L’évolution de la défense en profondeur

Ces limites sont devenues de plus en plus évidentes à partir de la fin des années 1960, à la lumière de travaux montrant d’une part qu’une fusion complète du combustible formant le cœur du réacteur ne pouvait être exclue, et contestant d’autre part la présomption d’inviolabilité de l’enceinte de confinement dans une telle situation. Cette dernière remise en cause a eu un impact considérable sur l’analyse de la sûreté puisqu’elle amenait, dans une démarche déterministe, à établir une équivalence entre fusion du cœur et rejets massifs de substances radioactives. Il devenait donc impératif de réviser les fondements de la défense en profondeur afin de mieux identifier, prévenir et gérer les situations d’endommagement important du cœur. L’expérience d’exploitation des centrales américaines, puis l’accident de Three Mile Island, venant confirmer certaines craintes des spécialistes, les années 1970-1980 ont vu des efforts importants se déployer en ce sens.

3.3.4.1 Prise en compte de nouveaux facteurs de risque

De toute évidence, la gamme d’événements pris en compte dans les défenses existantes était insuffisante, puisqu’elle se limitait aux défaillances internes, que l’on complétait par la perte totale des alimentations électriques externes, un petit nombre d’agressions internes (projectiles provenant des équipements à haute pression) et une agression externe (séisme)15

. À partir du milieu des années 1970, cette liste fut progressivement étendue à d’autres agressions internes (incendies, inondations internes, chutes de charge, etc.) et externes (inondations externes, chutes d’avion, risques industriels, etc.). Pour tenir compte de ces événements dans le dimensionnement des centrales, on fit parfois référence aux précédents historiques, sans aucune considération de probabilité (comme c’était déjà le cas pour les séismes). Dans d’autres cas où l’on estimait pouvoir approcher les probabilités d’occurrence par des fréquences empiriques, celles-ci servirent de critère de sélection des événements de référence. C’est ainsi que l’on évalua la probabilité de chute d’un avion sur les éléments sensibles d’une centrale durant une année à 10−8_{pour l’aviation commerciale, 10}−7 _{pour l’aviation militaire}

et 10−6_{pour l’aviation de tourisme. Sur cette base, il fut décidé de protéger les centrales contre les}

chutes d’avions de tourisme et, dans certains cas, d’avions militaires, et de négliger les risques liés aux avions de ligne16

.

Par ailleurs, l’arrivée à maturité de méthodes probabilistes permit d’étudier de façon plus précise les conditions de survenue d’accidents que l’on avait exclus du dimensionnement des centrales et qui conduisaient directement à une fusion du cœur. Les événements les plus sérieux pris en compte jusqu’alors (les conditions de fonctionnement de quatrième catégorie) n’excluaient certes pas un endommagement significatif du cœur et des rejets incontrôlés de substances radioactives, mais ils devaient se solder, après l’entrée en jeu automatique des systèmes de protection et de sauvegarde, par le retour à une situation stable. Ce rétablissement ne pouvait pas être assuré pour les accidents de la nouvelle catégorie, qu’il fut convenu d’appeler « conditions de fonctionnement supplémentaires ». Il s’agissait généralement d’accidents résultant de défaillances multiples, telles que la perte totale des alimentations électriques, dont la probabilité fut estimée proche de 10−5_{en dépit de la redondance}

des sources17

, des tableaux électriques et des voies. Dans certains cas, il s’avéra que des systèmes importants pour la sûreté, comme celui d’arrêt d’urgence du réacteur, étaient exposés à des modes communs. Au total, l’analyse probabiliste montra que la probabilité de ces accidents graves, dont l’ordre de grandeur était estimé à 10−5 _{voire, dans certains cas, 10}−4_{, était sensiblement plus élevée}

15. Comme nous l’avons vu dans la sous-section précédente, il a été décidé de cumuler conventionnellement l’une des défaillances internes les plus graves au séisme de référence et à la perte totale des alimentations électriques externes.

16. Il est remarquable que, dans ce cas spécifique et contrairement aux critères appliqués aux conditions générales de fonctionnement, les conséquences de la chute ne semblent pas avoir joué de rôle dans le choix des événements pertinents.

17. Pour son alimentation électrique, une centrale REP dispose de deux sources externes, deux groupes électrogènes et, en outre, de possibilités d’îlotage*.

que celle de conditions de fonctionnement d’une gravité comparable, telles que les grosses brèches du circuit primaire ou secondaire.

Ceci conduisit l’autorité française de sûreté nucléaire à définir pour la première fois, en 1977 et 1978, un objectif probabiliste relatif non plus à l’occurrence d’événements particuliers à l’intérieur de l’installation, mais au risque général engendré par elle. Il s’agissait, en l’occurrence, de veiller à ce que la probabilité de survenue de « conséquences inacceptables » ne dépasse pas 10−6_{par an pour}

une tranche donnée, et 10−7 _{pour chaque famille d’accidents en son sein. Comme dans le cas des}

conditions de fonctionnement, cette dernière valeur définissait de facto un seuil de probabilité en- deçà duquel une famille d’accidents pouvait être ignorée. Lorsque cette limite n’était pas respectée pour un certain type d’accident, les concepteurs furent amenés à revoir le dimensionnement des installations et, dans certains cas, à le compléter par des dispositifs particuliers visant à réduire la probabilité ou les conséquences de l’accident. Cependant, ces améliorations n’ont pas toujours été suffisantes pour assurer le respect des objectifs probabilistes, qui n’avaient d’ailleurs qu’une valeur indicative selon l’autorité de sûreté elle-même (voir la sous-section 4.3.2).

