Une illustration de la différence entre les deux approches

L’analyse de la fiabilité mécanique cherche à représenter l’état limite à partir duquel une struc- ture ou un composant peut être considéré comme défaillant (voir la première colonne dans la figure 3.5.1), et à définir le domaine dans lequel il doit être maintenu durant son fonctionnement afin d’éviter sa défaillance. L’état de l’élément est décrit par l’intermédiaire d’une fonction g de n va- riables (x1, ..., xn) tel que g(x1, ..., xn) est strictement positif, nul ou strictement négatif selon que

l’élément est en fonctionnement sûr, à l’état limite ou défaillant. Il s’agit, par exemple, de l’écart entre la résistance R de l’élément et la contrainte maximale (de pression, température, poids, etc.) C qu’il subit durant son utilisation. La notion de marge de sûreté recouvre différentes mesures de l’écart minimal ainsi instauré entre la représentation de l’état effectif de l’élément et celle de son état limite.

Naturellement, des grandeurs telles que la résistance et la contrainte ne sont pas connues de façon exacte. Elles sont estimées à partir d’un ensemble de paramètres (relatifs au propriétés du matériau, aux dimensions et à la forme de l’élément, etc.). Souvent, ces paramètres ne sont eux- mêmes pas mesurables, mais sont déterminés sur la base d’un échantillon d’observations ou par expertise. De surcroît, en raison des qualités propres du cas à l’étude, on est généralement dans l’incapacité de le situer précisément par rapport à cet échantillon.

Les méthodes déterministes d’évaluation de la fiabilité tiennent compte de cette incertitude en retenant des valeurs raisonnablement conservatrices pour les données d’entrée, et en adoptant

Figure 3.5.1 – Incertitude et marges de sûreté

également des hypothèses conservatrices dans le calcul de la contrainte et de la résistance. Elles aboutissent ainsi à une estimation pessimiste de la valeur de g(R, C), soit g0(r0, c0), et elle s’assure

que cette valeur est supérieure à une certaine marge strictement positive (ou, plus communément, que r0/c0 est au moins égal à un coefficient de sécurité supérieur à 1). Étant fondée sur une

estimation volontairement pessimiste des grandeurs en jeu, la marge de sûreté ne donne pas une mesure précise de l’écart entre l’état effectif de l’élément et son état limite, soit g(R, C)−0 (deuxième colonne de la figure).

Les méthodes probabilistes cherchent, en revanche, à représenter explicitement l’incertitude sur les deux grandeurs R et C en les considérant comme des variables aléatoires. Ces variables sont estimées à partir de grandeurs exogènes, dans des relations où l’incertitude est considérée comme aléatoire, et représentée par un terme d’erreur stochastique. En associant des distributions de probabilités à la résistance et à la contrainte, il devient possible de mesurer la marge entre la valeur la plus probable de leur écart g(r, c) et une valeur pessimiste g(r−_{, c}+_{) que l’on retient par}

mesure de prudence55

. De surcroît, l’incertitude probabilisable sur la valeur des paramètres, de type épistémique, peut être propagée dans les calculs pour engendrer un intervalle de confiance sur le résultat. La somme des deux marges ainsi introduites dans le calcul constitue une mesure de l’écart entre l’état effectif et l’état limite tel qu’estimé par la méthode probabiliste (troisième colonne de la figure). Elle peut s’interpréter en termes de probabilité de défaillance (Ang et Tang,

55. La contrainte maximale c+_{peut par exemple être la borne supérieure de l’intervalle de confiance à 95% associé}

à la distribution de C, ou encore la valeur maximale atteinte par C dans un ensemble de scénarios décrits par un arbre d’événements.

1984).

