l’ébulli-
tion...) ;
— un changement d’organisation de l’équipe de conduite avec
l’adjonction, dans l’équipe d’astreinte, d’un ingénieur de sûreté
assurant une redondance humaine ;
— un examen critique exhaustif des procédures accidentelles et
incidentelles et la refonte complète de la présentation des consignes
de conduites accidentelles (identification claire des tâches de cha-
que opérateur ; effort de présentation...).
Figure 5 – Salle de commande des centrales 1 300 MW (CNPE Paluel)
■ Seconde révision décennale
Mise en service entre 1978 et 1987, les centrales 900 MW vont
subir, dans les prochaines années leur seconde révision décennale ;
dans le cadre du projet « durée de vie », visant à porter la durée de
vie opérationnelle des centrales au-delà de 40 ans, l’étude de réno-
vation du Contrôle-Commande à l’occasion de la seconde révision
décennale n’a pas mis en évidence de besoin d’une évolution fonc-
tionnelle significative de la salle de commande ; hormis quelques
réarrangements dans les affichages des alarmes, il n’est pas envi-
sagé de modifications de la salle de commande y compris pour le
système informatique d’aide à la conduite.

3.2.1.2 Conception des salles de commande des centrales

1 300 MW
Les premiers retours d’expérience d’exploitation des centrales de
Fessenheim et de Bugey 2 (alors en cours de démarrage) mirent en
évidence que la disposition des pupitres retenus pour les paliers
CP1/CP2 (pupitre principal et tableau arrière) ne présentait pas, pour
les installations nucléaires, les avantages rencontrés dans le thermi-
que à flammes ; le nombre important de commandes et d’informa-
tions nécessaires pour la conduite normale conduisait à un pupitre
principal de grande taille et les nécessaires allées et venues entre
tableau arrière et pupitre principal en situation de démarrage ou
perturbée n’étaient pas satisfaisantes. Figure 6 – Salle de commande des centrales N4 (CNPE Civeaux)

La disposition en fer à cheval adoptée à Fessenheim (figure 5) est

apparue comme préférable à condition d’en améliorer de façon
significative l’ergonomie et les fonctionnalités.
Le choix, effectué par ailleurs, d’un Contrôle-Commande mettant
en œuvre des automates programmables en lieu et place du
relayage électromagnétique [cf. BN 3 411 dans ce traité], a permis
d’améliorer le traitement des alarmes (filtrage et inhibition prenant
en compte les situations d’arrêt) et leur présentation (seules les alar-
mes nécessitant une intervention rapide de l’opérateur sont sur ver-
rines, les autres sont sur écrans).
Le « niveau d’automatisme » des centrales 900 MW n’a pas été
notablement remis en cause ; le délai de non-intervention de l’opé-
rateur pour les actions de sûreté est passé à 20 min ; le nombre de
commandes individuelles a été réduit mais il n’a pas été jugé néces-
saire, ni même souhaitable, de développer des automatismes
séquentiels.
La disposition des commandes et informations sur les pupitres a
été étudiée de façon à obtenir une zone de conduite en situation nor-
male et incidentelle de dimensions relativement réduites.
Une matérialisation des circuits (synoptiques actifs) complétée
par quelques synoptiques muraux a été réalisée.
L’accident de TMI survenant au moment de la conception de la
salle de commande, les évolutions en matière d’organisation de la
conduite, de constitution des procédures et de formation des opéra-
teurs décidées suite à cet incident ont été appliquées dès la concep-
tion.
