Une définition du risque

Une fois enrichi d’une conception plus générale des interventions, le formalisme des RBC permet donc de reproduire aisément l’ensemble des outils et raisonnements de sûreté dans un cadre unifié : changements de l’installation par le biais de modifications de sûreté, évaluation probabiliste des interventions humaines, marges de sûreté et hypothèses pénalisantes, identification des causes et des conséquences. Nous proposons à présent une synthèse des démarches probabiliste et déterministe de la sûreté comme stratégies d’atteinte d’une certaine cible (l’ensemble d’états χs_{) par l’étude et}

la modification d’un réseau partiellement identifié. 5.3.5.1 Un RBC idéal

En élaborant des modèles, ou représentations simplifiées d’un système, nous aspirons à une connaissance toujours croissante des grandeurs considérées et de leur rapport au reste du monde, qui puisse, à la limite, nous conduire à une description parfaite. Un tel idéal laplacien ne serait cependant

Figure5.3.4 – Graphe idéal du problème de sûreté

pas déterministe, puisqu’il ne s’étendrait pas à l’ensemble du monde. Les facteurs qu’il ignorerait de ce fait formeraient, ensemble, sa part aléatoire. Mais cet aléa serait caractérisé, limité dans son ampleur et stable dans le temps, à la manière d’un bruit blanc dans un modèle économétrique. Cette idée est l’abstraction d’une abstraction, mais elle nous est utile en tant que point de référence. Elle est, nous semble-t-il, le « vrai modèle » par rapport auquel nous nous situons lorsque nous considérons l’incertitude d’une modélisation.

Supposons donc qu’un tel modèle markovien existe dans le cas de notre problème de sûreté, que son graphe soit celui de la figure 5.3.4 et qu’après l’ensemble des interventions du décideur, ses équations soient de la forme :

Xi= g∗i(XP a∗_(i), Y_i∗)

Supposons enfin, en simplifiant le problème de la sûreté à des fins d’illustration, que l’ensemble d’états χs _{soit caractérisé par les valeurs d’une seule variable, indiquée par un cercle plein sur la}

figure. Dans le cas de la sûreté nucléaire, il pourrait s’agir de l’état du cœur du réacteur.

Les démarches déterministe et probabiliste constituent alors deux stratégies d’étude et de mo- dification d’une partie identifiée de ce RBC idéal.

5.3.5.2 L’approche probabiliste

L’approche probabiliste consiste à chercher à identifier le réseau de façon systématique et à estimer l’ensemble d’équations :

Xi= gi(XP a(i), Yi)

Figure5.3.5 – Démarche probabiliste de sûreté

Définition 5.17. On appelle risque sous l’intervention g la donnée de l’ensemble des états du monde accompagnés de leurs probabilités de réalisation et de l’ensemble des états du système accompagnés de leurs probabilités de réalisation sous g :

Rg=< Y, PY, χ, Pg>

En particulier, on appelle risque a priori le risque sous le laisser-faire f.

Le bon fonctionnement d’une installation, ou plus généralement la réalisation d’un ensemble d’états que l’on se donne pour cible, représente un événement interne χs _{⊂ χ. Le risque accep-}

table, et l’objectif de sûreté qui est sa différence par rapport à 1, portent sur la probabilité de cet événement.

Définition 5.18. On appelle risque acceptable pour la réalisation d’un événement χs _{un réel}

αs∈ [0, 1], et l’on dit alors qu’une intervention g est acceptable si Pg(x ∈ χs) ≥ 1 − αs.

Le risque, tel que nous venons de le définir, est une mesure de l’incertitude aléatoire33

portant sur les différentes grandeurs du système. Elle ignore cependant une part de l’incertitude, que l’on appelle épistémique. L’incertitude épistémique est elle-même de deux formes : elle peut, d’une part, porter sur la forme de la fonction fiou celle de la distribution de probabilités associée à la variable

Yi, qui sont les paramètres du modèle markovien ; elle peut, d’autre par, être relative à la structure

causale du modèle, c’est à dire à l’ensemble d’indices P a(i) des parents de Xi.

