Que sont les systèmes contrôle-commande nucléaire sil3 sil4 ?
Les systèmes de contrôle-commande (C&C) nucléaires constituent le système nerveux des centrales : ils acquièrent les mesures physiques (températures, pressions, débits, neutrons, vibrations, niveaux), exécutent les algorithmes de protection et de régulation, puis commandent les actionneurs (vannes, pompes, barres de contrôle, disjoncteurs). La norme IEC 61226 classe les fonctions en trois catégories selon leur importance pour la sûreté : catégorie A (fonctions de sûreté critiques, arrêt d'urgence, isolement enceinte, injection de sécurité), catégorie B (fonctions importantes pour la sûreté, surveillance post-accident, contrôle température et pression primaire), catégorie C (fonctions auxiliaires importantes, ventilation, surveillance radiologique). À chaque catégorie correspond un niveau d'intégrité de sécurité SIL (Safety Integrity Level) défini par IEC 61508 : SIL 4 (PFD < 10⁻⁴, redondance triple ou quadruple, diversification matérielle et logicielle) pour la catégorie A, SIL 3 (PFD < 10⁻³) pour la catégorie B, SIL 2 pour la catégorie C.
En France, le marché du C&C nucléaire est dominé par deux acteurs européens : Rolls-Royce Civil Nuclear Meylan 38 (Grenoble, ~700 salariés, ex-Schlumberger Industries) avec la plateforme Spinline 3 (~75 % PdM mondial, déployée sur 80 % des réacteurs EDF actuels - palier 900/1300/1450 MWe, export Coréen Hanaro réacteur de recherche, Inde, Chine) et Framatome (ex-Areva NP, ~14 000 salariés monde) avec TELEPERM XS (~50 réacteurs équipés dont EPR Flamanville, EPR2 Penly, Olkiluoto OL3 Finlande, Hinkley Point C UK, Sizewell C, Taishan Chine). Schneider Electric Rueil-Malmaison 92 fournit Tricon Triconex SIL3 (systèmes instrumentés de sécurité SIS) et Modicon Quantum nucléaire. Siemens France Saint-Denis 93 propose SPPA-T2000 (Siemens Power Plant Automation). Westinghouse Nuclear Automation France déploie la plateforme Common Q (qualifiée NRC US). CGI France Paris et Atos Bezons 95 (Bull Sequana HPC) interviennent sur l'intégration SI nucléaire et la simulation neutronique.
Spécifications techniques et procédés de production
Principales plateformes contrôle-commande nucléaires qualifiées catégorie A/B/C utilisées en France :
Familles de produits et caractéristiques
| Plateforme | Fournisseur | Catégorie IEC 61226 | Référence d'installation |
|---|---|---|---|
| Spinline 3 | Rolls-Royce Civil Nuclear Meylan 38 | Catégorie A SIL 4 | 80 % réacteurs EDF (palier 900/1300/1450), 200+ tranches mondiales |
| TELEPERM XS | Framatome (ex-Areva NP, Siemens) | Catégorie A SIL 4 | EPR Flamanville 3, OL3 Finlande, HPC UK, Taishan Chine, EPR2 Penly |
| Tricon Triconex | Schneider Electric Rueil-Malmaison 92 | Catégorie B SIL 3 (SIS) | Systèmes instrumentés de sécurité SIS, retrofit palier 900 EDF |
| SPPA-T2000 | Siemens France Saint-Denis 93 | Catégorie B/C | Contrôle-commande conventionnel groupes turbo-alternateurs |
| Common Q | Westinghouse Nuclear Automation | Catégorie A SIL 4 | Réacteurs AP1000 export, modernisation palier 1300 EDF |
| Modicon Quantum nucléaire | Schneider Electric | Catégorie C SIL 2 | Auxiliaires conventionnels, surveillance radiologique |
Grades et conditionnements commerciaux
- Spinline 3 (Rolls-Royce Civil Nuclear Meylan 38) : plateforme C&C catégorie A SIL 4, architecture redondante 4 trains, processeurs Sun SPARC durcis, qualification sismique SC1, qualification environnementale K1 LOCA, déployée sur 200+ tranches nucléaires mondiales depuis 1989.
- TELEPERM XS (Framatome I&C Erlangen DE + Paris) : plateforme C&C catégorie A SIL 4 pour systèmes de protection réacteur (RPS) et systèmes de surveillance accident sévère (SSPS), architecture quadruplex 4 divisions séparées électriquement IEEE 384, certifiée NRC US et ASN France, équipe EPR Flamanville 3, OL3 Olkiluoto, Hinkley Point C, Taishan.