3.2.2 Salles de commande informatisées
(palier N4)
3.2.2.1 Principes de conception
Tirant les enseignements de l’accident de Three Mile Island, la
salle de commande N4 (figure 6) a été développée afin d’obtenir une
conduite plus sûre et plus efficace en toute situation de tranche. Ce
besoin d’adaptation et les traitements fonctionnels associés ont
concerné les principes généraux de conception suivants :
— la disposition générale des moyens de conduite dans la salle
de commande ;
— les informations et les commandes mises à disposition des
opérateurs (nombre, validation, présentation, rapidité d’accès) ;

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
BN 3 421 - 8 © Techniques de l’Ingénieur, traité Génie nucléaire
_________________________________________________________________________________ PROCÉDURES DE CONDUITE ET INTERFACE HOMME-MACHINE
— le traitement des alarmes ;
— l’intégration des procédures de conduite normale et acciden-
telle dans les postes de conduite.
L’ensemble de ces principes permet la mise en œuvre de la pre-
mière véritable conduite assistée par ordinateur (CAO) d’une
tranche nucléaire.
La mise en œuvre des améliorations fonctionnelles importantes
apportées dans ces domaines a nécessité le recours à des moyens
informatiques puissants dont l’utilisation par les opérateurs de-
meure très aisée et l’apprentissage rapide.
3.2.2.2 Disposition de la salle de commande optimisée,
rassemblant des moyens de conduite puissants
et diversifiés
■ Disposition générale
La disposition générale est optimisée.
Les moyens de conduite principaux mis à disposition des opéra-
teurs consistent en :
— quatre postes informatisés identiques intégrant au maximum
surveillance et conduite qui permettent chacun la conduite de l’ins-
tallation en fonctionnement normal ; deux de ces postes sont néces-
saires en conduite accidentelle et deux postes sont réservés au
superviseur ;
— un synoptique mural qui présente aux opérateurs les paramè-
tres principaux de l’installation, l’état des principaux actionneurs et
l’état des circuits de sûreté et de sauvegarde, et leur donne une
vision d’ensemble commune.
Par ailleurs, des moyens conventionnels simples permettent de
faire face d’une part à une indisponibilité totale des moyens de
commande informatisés (panneau auxiliaire, situé en salle de
commande), d’autre part à une indisponibilité totale de la salle de
commande elle-même (panneau de repli dans un local séparé de la
salle de commande, à un autre niveau du bâtiment).
Les postes opérateurs sont situés côte à côte de façon à faciliter le
dialogue entre opérateurs. L’opérateur est assis à son poste de
conduite qui lui permet l’accès à toutes les informations et comman-
des nécessaires.
■ Moyens de conduite
Les moyens de conduite sont puissants et diversifiés.
Chaque poste informatisé comprend une zone de commande
(trois écrans graphiques, trois écrans sensitifs, une boule roulante,
et un clavier) et une zone alarme (quatre écrans et un clavier).
Ces postes ont accès aux mêmes données (images et fonctions) et
permettent la conduite de l’installation en fonctionnement normal et
accidentel.
Les postes de supervision ne sont normalement utilisés que pour
la surveillance de l’installation. Ils peuvent servir de secours (en par-
ticulier pour la commande) en cas de perte des postes opérateurs.
Depuis son poste, l’opérateur a accès rapidement à toutes les
informations, ce qui lui évite la recherche et la manipulation de
documents qui, dans les salles de commandes conventionnelles,
sont habituellement stockés dans des armoires.
■ Synoptique mural
Il présente les principaux paramètres de l’installation, l’état des
principaux actionneurs et l’état des circuits de sûreté et de sauve-
garde. Ces éléments interactifs animés sont lisibles depuis les pos-
tes opérateurs.
Ce synoptique permet de :
— donner aux opérateurs une vue globale de l’installation et
remédier à la vision parcellaire fournie par les écrans de visualisa-
tion ;
— fournir une référence commune de l’état de l’installation aux
différents membres de l’équipe de quart et contribuer ainsi à la coor-
dination de leurs actions en constituant un support à un raisonne-
ment commun.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire
■ Panneau auxiliaire
Un moyen de secours (le panneau auxiliaire) a été prévu en salle
de commande pour pallier la perte totale du système informatique
de conduite. Le panneau auxiliaire associé au synoptique permet
d’assurer le passage en état de repli sûr de la tranche et une maîtrise
des situations accidentelles sans perte de la vision de l’état et de
l’évolution du processus.