Il faut noter que les objectifs probabilistes affichés par les autorités de sûreté amenaient à estimer la probabilité des principaux scénarios accidentels, et encourageaient ainsi à leur tour l’usage de méthodes probabilistes.

3.3.4.2 Three Mile Island

C’est dans ce contexte de changements méthodologiques et pratiques que survint, le 28 mars 1979, l’accident de Three Mile Island (TMI), qui ne fit que renforcer les évolutions en cours. L’acci- dent, où il y eut fusion du cœur mais pas de rejets importants, leva en effet de façon spectaculaire l’incertitude des spécialistes de la sûreté sur plusieurs questions importantes18

.

En premier lieu, il apparut clairement qu’une succession de dysfonctionnements et d’erreurs humaines en apparence mineurs pouvaient conduire à un accident plus grave que le plus grave des accidents enveloppe retenus dans le dimensionnement des centrales (à savoir la perte du réfrigérant primaire par une grosse brèche instantanée doublement débattue, c’est-à-dire un sectionnement du tuyau des deux côtés). Plus spécifiquement, il fallait consacrer une attention particulière aux accidents déclenchés par une petite brèche sur le circuit primaire, certes moins graves mais aussi plus fréquents que les grosses brèches.

Deuxièmement, TMI prouva que les conséquences d’une fusion du cœur n’étaient pas toujours catastrophiques pour l’environnement, et que l’enceinte de confinement pouvait jouer un rôle crucial dans la protection de la population et du personnel. La tenue de la centrale à court et à long terme dans un scénario d’accident grave devint donc un paramètre crucial de la sûreté.

18. Nous n’évoquons pas ici la somme d’enseignements techniques spécifiques qui firent partie du retour d’expé- rience de TMI et vinrent par la suite modifier la conception et la conduite des installations nucléaires.

Troisièmement, la conduite des opérations durant les premiers jours de crise, alors que la crainte de rejets massifs était forte, fut estimée très insatisfaisante ; il s’avéra par la suite que les autorités en charge des décisions d’urgence avaient manqué à la fois de pratique et d’informations, en particulier au sein de l’agence de sûreté, la Nuclear Regulatory Commission (NRC). Il fallait donc mieux se préparer à la gestion d’accidents graves, ce que l’on chercha à faire en adoptant formellement deux niveaux supplémentaires de défense en profondeur.

Quatrièmement, le facteur humain apparut comme un rouage essentiel des dynamiques acci- dentelles, dans le sens négatif (erreur) comme positif (récupération). Il devint donc nécessaire de le prendre en compte dans l’approche de la sûreté. Sur le plan pratique, ceci conduisit notamment à des modifications importantes dans la conception des salles de commande et à la création d’une fonction d’ingénieur de sûreté-protection, chargé du contrôle et du soutien des équipes en situation accidentelle.

Certains de ces enseignements allaient dans le même sens que les conclusions de la première analyse probabiliste complète de la sûreté d’une centrale, l’étude WASH-1400 publiée quelques années auparavant (NRC, 1975). L’étude avait estimé la probabilité de fusion du cœur à 3 · 10−5

pour les réacteurs à eau bouillante et 6 · 10−5 _{pour les REP (c’est-à-dire entre un et deux ordres de}

grandeur au-delà de ce que l’on pensait précédemment) et indiqué, pour les secondes, l’importance des accidents de perte de fluide primaire suite à des petites brèches, événements qui étaient alors considérés secondaires. Elle avait aussi montré que conditionnellement à une fusion, la probabilité de perte de confinement était non négligeable et avait identifié un mode de ruine du confinement jusqu’alors ignoré dans les analyses déterministes19

(Beckjord, Cunningham et Murphy, 1993). Dans le même temps, elle avait décrit un nombre significatif de scénarios d’accident qui ne conduisaient pas à des rejets importants.

Mais WASH-1400 avait aussi soulevé de vives critiques, qui avaient conduit son commanditaire, la Nuclear Regulatory Commission, à se distancier de ses conclusions. En confirmant plusieurs enseignements de l’étude, TMI contribua beaucoup à montrer la pertinence de l’approche qui y avait été mise en œuvre20

.

3.3.4.3 Un concept en mouvement

L’ensemble de ces influences ont contribué à transformer le concept de la défense en profondeur à partir du milieu des années 1970, notamment en y faisant entrer une part croissante d’éléments probabilistes et en l’adaptant à la possibilité de survenue d’un accident majeur.