- Tricon Triconex (Schneider Electric) : plateforme TMR Triple Modular Redundancy SIL 3 certifiée IEC 61508, systèmes instrumentés de sécurité SIS pour fonctions catégorie B, déployée sur retrofit palier 900 EDF (rénovation C&C dans cadre Grand Carénage).
- SPPA-T2000 (Siemens Power Plant Automation) : plateforme C&C conventionnel pour groupes turbo-alternateurs et auxiliaires non classés sûreté, catégorie B/C, déployée monde entier sur centrales thermiques et nucléaires conventionnelles.
- Common Q (Westinghouse Nuclear Automation, plateforme Common Qualified) : C&C catégorie A SIL 4 certifiée NRC US, déployée AP1000 (Chine Sanmen, Haiyang, US Vogtle), proposée modernisation palier 1300 EDF en compétition avec Spinline.
Normes et réglementations
Référentiels normatifs internationaux applicables aux systèmes contrôle-commande nucléaires :
- RCC-E édition 2022 (AFCEN Association Française pour les règles de Conception et de Construction des matériels des chaudières Électro-nucléaires) : Règles de Conception et de Construction des matériels Électriques nucléaires, référence française pour qualification équipements C&C.
- IEC 61226 : Nuclear power plants - Instrumentation and control important to safety - Classification of instrumentation and control functions, définit catégories A/B/C selon importance pour la sûreté.
- IEC 60880 : Nuclear power plants - I&C systems important to safety - Software aspects for computer-based systems performing category A functions, exigences logiciel pour fonctions catégorie A (qualification V&V exhaustive).
- IEC 62138 : Nuclear power plants - I&C important to safety - Software aspects for computer-based systems performing category B/C functions, exigences logiciel allégées pour catégories B et C.
- IEC 61508 (parties 1-7) : Functional Safety of E/E/PE Safety-Related Systems, définit les niveaux SIL 1 à 4 (Safety Integrity Level) avec PFD probabilité de défaillance sur demande de 10⁻¹ à 10⁻⁴.
- IEEE 323 / IEEE 344 / IEEE 384 + AIEA SSG-39 + arrêté INB 7 février 2012 : qualification Class 1E équipements, qualification sismique SC1/SC2, indépendance et séparation des trains de sûreté, conception I&C nucléaire.
Procédés industriels détaillés
Étapes du cycle de développement, qualification et déploiement d'un système C&C nucléaire :
Spécification fonctions de sûreté catégorie A/B/C
Spécification des fonctions de sûreté par l'exploitant (EDF DIPDE) avec classement IEC 61226 catégorie A (arrêt d'urgence, injection sécurité), B (surveillance), C (auxiliaires), allocation des fonctions par train de sûreté (4 trains EPR), analyses FMEA et HAZOP.
Architecture matérielle redondante et diversifiée
Conception architecture matérielle redondante (2oo3, 2oo4) avec diversification matérielle (processeurs différents) et logicielle (équipes de développement séparées) pour fonctions catégorie A SIL 4, séparation physique des trains conforme IEEE 384, alimentation Class 1E secourue.
Développement logiciel selon IEC 60880
Développement logiciel applicatif selon cycle en V rigoureux IEC 60880, codage en langage qualifié (Ada SPARK, C MISRA, FBD certifié), revues de code, tests unitaires couverture > 95 % MC/DC, vérification formelle pour modules critiques, traçabilité exigences-code-tests.
Qualification matériel K1/K2/K3 et sismique SC1
Qualification matériel selon RCC-E et IEEE 323/344/383/627 : tests environnementaux K1 (LOCA, ambiance enceinte primaire, vapeur 160 °C + radiation 200 Mrad), tests sismiques SC1 (catégorie 1 séisme dimensionnement), tests CEM IEC 61000.
V&V Vérification et Validation indépendante
V&V Vérification et Validation indépendante par équipe distincte du développement (IV&V) : revue documents conception, tests fonctionnels par cas d'usage, tests d'intégration sur banc d'essai représentatif, tests de validation site (FAT Factory Acceptance Test, SAT Site Acceptance Test).
Mise en service et licensing ASN
Mise en service progressive sur centrale avec accord ASN Autorité de Sûreté Nucléaire : tests à froid, essais à chaud, montée en puissance par paliers 25-50-75-100 %, surveillance EDF UTO Unité Technique Opérationnelle Saint-Denis 93, maintenance corrective et préventive sur 60 ans de durée de vie.