La prudence mise en œuvre dans le cas déterministe ou l’intervalle de confiance associé à une estimation réaliste dans le cas probabiliste constituent-ils des marges de sûreté suffisantes ? Le passage suivant d’un manuel de référence en fiabilité en donne une idée :

"the traditions of craftsmanship were results of slowly gained experiences about in which way good and safe structures should be designed. This accumulation of expe- riences was the necessary basis for a formalized engineering practice that in steadily increasing extent by application of mathematical models could deviate from traditional structural solutions by cautious use of the insight that the development of the natural sciences brought about. It was clear to the code makers that mathematical models give idealized pictures of the reality and that it is difficult to guarantee that all phenomena of possible essential importance for the reliability are included or realistically represented in the models. To this the history showed too many cases of mistakes having more or less catastrophic consequences. Therefore the code was made such that its value assess- ments were belonging to a selected class of deterministic and suitably simple models of the behavior of structures, all well known from the engineering education. Within the defined model universe the values of one or more so-called safety factors could then be assessed by consequence computations. [...] These consequence computations served the purpose to show that the use of the given safety factor values in usual engineering computations resulted in the same structural dimensions as obtained from the crafts- manship rules. With the increased degree of problem structuring and understanding of the phenomena brought about by the mathematical model analysis it became possible slowly to change the value assessment in a controlled way such that more daring design of structures became possible" (Ditlevsen et Madsen, 2007, p. 9).

La caractérisation de la défaillance comme résultat d’un excès de contrainte par rapport à la résis- tance (g(R, C) = 0), ces deux notions faisant l’objet de définitions et de mesures précises, correspond ainsi à une représentation simplifiée, c’est-à-dire un modèle, de la réalité. Cette modélisation ne peut prétendre reproduire parfaitement la réalité en raison des limites de notre compréhension du monde56_{. Son écart à la réalité est, par nature, incertain. Il résulte de l’action de facteurs non pris}

en compte dans la mesure de la contrainte et de la résistance, ou d’une action des facteurs pris en compte qui diffère de ce qui était attendu. La marge de sûreté est censée combler cet écart.

À l’intérieur même de sa branche déterministe, l’analyse de la fiabilité a fait l’objet de raffine- ments successifs permettant d’intégrer l’apport de différentes disciplines scientifiques par le biais du formalisme mathématique. Chaque nouvelle avancée a été intégrée par étapes, en sélectionnant

56. Nous aurons l’occasion d’exposer plus amplement les arguments en faveur de la primauté d’une interprétation épistémique de l’incertitude au chapitre 5.

les modèles les plus appropriés, en leur appliquant des marges de sûreté telles que les principales caractéristiques des ouvrages restent inchangées dans un premier temps, et enfin en réduisant le de- gré de conservatisme une fois que la compréhension des phénomènes en jeu avait accru la confiance dans les prédictions des nouveaux modèles.

La démarche probabiliste apparaît ainsi comme une poursuite de ce processus d’amélioration de l’inférence par d’autres moyens. En remplaçant les valeurs constantes par une distribution de valeurs possibles, les méthodes probabilistes permettent de gagner en réalisme (estimation de la valeur la plus probable g(r, c) - best estimate) et de mesurer en partie l’incertitude affectant le résultat (es- timation d’intervalles de confiance [r−_{; r}+_{] et [c}−_{; c}+_{], propagation de l’incertitude paramétrique).}

Elles restent cependant des représentations formelles, et supposent des régularités qui peuvent être violées dans la réalité. Parmi les hypothèses sur lesquelles les estimations reposent, le plus sou- vent de façon implicite, la plus importante est sans doute celle d’indépendance entre variables, qui suppose dans notre cas l’absence d’effet direct de C sur R et inversement, ainsi que l’absence d’une cause commune non spécifiée aux deux variables. Imaginons en effet que l’augmentation de la charge C, en laissant moins de temps à l’entretien, entraîne une diminution de la résistance R. Dans ce cas, l’écart g(r−_{, c}+_{) − g(r, c) calculé sous l’hypothèse d’indépendance surestime la marge}

d’incertitude effective, au sens où la combinaison (r−_{, c}+_{) est plus probable qu’escompté.}

L’existence d’incertitudes non probabilisables de ce type justifie le maintien d’une marge sup- plémentaire dans la colonne de droite de la figure 3.5.1, au-delà de la marge d’incertitude qui a été obtenue par l’analyse probabiliste (qu’elle soit d’origine aléatoire ou épistémique). Cette part d’incertitude peut être étudiée, dans certains cas, par des analyses de sensibilité, conduisant à une adaptation de la marge à la baisse ou à la hausse. Une annulation de celle-ci signifie simplement que l’on accorde une confiance totale au modèle probabiliste sur lequel reposent les estimations.