Plus précisément sur une perte du système informatique de
conduite, l’installation peut être maintenue, à partir du panneau
auxiliaire, dans un état stabilisé pendant quatre heures. Si la panne
n’a pu être réparée pendant ce laps de temps, l’installation est ame-
née à l’état d’arrêt depuis le panneau auxiliaire.
L’ergonomie des moyens de conduite du panneau auxiliaire est
proche de celle du système informatique, même si la technologie
des commandes individuelles est différente. En effet, dans les deux
cas, les commandes sont réparties sur des synoptiques actifs et en
cas d’incident, les opérateurs doivent suivre des consignes (sous
forme papier au panneau auxiliaire) dont la structure et la présenta-
tion sont très proches.
■ Panneau de repli
Le panneau de repli, situé en dehors de la salle de commande et à
un autre étage du bâtiment, permet aux opérateurs, en cas d’incen-
die de cette dernière, d’amener la tranche dans un état sûr.
Afin de garder l’homogénéité avec la salle de commande le pan-
neau de repli présente la même interface opérateur que le panneau
auxiliaire.
3.2.2.3 Interface homme-machine informatisée :
conduite assistée par ordinateur
■ Les principes de l’imagerie du système informatique de
conduite de N4 sont :
— l’adaptation de l’image à la tâche (supervision/commande) de
l’opérateur, ce qui permet de réduire le nombre d’images manipu-
lées par l’opérateur pour une action donnée (par exemple une seule
image pour faire la bulle au pressuriseur) ;
— la banalisation et l’accès à l’ensemble de l’imagerie pour tous
les membres de l’équipe ; il existe toutefois des consignes cadre
technique ou superviseur, différentes des consignes opérateurs ;
— l’accès direct et rapide, à partir d’une image, aux informations
qui lui sont associées (par exemple l’accès à la fiche technique d’un
actionneur représenté sur une image) ;
— la validation et l’homogénéité des informations dont l’affi-
chage change de forme ou de couleur en fonction de l’état (par
exemple, pour un actionneur, on représente son état et non pas la
commande opérateur ; autre exemple, la mesure d’un capteur en
défaut est affichée en rouge).
■ L’accès simple et rapide à toutes les informations et commandes
du processus : les synoptiques de conduite (800 images).
Ils ont un caractère fonctionnel ou multifonctionnel (images de
synthèse). Ils permettent une conduite assez comparable à celle
effectuée depuis une salle de commande traditionnelle, si l’on assi-
mile le choix d’une image donnée au déplacement d’un opérateur
devant le panneau adéquat. Mais à la différence d’une salle conven-
tionnelle, toutes les informations nécessaires sont regroupées sur
l’image, afin d’éviter des changements d’images ou des oublis.
En effet, un tel synoptique regroupe des actionneurs et leurs diffé-
rents états (ouvert, fermé, défaut, en essai, consigné) et les informa-
tions nécessaires à une tâche donnée.
Toutes les informations affichées en temps réel sont validées et
leur statut est défini par un code de couleur.
■ Une aide permanente à la connaissance des causes d’invalidité :
les fiches techniques (10 000 images)
Elles sont accessibles directement à partir de chaque objet.
Chaque actionneur, chaque capteur fait l’objet d’une fiche techni-
que (créée en ligne automatiquement à partir de la base de don-
BN 3 421 - 9
PROCÉDURES DE CONDUITE ET INTERFACE HOMME-MACHINE _________________________________________________________________________________
nées). Celles-ci comprennent des informations temps réel et des
informations liées à la maintenance (opérationnalité, disponibilité,
états, défauts...). Elles permettent à l’opérateur de comprendre
pourquoi un actionneur n’a pas manœuvré (verrouillage, indisponi-
bilité, défaut, perte d’alimentation...) ou pourquoi un capteur est en
défaut et quelles sont les valeurs de seuils associées.