Le marché français
Le marché mondial du contrôle-commande nucléaire représente environ 5 Md$ par an (estimation 2024), tiré par la modernisation du parc existant (durée de vie prolongée à 60-80 ans aux US et France), la construction de nouveaux réacteurs (Chine 30 GW d'EPR/Hualong en construction, Inde, Émirats Barakah, Égypte El Dabaa, Turquie Akkuyu) et le développement des SMR (Small Modular Reactors). Le marché français représente 300 à 500 M€ par an, dominé par Rolls-Royce Civil Nuclear (Spinline) et Framatome (TELEPERM XS), avec une montée en puissance attendue avec le programme EPR2 (6 réacteurs Penly, Gravelines, Bugey, enveloppe 51,7 Md€, mise en service 2035-2042).
Rolls-Royce Civil Nuclear Meylan 38 (Grenoble, ~700 salariés) est le n°1 mondial du C&C nucléaire avec ~75 % de parts de marché, héritage de l'expertise Schlumberger Industries (ex-Merlin Gerin) puis SciCos puis Rolls-Royce depuis 2008. La plateforme Spinline 3 équipe 200+ tranches nucléaires dans le monde dont 80 % des 56 réacteurs EDF (palier 900 MWe CP0/CP1/CP2, palier 1300 P4/P'4, palier 1450 N4), avec contrats récurrents de maintenance évolutive sur 60 ans. Framatome (ex-Areva NP, 14 000 salariés monde) déploie TELEPERM XS développé conjointement avec Siemens dans les années 1990, sélectionné pour tous les EPR construits ou en construction (Flamanville 3, OL3 Finlande, Taishan 1-2 Chine, Hinkley Point C UK, Sizewell C UK, EPR2 Penly et Gravelines).
Le programme français de relance du nucléaire (EPR2 décidé en février 2022 par Emmanuel Macron, 6 réacteurs Penly + Gravelines + Bugey + option 8 supplémentaires, enveloppe 51,7 Md€) génère un marché C&C estimé à 2-3 Md€ sur 2025-2040 (200-300 M€ par tranche EPR2). Le projet SMR Nuward (consortium EDF + TechnicAtome Aix-en-Provence 13 + Naval Group + CEA + Framatome, réacteur 170 MWe modulaire, mise en service 2030-2035) constitue un nouveau débouché pour Spinline et TELEPERM XS adaptés au format SMR. Le programme Grand Carénage (50 Md€ sur 2014-2025) finance la rénovation C&C du palier 900 EDF avec systèmes Spinline et Tricon Triconex SIL3, prolongeant la durée de vie des 32 réacteurs de 900 MWe à 60 ans (visite décennale VD4). Schneider Electric Tricon Triconex est leader des systèmes instrumentés de sécurité SIS retrofit avec 30 % de parts de marché européen.
Applications et débouchés industriels
Programmes publics français et européens structurants pour la filière C&C nucléaire :
- Programme EPR2 (51,7 Md€ enveloppe 2022-2042) : 6 réacteurs EPR2 Penly (2 unités), Gravelines (2 unités), Bugey (2 unités), option 8 réacteurs supplémentaires, mise en service échelonnée 2035-2042, marché C&C 2-3 Md€ pour Framatome et Rolls-Royce.
- Programme Grand Carénage EDF (50 Md€ 2014-2025) : rénovation C&C palier 900 MWe pour prolongation à 60 ans (visite décennale VD4), contrats Spinline Rolls-Royce et Tricon Triconex Schneider Electric.
- Projet SMR Nuward (consortium EDF/TechnicAtome/Naval Group/CEA/Framatome, réacteur 170 MWe modulaire) : prototype 2030, mise en service commerciale 2035, plateforme C&C dérivée Spinline et TELEPERM XS adaptées format SMR.
- Programme France 2030 nucléaire (1 Md€ 2022-2030) : volet SMR-AMR (Small et Advanced Modular Reactors) 500 M€, soutien startups Newcleo Lyon 69 (SMR au plomb), Jimmy Energy Paris (microréacteurs HTR industriels), Calogena, Stellaria, NAAREA.
- Programme européen Horizon Europe Euratom (1,4 Md€ 2021-2027) : recherche sûreté nucléaire, instrumentation, C&C, codes I&C catégorie A, plateformes diversifiées matérielles et logicielles, simulation accident sévère.
Questions fréquentes
Qu'est-ce qu'un système contrôle-commande nucléaire de catégorie A ?