En premier lieu, il s’est agi, comme nous l’avons vu, de se donner un critère de sélection des dé-

19. Il s’agit d’un scénario de perte de réfrigérant primaire par une brèche située à l’extérieur de l’enceinte de confinement (dit de bipasse).

Figure 3.3.1 – Défense en profondeur et catégories de fonctionnement

faillances retenues pour le dimensionnement. Cette approche a été ensuite étendue aux événements externes, particulièrement lorsqu’un traitement déterministe conduisait à des contraintes de dimen- sionnement jugées excessives et trop coûteuses (comme dans le cas des chutes d’avions). Enfin, pour étendre l’approche à des événements d’une gravité extrême qui n’avaient pas été pris en compte dans le dimensionnement initial, on a défini des critères probabilistes pour la survenue de « consé- quences inacceptables ». Ces critères ont à leur tour encouragé l’usage de méthodes probabilistes d’évaluation des séquences accidentelles.

Le dimensionnement des centrales a été adapté afin de tenir compte de ces « conditions de fonctionnement complémentaires ». Cela s’est traduit, en France, par certaines modifications d’ins- tallations ou de matériels, ainsi que par le développement des procédures de conduite dites H et U, qui permettaient de prévenir ou de faire face à la survenue de défaillances particulièrement graves. La reconnaissance d’un risque résiduel de perte du confinement, en partie quantifié par des esti- mations de probabilités, rendait également nécessaire la création de deux niveaux supplémentaires de défense visant à limiter et retarder les retombées extérieures à l’installation. La figure 3.3.1 montre l’évolution des niveaux de défense en profondeur et leur rapport avec les catégories de fonc- tionnement. Le niveau 3i correspond au dimensionnement initial des installations, et le niveau 3 à celui obtenu après la prise en compte du risque d’accidents graves liés à des défaillances complexes (défaillances multiples, causes communes)21

.

21. En toute rigueur, les niveaux 1 et 2 devraient également être modifiés pour refléter l’évolution du dimension- nement, puisque certaines défaillances complexes sont prises en charge dès ces niveaux.

L’élaboration des actions de sûreté des quatrième et cinquième niveaux de défense posait de nouvelles difficultés à la démarche déterministe. Le quatrième niveau était constitué de dispositifs non intégrés à la conception des centrales ; le cinquième niveau relevait d’interventions extérieures planifiées et menées par les autorités publiques. Dans un cas comme dans l’autre, la question du coût financier des mesures se posait de façon plus claire que lors du dimensionnement initial des installations, puisqu’un nombre important de centrales de puissance élevée existait déjà ou était en construction. Or la démarche déterministe, qui fut suivie dans un premier temps, avait tendance à conduire à un surdimensionnement manifeste des nouvelles mesures de protection. Le principe même de la démarche étant de majorer à la fois les probabilités et les conséquences d’un accident, toute notion de proportionnalité entre le risque et les actions correctrices entreprises lui était étrangère. Il fut finalement décidé de calibrer les mesures de réduction des risques de rejet des accidents envisagés au quatrième niveau en conformité avec le principe ALARA22 _{(AIEA , 2001). Après les}

probabilités d’accidents conduisant à une fusion du cœur et une perte du confinement, c’était donc leurs conséquences qu’il s’agissait d’estimer de façon plus réaliste.

La nécessaire prise en compte des probabilités et des conséquences de différentes types d’événe- ments a ainsi progressivement érodé la place du raisonnement déterministe dans l’outil déterministe par excellence qu’était la défense en profondeur. Le terrain de la sûreté était ainsi préparé à l’éclosion de méthodes probabilistes plus ambitieuses, qu’avait préfigurées l’étude WASH-1400.

Le concept de défense en profondeur a cependant continué à être adapté aux enseignements tirés de l’expérience ou des analyses, notamment probabilistes.

L’accident de Tchernobyl, dont les aspects techniques n’étaient guère transposables aux centrales occidentales en raison des différences technologiques importantes, montra cependant certaines diffi- cultés pratiques de la conduite accidentelle et l’ampleur des moyens nécessaires à la gestion de crise. Il occasionna également le premier exercice de communication de crise nucléaire dans les pays euro- péens, notamment en France où l’épisode mit en lumière des faiblesses institutionnelles sérieuses23_.

Les niveaux quatre et cinq de la défense en profondeur furent ainsi consolidés à la lumière de la catastrophe.

L’accident de Fukushima a déclenché une remise en cause encore plus profonde, dont nous étudierons en détail les premières étapes dans la dernière partie du chapitre 6. S’il est tout à fait prématuré d’essayer de porter une appréciation générale sur le retour d’expérience de l’accident, il semble néanmoins certain que la défense en profondeur est entrée dans une phase d’évolution importante, qui devrait se traduire en particulier par un nouvel élargissement de la gamme des événements considérés (principalement des agressions extérieures) ainsi que par la prise en compte

22. Le principe ALARA (As Low As Reasonably Achievable) constitue un critère de mise en regard implicite des coûts et des bénéfices d’une mesure.

des possibilités d’accidents simultanés dans plusieurs réacteurs d’une centrale.