■ Une assistance permanente en cas d’incident : les alarmes
Les alarmes subissent un traitement évolué. L’objectif est de dimi-
nuer le nombre d’alarmes affichées à l’opérateur en identifiant les
alarmes pertinentes et en hiérarchisant les alarmes.
● Une innovation importante consiste à inhiber et à classer de
façon dynamique les alarmes selon les situations de tranche (par
exemple tranche en arrêt à chaud). Cela permet de réduire le nom-
bre d’alarmes et de faire des tris.
● Le traitement des alarmes permet une sélection automatique
des alarmes selon des critères fonctionnels établis par un groupe
d’experts, évitant cette charge de travail à l’opérateur.
● Un traitement performant de masquage (inhibition, suppression)
permet de présenter les alarmes causes et non-conséquences et de
les présenter en fonction de leur degré d’urgence et de leur gravité.
● Chaque fiche d’alarme (4 400 fiches d’alarmes, une fiche au
moins par alarme), facilement accessible, est affichée sur écran dès
que l’opérateur sélectionne l’alarme correspondante.
L’ensemble offre une grande qualité de détection, de diagnostic et
d’actions. Les fiches d’alarmes présentent les causes, les consé-
quences, les risques, les actions à faire. Les fiches d’alarmes per-
mettent un accès direct aux images et aux consignes de conduite
mais contiennent aussi toutes les informations et commandes
nécessaires pour que l’opérateur fasse le nécessaire sans avoir à
changer d’image.
■ Une assistance à la conduite normale ou accidentelle : les consi-
gnes informatisées (3 500 images)
Elles sont consacrées à la réalisation, sous contrôle de l’opérateur,
d’un enchaînement d’opérations de conduite. Elles permettent de
simplifier les gestes de l’opérateur en lui proposant une présélection
des ordres à transmettre et en ne lui demandant par la suite que
l’action manuelle de validation sur le pupitre. Le chemin parcouru
est caractérisé par une animation (couleur).
Les consignes sont des organigrammes interactifs présentant les
actions élémentaires de conduite. Chaque action ou décision de
l’opérateur est vérifiée par le système informatique de conduite.
Toutes les informations et commandes nécessaires sont présentées
en regard de la procédure de façon à la rendre autoportante.
Avec l’utilisation de ce type de consigne informatisée, l’opérateur
est guidé et surveillé systématiquement dans ses choix et ses
actions. L’opérateur doit impérativement utiliser les consignes acci-
dentelles (obligation fonctionnelle, le système informatique ne
l’impose pas). Il peut les forcer en cas de nécessité, par exemple si
l’opérateur dispose d’une information que le système informatique
ne peut pas acquérir. Cela est cohérent avec le principe selon lequel
l’opérateur doit rester maître en toute situation de l’installation.
Le forçage est repéré par un changement de couleur du ou des
pas forcés sur l’image (passage en rouge).
De même que pour les alarmes, toutes les informations nécessai-
res sont contenues dans les procédures et les ordres à destination
du processus sont envoyés directement depuis la page de procé-
dure avec contrôle du retour du processus.
Afin de ne pas perturber l’opérateur par un changement de forma-
lisme, les consignes de conduite normale ou accidentelle ont la
même présentation sur écran.
La tâche de superviseur reste une tâche redondante ; il utilise des
images qui indiquent, à l’aide d’informations de synthèse (anima-
tions logiques à partir d’équations indépendantes du traitement des
consignes opérateurs), les actions requises en fonction de l’état du
réacteur et celles effectuées réellement. Le système informatique de
conduite joue donc le rôle d’analyseur de la conduite en cours par rap-
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
BN 3 421 - 10 © Techniques de l’Ingénieur, traité Génie nucléaire
port aux consignes. Il présente le résultat aux superviseurs qui restent
maîtres de décider si une intervention correctrice est nécessaire.