Un système contrôle-commande (C&C) nucléaire de catégorie A est défini par la norme IEC 61226 comme un système exécutant des fonctions de sûreté critiques dont la défaillance pourrait entraîner directement des conséquences inacceptables (rejet radiologique, fusion du cœur). Cela inclut l'arrêt d'urgence du réacteur (Reactor Protection System RPS, chute des barres de contrôle en moins de 2 secondes), l'isolement de l'enceinte de confinement, l'injection de sécurité haute pression et basse pression, l'aspersion enceinte. La catégorie A impose SIL 4 (PFD < 10⁻⁴ par demande selon IEC 61508), architecture redondante quadruplex 4 divisions séparées électriquement IEEE 384, qualification matérielle K1 LOCA et sismique SC1, développement logiciel selon IEC 60880 (cycle en V rigoureux, V&V indépendante, vérification formelle). Les plateformes qualifiées catégorie A en France sont Spinline 3 (Rolls-Royce Meylan 38) et TELEPERM XS (Framatome).
Qu'est-ce que la plateforme Spinline 3 de Rolls-Royce ?
Spinline 3 est la plateforme C&C nucléaire catégorie A SIL 4 développée par Rolls-Royce Civil Nuclear Meylan 38 (Grenoble, ~700 salariés, héritage Schlumberger Industries - Merlin Gerin - SciCos - Rolls-Royce depuis 2008). C'est le leader mondial des systèmes de protection réacteur (RPS) avec ~75 % de parts de marché et 200+ tranches nucléaires équipées dans le monde. En France, Spinline 3 équipe 80 % des 56 réacteurs EDF du palier 900 MWe (CP0/CP1/CP2), palier 1300 (P4/P'4) et palier 1450 (N4 Chooz, Civaux). À l'export, Spinline équipe le réacteur de recherche Hanaro Corée du Sud, des centrales en Inde et en Chine. La plateforme repose sur des processeurs Sun SPARC durcis pour environnement nucléaire (qualification K1 LOCA + sismique SC1), architecture 4 trains redondants et diversifiés. Spinline est en compétition avec TELEPERM XS de Framatome pour les nouveaux EPR/EPR2.
Qu'est-ce que TELEPERM XS de Framatome ?
TELEPERM XS est la plateforme C&C nucléaire catégorie A SIL 4 développée à partir des années 1990 par Siemens KWU puis transférée à Framatome (ex-Areva NP), siège Framatome I&C Erlangen Allemagne + bureau Paris. C'est la plateforme retenue pour tous les EPR (European Pressurized Reactor) construits ou en construction : Flamanville 3 France (mise en service 2024), Olkiluoto OL3 Finlande (mise en service 2023), Taishan 1-2 Chine (en service depuis 2018-2019), Hinkley Point C UK (en construction, mise en service 2027-2030), Sizewell C UK (construction démarrée 2024), EPR2 Penly Gravelines Bugey (mise en service 2035-2042). Plus de 50 réacteurs sont équipés dans le monde (EPR + retrofit allemands + chinois). Architecture quadruplex 4 divisions séparées IEEE 384, processeurs durcis, qualification NRC US et ASN France, développement logiciel SCADE Esterel Technologies (langage formel SCADE Suite certifié IEC 60880).
Quelle est la différence entre SIL 3 et SIL 4 en nucléaire ?
SIL 3 (Safety Integrity Level 3) et SIL 4 sont des niveaux d'intégrité de sécurité définis par IEC 61508 et IEC 61511 selon la probabilité de défaillance sur demande PFD : SIL 3 = PFD entre 10⁻³ et 10⁻⁴ (1 défaillance pour 1 000 à 10 000 demandes), SIL 4 = PFD entre 10⁻⁴ et 10⁻⁵ (1 défaillance pour 10 000 à 100 000 demandes). En nucléaire selon IEC 61226 : les fonctions catégorie A (arrêt d'urgence réacteur, isolement enceinte, injection sécurité) exigent SIL 4 avec architecture quadruplex 4 trains redondants et diversifiés (Spinline 3 Rolls-Royce, TELEPERM XS Framatome). Les fonctions catégorie B (surveillance post-accident, contrôle température et pression primaire) exigent SIL 3 typiquement avec architecture TMR Triple Modular Redundancy 2oo3 (Tricon Triconex Schneider Electric, Modicon Quantum nucléaire). SIL 4 impose développement logiciel formel selon IEC 60880, alors que SIL 3 accepte IEC 62138 (exigences allégées). Le coût SIL 4 est typiquement 3-5x supérieur à SIL 3.