L’incertitude paramétrique peut être mesurée par des distributions de probabilités et « pro- pagée » dans la structure, ce qui revient formellement à assimiler les paramètres incertains à des variables et les intégrer à la structure (à l’image de la variable manquante (1) du graphe de la figure 5.3.6). Comme nous l’avons dit auparavant, la distinction entre incertitude aléatoire et incertitude

Figure5.3.6 – Incertitudes de la démarche probabiliste

paramétrique, bien qu’utile sur un plan pratique, ne nous semble pas reposer sur un fondement théorique solide. Nous préférons donc considérer que cette part d’incertitude est déjà intégrée à la mesure du risque, c’est-à-dire que toutes les grandeurs incertaines observables ont été intégrées au système.

Il reste alors l’incertitude de modélisation, c’est-à-dire celle portant sur la structure causale du modèle (à l’image de l’arc manquant (2) de la figure), qui peut s’écrire sous la forme d’un vecteur (µ1, . . . , µn), avec :

µi= gi(xP a(i), yi) − g∗i(xP a∗_(i), y∗_i)

On peut certes imaginer procéder ici de la même façon pour l’incertitude paramétrique, en attribuant des probabilités a priori à différentes structures causales en présence. Cette procédure ne peut toutefois pas épuiser notre incertitude dès lors que l’on suppose que la vraie structure nous est inaccessible34

.

5.3.5.3 L’approche déterministe

L’approche déterministe est adaptée à une situation de grande incertitude du décideur (voir la figure 5.3.7). Celui-ci procède par identification de la variable-cible, de ses parents, puis de ses ascendants d’ordre supérieur. Dans le cas de la sûreté nucléaire, il s’agirait de l’état du cœur, des trois fonctions fondamentales de sûreté (contrôle de la réaction, refroidissement, confinement), puis de fonctions plus élémentaires, du fonctionnement de systèmes spécifiques, etc. Par ses interventions, le décideur cherche à mettre en place des mécanismes permettant d’éviter l’événement redouté. Il sait cependant que le réseau sur lequel il s’appuie est très partiel, et cherche à assurer la robustesse de l’installation contre la survenue d’événements externes potentiellement importants. Pour cela, il

34. Autrement dit, nous ne pouvons pas formuler une partition de l’ensemble des modèles possibles (Winkler, 1994).

Figure5.3.7 – Démarche déterministe de sûreté

intègre aux mécanismes élaborés des marges de sûreté et en organise la succession le long de toutes les chaînes causales menant à la variable cible, en faisant à chaque fois l’hypothèse pénalisante d’un dépassement des marges pour le mécanisme situé en amont. Ces mécanismes successifs forment les niveaux de la défense en profondeur, figurés par des cercles d’épaisseurs différentes sur le graphe.

L’approche déterministe est soumise à deux formes principales d’incertitude pouvant conduire au dépassement des marges pour une ou plusieurs variables du système. L’expression formelle de ces marges est :

µ0i = g0i(¯xP a0_(i)) − g∗_i(x_{P a}∗_(i), y_i∗)

La première forme d’incertitude, symbolisée par la variable manquante (1) sur le graphe de la figure 5.3.8, est liée à la survenue d’un événement exogène dépassant directement les marges prévues. Les mécanismes situés en aval, s’ils disposent eux-mêmes de marges suffisantes, peuvent compenser ce dépassement mais, comme nous l’avons noté, il est impossible de savoir a priori si cette compensation aura lieu. Nous verrons au chapitre suivant que les marges intégrées à la conception des centrales japonaises leur ont permis par le passé de subir sans dommage majeur des séismes dépassant largement leurs niveaux de dimensionnement.

La seconde forme principale d’incertitude est le mode commun représenté par la variable man- quante (2) du graphe. L’existence d’une cause commune latente peut entraîner la survenue simulta- née d’événements supposés indépendants sur des chaînes causales distinctes, et finir par provoquer l’événement redouté sans qu’il y ait eu dépassement des marges de sûreté en amont.

Une forme particulière de mode commun est celui qui affecte différents niveaux de la défense en profondeur (arcs manquants (3) sur le graphe) et suffit de ce fait à causer l’événement redouté. Le tsunami qui a affecté la centrale de Fukushima Dai-Ichi en mars 2011 était un tel événement (voir chapitre suivant).