Dans les deux cas, l’apport de l’informatique est de réaliser, pour
le compte de l’homme, des tâches soit répétitives, soit d’analyse
logique.
Cas des consignes accidentelles
Sur N4, les procédures accidentelles sont basées sur une sur-
veillance permanente de l’état de la tranche lors de leur application.
Dans une salle de commande conventionnelle avec procédures
papier, l’opérateur doit boucler en permanence dans les organi-
grammes pour détecter un changement d’état. Sur N4, l’innovation
consiste, après une première application de la consigne par l’opéra-
teur, à faire ce bouclage par le calculateur qui avertit l’opérateur en
cas de changement d’état. Cela décharge l’opérateur et lui permet
de prendre du recul pour la supervision d’ensemble.
Le gain sur le plan sûreté est important car la consigne informa-
tisée permet lors de son application une surveillance permanente
de l’état de la tranche et permet à l’équipe de disposer de plus de
temps pour détecter les événements.
L’ensemble des procédures permet une conduite homogène entre
opérateurs et une grande qualité de conduite par respect des procé-
dures.
Les contrôles en ligne du système évitent les déviations ou les
oublis d’actions de l’opérateur.
■ Autres moyens à disposition de l’opérateur
L’ensemble des documents et traitements associés fournissent à
l’opérateur :
— une aide en ligne pour chaque action élémentaire (sur-
veillance/commande) ;
— une aide en ligne à la compréhension des automatismes (régu-
lations, protections) ;
— une aide à la gestion du passage de quart ;
— une aide à la gestion des demandes d’interventions ;
— une aide au suivi de l’archivage (journaux de bord).
■ La liaison conduite-maintenance
La consignation ou les essais de matériels sont réalisés par le
chargé de consignation sur le système d’aide informatique à la
consignation. Ce système est installé dans un local à côté de la salle
de commande. Il permet :
— la gestion de tous les matériels situés à la frontière et à l’inté-
rieur de la zone objet d’un régime de consignation ou d’essai ;
— la gestion des lignages des circuits.
Les informations correspondantes (matériel consigné ou en essai)
sont transmises en temps réel au système de conduite pour affi-
chage à l’opérateur (couleur du repère de l’objet ou texte actif) et uti-
lisation dans les consignes. Cette fonction est équivalente à la pose
des macarons dans une salle de commande classique.
Par ailleurs, le système de consignation a accès à la base de don-
nées du système de conduite et en particulier aux informations de
type disponibilité des matériels ou des fonctions.
L’opérateur a aussi la possibilité depuis son poste en salle de com-
mande d’imprimer une demande d’intervention pour les équipes de
maintenance.
Il s’agit donc d’une aide importante tant à la maintenance qu’à la
conduite.
4. Qualification de l’interface
homme-machine
Les premières réflexions et études sont parties de besoins expri-
més par l’exploitant : recensement des différents utilisateurs de
l’information dans une installation nucléaire, orientations à prendre
en considération en matière de niveau d’automatisme et vis-à-vis du
_________________________________________________________________________________ PROCÉDURES DE CONDUITE ET INTERFACE HOMME-MACHINE
rôle de la composition de l’équipe de conduite ; une analyse fonc-
tionnelle détaillée des procédures de conduite des centrales REP
900 MW a été effectuée pour identifier les tâches de l’opérateur et
cerner ses besoins en informations.
L’étude s’est alors développée selon trois axes :
— la conception de l’interface homme-machine posant l’ensem-
ble de la structure de dialogue (spécification des fonctions) ;
— l’architecture d’un système de Contrôle-Commande adapté à
cet interface (capacité de traitement, performances, disponibilité) ;
— le développement des moyens de CAO indispensables à une
gestion rigoureuse des dizaines de milliers de données utilisées.