Ces observations restent valides lorsque l’on passe de la fiabilité physique d’une composante à la sûreté d’ensemble d’une installation nucléaire, même si les raisonnements et les pratiques gagnent naturellement en complexité. L’analyse de la sûreté des installations nucléaires fait ainsi appel à une multitude de modèles des phénomènes physiques et de la disponibilité de tous les systèmes importants pour la sûreté, où interviennent des milliers de paramètres. La pratique aujourd’hui la plus commune est d’avoir tour à tour recours aux méthodes déterministes et probabilistes dans ces différentes composantes (AIEA , 2008). Mais on constate une évolution progressive vers ces der- nières, c’est-à-dire une substitution d’estimations réalistes augmentées d’une mesure de l’incertitude aux estimations conservatrices. Les seuils de défaillance réglementaires en vigueur à l’époque où la sûreté nucléaire reposait essentiellement sur l’approche déterministe ont cependant été conservés dans la plupart des cas. L’un des défis actuels de l’analyse de la sûreté est de savoir dans quelle me- sure la compréhension des phénomènes à l’œuvre permet de réduire les marges de sûreté nécessitées

par le caractère incertain des modèles probabilistes (AEN, 2007).

3.5.2

Complémentarité des deux approches

En résumé, l’expérience d’exploitation des centrales nucléaires a montré que la défense en pro- fondeur ne permettait pas d’annuler le risque, et que des méthodes probabilistes pouvaient être mises en œuvre à la fois pour la compléter et pour mesurer le risque résiduel ; dans le même temps, ces évaluations probabilistes sont le fruit d’une représentation nécessairement incomplète d’une centrale nucléaire et de son environnement, et de ce fait soumises à des incertitudes parfois difficiles à quantifier. Si les deux approches sont généralement incompatibles au niveau des mesures parti- culières, elles ont donc néanmoins une part de complémentarité du point de vue de l’architecture d’ensemble de la sûreté, qu’il convient d’exploiter au bénéfice de cette dernière.

Dans un article qui eut une certaine influence sur la politique de sûreté américaine (voir la sous-section 4.2.2.1), des membres de l’Advisory Committee on Reactor Safety, organe consultatif de la NRC, distinguaient en 1999 deux conceptions possibles de cette complémentarité (Sorensen et al., 1999), l’une basée sur une approche traditionnelle, qu’ils appellaient « structuraliste », de la défense en profondeur, et l’autre proposant une refonte « rationaliste » de cette défense.

Dans la première, la logique déterministe de la défense en profondeur continue d’inspirer les principes supérieurs de la sûreté tels que la succession de niveaux de défense et le rôle de chacun d’entre eux, comme elle l’a toujours fait. Les évaluations probabilistes servent à améliorer la sûreté à l’intérieur de ce cadre en identifiant les scénarios qui contribuent le plus au risque d’ensemble. Elles ne cherchent pas, en particulier, à modifier l’équilibre de la défense en profondeur, par exemple la répartition des efforts entre prévention de la fusion et confinement.

Dans la seconde, la démarche de la sûreté est fondée sur l’évaluation probabiliste, et la défense en profondeur constitue un « filet de sécurité » nécessaire pour en compenser les insuffisances. L’analyse des réacteurs par le biais d’EPS permet d’avoir une idée précise des risques à différents niveaux (fusion du cœur, rejets massifs, impacts sanitaires). Les incertitudes relatives aux EPS doivent être évaluées de façon systématique, particulièrement celles liées à l’incomplétude, et des mesures doivent être prises pour tenir compte de leurs effets. Ces mesures s’inspirent de façon ciblée de la logique de la défense en profondeur57

.

Le choix entre ces deux options relève en partie des préférences sociales et de la façon dont la politique de sûreté les prend en compte, ce qui constitue le sujet du chapitre suivant. Cependant,

57. Nous rapportons ici une version légèrement modifiée de l’analyse de Sorensen et al. (1999), qui comporte de nombreuses références à la réglementation américaine, notamment les objectifs probabilistes de sûreté et la prise en compte d’un niveau acceptable du risque. Les auteurs soutiennent que la « philosophie sous-jacente » du point de vue rationaliste est l’acceptabilité des probabilités d’accident. Sur ce point, notre opinion diffère de la leur : la primauté accordée à l’approche probabiliste nous semble parfaitement conciliable avec l’objectif de réduire autant que possible le risque ainsi mesuré, sans considérer qu’un niveau quelconque soit acceptable en soi. Il n’y a donc pas, selon nous, de correspondance entre le point de vue rationaliste et l’adhésion à un objectif d’acceptabilité du risque.

tout en disant leur préférence pour l’approche rationaliste, les auteurs reconnaissent qu’« aucune n’incorpore de moyen fiable pour déterminer si le degré de défense en profondeur atteint est suf- fisant » et qu’« en dernière analyse, toutes deux dépendent de la mise en discussion des risques et des incertitudes entre personnes qualifiées, qui s’accordent finalement sur les mesures à prendre au nom de la défense en profondeur ». La raison en est que les méthodes déterministes comme probabilistes sont limitées, de façon ultime, par notre compréhension des phénomènes à l’œuvre dans une dynamique accidentelle, et peuvent de ce fait échouer conjointement dans l’identification d’une séquence.

L’approche probabiliste est un complément indispensable de la stratégie de défense en profon- deur. Elle seule peut proposer une hiérarchie des faiblesses et des améliorations possibles de cette stratégie, et tenter d’évaluer les risques résiduels engendrés par l’activité nucléaire, étape nécessaire aux décisions concernant l’acceptabilité de ces risques et leur gestion.

Or l’objectif d’identification et de quantification complète des risques d’accident pose un sérieux problème d’inférence dans le cas de systèmes d’une grande complexité, et dont le fonctionnement (et plus encore le comportement aux limites58_{) n’a fait l’objet que de rares observations. Il suppose}

de choisir, dans un ensemble quasiment infini de relations de cause à effet possibles à l’intérieur du système, mais aussi dans son environnement lorsque celui-ci interagit avec le système, celles qui sont significatives du point de vue des risques d’accident, de les relier entre elles, d’en évaluer la vraisemblance sur la base d’informations parfois très parcellaires, et de parvenir à une combinaison de ces procédures qui soit cohérente, calculable et révisable.

Le risque d’omission d’interactions importantes pour la sûreté s’accroît à mesure que l’on suit les phases de progression des accidents dans ce qui constitue le deuxième niveau d’EPS, où il s’agit de représenter les événements possibles dans une situation rarement observée de fusion du cœur (Nourbakhsh et Kress, 2005). Mais il est présent même dans des conditions normales de fonctionnement, comme en a témoigné en 2002 l’incident de Besse Davies, à l’occasion duquel on a découvert le degré de susceptibilité de l’alliage utilisé dans le couvercle de la cuve à la corrosion sous l’effet de l’acide borique présent dans le fluide réfrigérant. Face à ce phénomène, les inspections habituelles s’avèrent insuffisantes pour assurer l’intégrité de la cuve (donc de l’enveloppe du circuit primaire), ce qui constitue une faille dans la défense en profondeur. En outre, de nouvelles séquences accidentelles, qui n’avaient pas été envisagées par les études probabilistes, doivent désormais être considérées possibles. Un exemple d’une telle séquence est une fuite d’eau sous pression par une éventuelle brèche ouverte dans la tête de cuve, qui entraînerait un endommagement des mécanismes de conduite des grappes de contrôle et conduisant à la neutralisation du système d’arrêt d’urgence

58. Ceci explique que la recherche sur les phénomènes attendus dans des situations de dégradation de l’installation (interactions corium-béton, percement de la cuve, spéciation des produits de fission) fasse l’objet d’une attention particulière.

du réacteur alors même qu’un accident de perte de réfrigérant primaire serait en cours.