Il n’était pas réaliste de s’engager dans une telle innovation en
matière de conduite de centrale nucléaire sans s’assurer de la perti-
nence des choix effectués. Une simple maquette statique, telle
celles réalisées sur les paliers précédents pour décider de l’implan-
tation des moyens de commande et d’information, s’avérait notoire-
ment insuffisante ; il était indispensable de réaliser une validation
dynamique, dans des conditions les plus proches possible de la réa-
lité.
Il a donc été décidé de réaliser un simulateur de représentation
intégrale dénommé « simulateur S3C » constitué :
— d’un simulateur de processus identique au système informati-
que d’un simulateur de formation 1 300 MW, contenant le modèle
physique et les automatismes de commande et de protection d’une
centrale 1 300 MW ;
— d’un système informatique se substituant à la salle de
commande conventionnelle et gérant les postes opérateurs de la
nouvelle salle de commande.
Quatre campagnes d’évaluation successives ont été effectuées
sur ce simulateur entre 1987 et 1996.
Ces évaluations sont basées sur l’observation de phases de
conduite représentatives. Un ensemble de scénario est défini préa-
lablement pour couvrir toutes les situations de conduite que l’on
veut évaluer : lors des quatre campagnes d’essai toutes les situa-
tions de conduite, situations normales depuis l’arrêt à froid à la
pleine puissance, grands transitoires, situations accidentelles, ont
ainsi été parcourues, y compris la conduite de nuit postée.
Des observateurs ergonomes et des spécialistes de la conduite
ont suivi le déroulement de chaque scénario et à l’issue de chaque
journée d’essai ont procédé à un entretien avec les opérateurs ;
l’appui technique de l’Autorité de Sûreté a été associé à ces
évaluations ; des médecins de la médecine du travail ont participé
aux deux premières campagnes (observation de la fatigue visuelle
en particulier).
La première campagne d’essai (1987) a porté sur l’évaluation des
outils nécessaires à la conduite en situation normale (salle de
commande limitée à 2 postes opérateurs et au synoptique mural),
sans procédures informatisées ; elle a impliqué 8 équipes de 2 opé-
rateurs pendant 8 semaines et comporté environ 200 essais.
Lors de la seconde campagne (1989), les modifications décidées
suite à la première campagne ont été validées et l’évaluation a été
entendue aux consignes informatisées de conduite événementielle
et d’approche par état dans une configuration à 3 postes (2 postes
opérateurs, un poste Ingénieur de sûreté/superviseur), dans des
situations d’exploitations normales, incidentelles, accidentelles sur
des périodes allant jusqu’à 3 fois 8 heures. Six équipes composées
de 2 opérateurs, un superviseur et un ingénieur de sûreté (équipes
complètes) ont participé à environ 150 essais.
La troisième campagne (1994) a concerné exclusivement la
conduite en situation accidentelle, avec, dans ces situations, le pas-
sage et la conduite au « panneau auxiliaire » et les modes dégradés
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire
de conduite depuis les postes opérateurs. Quatre équipes complètes
ont participé à environ 60 essais.
Enfin la quatrième campagne (1996) a été ciblée sur l’organisation
de l’équipe en situations accidentelles et sur les rôles du superviseur
et de l’ingénieur de sûreté dans ces situations. Elle a impliqué 4
équipes complètes sur environ 20 essais.
Utilisé actuellement comme simulateur de formation dans
l’attente, en 1998, d’un simulateur représentatif d’une centrale N4, le
simulateur S3C a représenté un investissement important. Les cam-
pagnes d’évaluation ont été riches d’enseignement, sur l’ergonomie
de la salle de commande (en particulier l’éclairage), sur la structure
des images, sur les dialogues, sur la structure des procédures infor-
matisées, sur l’organisation de l’équipe de conduite ; elles ont per-
mis d’identifier les erreurs de conception et de procéder aux actions
correctives avant que la salle de commande soit opérationnelle sur
site ; le dialogue avec l’Autorité de Sûreté a été facilité, les condi-
tions d’utilisation aux limites de la salle de commande ayant pu être
simulées avec beaucoup de réalisme.