3.6 Conclusion

La démarche déterministe visait, à l’origine, à garantir la sûreté des installations nucléaires dans des conditions où la connaissance de leur fonctionnement et des états dégradés était très limitée, et où la faiblesse des moyens de calcul et d’expérimentation interdisait de simuler de façon précise les phénomènes physiques en jeu. Elle se place sous l’hypothèse de survenue des accidents les plus graves pour concevoir et mettre en place une série de défenses successives contre leur progression. Elle recourt en outre, de façon systématique, à des hypothèses pessimistes dans le dimensionnement des différents systèmes et composantes. En se cumulant les unes aux autres, les marges ainsi introduites permettent, pense-t-on, de compenser toutes les incertitudes relatives à l’évolution du système. L’enceinte de confinement elle-même en fournit un bon exemple : alors qu’elle n’était pas conçue, initialement, pour contenir les conséquences d’une fusion du cœur que l’on tenait pour trop improbable, elle s’est avérée avoir cette capacité pour un bon nombre de séquences accidentelles, grâce à la somme d’hypothèses conservatrices intégrés à sa conception.

L’inconvénient de la démarche est qu’elle ne repose pas sur une représentation détaillée des installations et des dysfonctionnements qui peuvent s’y produire, mais sur des scénarios d’accidents tirés de la pratique et de l’imagination de leurs concepteurs59

. Elle est donc particulièrement exposée à des scénarios imprévus, notamment à des enchaînements de défaillances mineures dont les effets se cumuleraient, ainsi qu’à des événements qui affecteraient plusieurs lignes de défense à la fois. Ces faiblesses ont été mises en lumière par l’accident de Three Mile Island et par la myriade de défaillances de cause commune détectées au fil des ans dans des systèmes de sûreté réputés redondants.

Les évaluations probabilistes, à l’inverse, sont fondées sur une telle représentation. En cherchant à identifier et modéliser tous les événements significatifs du point de vue de la sûreté, elles par- viennent à construire les séquences accidentelles à partir d’éléments simples et, de ce fait, n’ont pas à les sélectionner a priori. Le premier de leurs apports a ainsi été d’améliorer la compréhension des dynamiques accidentelles dans les centrales. Elles permettent, en la matière, d’aller plus loin que l’approche déterministe en complétant l’ensemble de scénarios-enveloppe considérés par celle-ci.

La démarche probabiliste remplace en outre l’usage systématique d’hypothèses conservatrices par une approche fondée sur la valeur la plus probable de chaque variable, augmentée d’une marge d’incertitude explicite. Elle permet ainsi de séparer de façon plus claire et rigoureuse la marge de

59. Il serait incorrect de dire que la démarche déterministe ne se fonde sur aucune représentation formelle. Comme nous l’avons vu, elle prend en effet pour point de départ l’ensemble des causes directes d’un accident grave : l’arrêt de l’une au moins des fonctions de sûreté. Nous chercherons dans le chapitre 5 à décrire cette représentation à partir du formalisme des réseaux bayésiens causaux.

sûreté disponible de ce qui relève de l’incertitude relative à la grandeur mesurée, et de s’assurer de la cohérence des marges de sûreté d’une variable à l’autre. De ce gain de cohérence découle un deuxième grand apport des EPS, qui est leur capacité à comparer des séquences d’accident, calculer les contributions d’événements-type au risque agrégé, et pouvoir ainsi définir des priorités dans l’amélioration de la sûreté.

En se fondant sur un modèle de l’installation, les évaluations probabilistes sont cependant su- jettes à une incertitude sur l’estimation de ses grandeurs caractéristiques et sur la justesse de sa structure. Une évaluation insuffisante ou erronée de cette incertitude signifie la disparition des avan- tages de l’approche probabiliste, qui peut alors conduire à accepter des marges de sûreté insuffisantes et à accorder une importance exagérée à certaines séquences accidentelles.