L’intégration de l’ingénierie EDF (mécanique, électrique...) et des
outils de CAO associés a facilité la réalisation de la salle de
commande N4 en permettant une vérification et une validation de
toutes les données, images et consignes.
● Phase de conception
Les données introduites dans le système informatique de
conduite ont été définies par des équipes spécialisées : images, alar-
mes, consignes... Dans chaque cas un groupe d’experts vérifie dès
la conception que les règles définies dans les spécifications ont été
suivies. Ces groupes d’experts associent les concepteurs de la salle
de commande, les concepteurs des systèmes de la tranche et les
exploitants.
● Saisie des données
La vérification des données est assurée par des contrôles manuels
mis en place ainsi que par des contrôles informatiques automati-
ques réalisés lors de la saisie et de l’intégration des données.
● Vérification sur le site
La visualisation des données lors des essais sur site permet de
vérifier et de compléter les contrôles manuels et informatiques réa-
lisés en bureaux d’études.
● Validation sur le site
La visualisation des données lors des essais de démarrage per-
met leur validation fonctionnelle.
5. Conclusion
L’accident de Three Miles Island a mis à évidence l’importance
fondamentale de l’interface homme-machine et de la structure des
procédures de conduite dans les centrales nucléaires.
La France, compte tenu de l’importance de son parc nucléaire, a
développé et mis en œuvre dès le début des années 80 le concept de
« conduite par état » et d’interface homme-machine entièrement
informatisé.
Cette tendance s’est généralisée dans les autres pays disposant
de réacteurs nucléaires sous des formes et des appellations variées.
Tous les projets de réacteurs du futur qui sont proposés aujourd’hui
adoptent ces concepts de base.
BN 3 421 - 11
 P
O
U
Procédures de conduite R
et interface homme-machine
E
N
par Bernard APPELL
Ingénieur ESE
Directeur Adjoint du Service Études et Projets Thermiques et Nucléaires (SEPTEN) EDF
S
et Yvon CHAMBON
Ingénieur ENSEEIHT
A
Chef du groupe Conduite du Service Études et Projets Thermiques et Nucléaires
(SEPTEN) EDF V
O
Constructeurs et fournisseurs I
EDF – Direction de la Production Transports.
SEMA GROUP.
CEGELEC.
THERMATOME.
SPIE TRINDEL. R

Organismes et laboratoires P
LCIE – Laboratoire Central des Industries Électriques. SOPEMEA.
L
U
Normalisation
Commission Électrotechnique Internationale CEI : — CEI 1771 : Verification and validation of control rooms design i – NPP ;
S
— CEI 1772 : Visual display unit application to main control room i – NPP.
— CEI 964 : Design for control rooms of nuclear power plants ;
— CEI 1127 : Operator controls in NPP ;

Règles de conception et de construction des maté-
riels électriques RCCE. ASCEN.
Rapport working group. 10 - 20 NUCLETERCONT.
UNIPE.
Bibliographie
SUREAU (H.), DEPOND (G.) et OLIOT (A.). – L’appro-
che par état : une nouvelle conception des
procédures de conduite post-accidentelle. Ope-
rational Safety of Nuclear Power Plants Congrès
AIEA de Marseille, mai 1983.
Dans les Techniques de l’Ingénieur
APPEL (B.), CHABERT (J.) et GUESNIER (G.). – Archi-
tecture générale de contrôle commande des
réacteurs et des usines. BN 3 411 (1998). Traité
Génie nucléaire, volume B8I.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

est strictement interdite. - © Techniques de l’Ingénieur, traité Génie nucléaire Doc. BN 3 421 - 1