Les évaluations probabilistes de la sûreté

Lorsqu’elle est étendue à la sûreté générale d’une installation nucléaire, l’approche probabiliste prend le nom d’évaluation (ou étude) probabiliste de la sûreté (EPS)26

. L’agrégation de toutes les

24. Comme dans la partie précédente (voir note 6), nous laissons ici temporairement de côté les questions de fiabilité mécanique, pour nous concentrer sur l’analyse des systèmes et des séquences accidentelles.

25. Nous reprenons ici l’affirmation assez commune selon laquelle ces deux méthodes relèvent respectivement de démarches inductive et déductive (voir, par exemple, NRC (1981, section I p.8)). Dans la suite, nous montrerons toutefois que parler de déduction, dans le cas de l’analyse des systèmes, constitue un abus de langage typique (voir le paragraphe 3.4.1.1).

26. L’évaluation probabiliste de la sûreté correspond à l’anglais Probabilistic safety assessment, qui est le terme de référence des organismes internationaux tels que l’AIEA et l’AEN. Dans les pays anglo-saxons, notamment à des fins

séquences accidentelles permet alors de mesurer le risque total engendré par l’installation.

Il existe trois niveaux d’EPS : le premier porte sur l’évaluation du risque de fusion du cœur du réacteur ; le deuxième prolonge l’hypothèse de fusion en étudiant ses conséquences pour la centrale, et notamment les rejets de matière radioactive en dehors de son enceinte ; enfin, le troisième considère, pour un scénario de rejets donné, les conséquences pour le monde extérieur. Idéalement, les trois analyses devraient être articulées pour permettre de suivre l’enchaînement de causes et d’effets allant des prémisses d’un accident jusqu’à ses conséquences finales. En pratique, toutefois, l’accent a été surtout mis, jusqu’à ce jour, sur les EPS de niveau 1, pour des raisons que nous évoquerons dans la dernière section de ce chapitre. De telles évaluations ont été effectuées pour la grande majorité des réacteurs nucléaires en opération dans le monde, et constituent une exigence minimale de sûreté. Des EPS de niveau 2 ont été développées dans les pays les plus avancés en matière de sûreté (notamment en France), et apparaissent aujourd’hui comme une norme de bonne pratique (AIEA , 2001). Enfin, seul un faible nombre d’EPS de niveau 3 a été réalisé dans le monde (notamment aux États-Unis et en Suède).

Nous proposons dans cette section un survol de l’approche probabiliste de la sûreté, en prenant pour modèle les EPS françaises et en indiquant quelques alternatives méthodologiques lorsque cela était possible sans engager de longs développements techniques. Nos visées seront avant tout synthétiques et critiques ; pour des exposés complets et détaillés de ces outils, on pourra consulter notamment Bedford et Cooke (2001) et Villemeur (1988).

3.4.1.1 Le risque de fusion du cœur : l’EPS de niveau 1

L’analyse des séquences d’événements susceptibles de mener à une fusion du cœur du réacteur commence par la sélection d’événements initiateurs*. Des arbres d’événements décrivent ensuite la progression de l’accident en considérant l’une après l’autre toutes les missions de systèmes ou d’opérateurs visant à l’arrêter.

L’usage combiné d’arbres d’événement et de défaillance à partir d’ensembles d’initiateurs et d’états critiques identifiés, l’analyse séparée des causes communes et des erreurs humaines, et l’éva- luation des arbres de défaillance par l’intermédiaire de programmes informatiques (codes) forment ensemble la méthodologie de référence des EPS de niveau 1 des centrales nucléaires dans le monde. Evénements initiateurs

Un événement est initiateur lorsqu’il perturbe le fonctionnement normal de l’installation, nécessite le recours à un ou plusieurs systèmes de sûreté ou de sauvegarde et peut être considéré comme le début d’une séquence accidentelle. Les événements initiateurs peuvent avoir pour origine une

de réglementation, on lui préfère la dénomination de Probabilistic risk assessment, qui met l’accent sur la mesure du risque au prix d’un euphémisme. Quantitative risk assessment, plus précis, est également d’usage courant et semble progressivement gagner les faveurs des analystes.

défaillance interne (rupture de tuyauterie, panne de composant, erreurs humaines ou informatiques), une défaillance externe (perte des alimentations électriques), une agression interne (inondations et incendies) ou une agression externe (aléas naturels, accidents de transport).

L’identification des événements initiateurs vise, par principe, à l’exhaustivité. On ne peut bien sûr jamais être certain d’avoir atteint cet objectif et, dans la pratique, on en reste assez loin dans le cas de systèmes aussi complexes qu’une centrale nucléaire. Il s’agit alors de procéder, en considérant les ressources humaines et financières disponibles, à un arbitrage entre l’étendue des catégories d’événements considérés et la précision des séquences étudiées. La première étude probabiliste de la sûreté des réacteurs de 900 MWe en France, à titre d’exemple, a fait l’objet d’une attention particulière pour l’analyse des états transitoires et la prise en compte des défaillances de systèmes supports ; mais les agressions internes et externes en ont été exclues (IPSN, 1990b). Ce choix a été confirmé dans les mises à jour ultérieures de l’étude (IRSN, 2006), de même qu’il a été suivi dans l’EPS des réacteurs 1300 MWe (EdF, 1990).

Les événements initiateurs constituent le point de départ des séquences d’accident, c’est-à-dire celui où l’on choisit d’arrêter la démarche inductive de représentation des causes. Ce choix est, dans une large mesure, affaire de jugement et de contexte. Pour pouvoir considérer un événement comme initiateur, il faut d’une part que l’on puisse évaluer sa probabilité d’occurrence de façon satisfaisante, et de l’autre que l’effort supplémentaire de remontée à ses causes ne présente pas d’intérêt du point de vue d’autres séquences accidentelles. Si, à titre d’exemple, on choisit comme événement initiateur la rupture d’une tuyauterie primaire et non la fissure qui l’a amenée, c’est que la fréquence de la rupture est estimée suffisamment bien connue, et que la rupture est le point de passage unique de toutes les conséquences pertinentes de la fissure, quelle qu’en soient les causes (Villemeur, 1988, p. 272). Dans la terminologie des réseaux bayésiens causaux que nous introduirons au chapitre suivant, nous dirons que les grandeurs latentes, c’est-à-dire celles qui sont laissées en dehors du champ du modèle (la fissure), ne sont causalement liées qu’à une seule variable du modèle (la rupture), ou encore qu’il n’existe pas parmi elles de cause commune.

Les événements initiateurs, en revanche, ne sont pas indépendants : l’occurrence d’un événement peut accroître la probabilité de survenue d’autres, et la recherche de ces corrélations constitue un élément important de la démarche.

Les probabilités de survenue des événements initiateurs sont, dans la mesure du possible, es- timées par des fréquences observées empiriquement. Ces estimations sont régulièrement révisées pour tenir compte de l’expérience d’exploitation. Si l’événement est rare et l’on ne dispose pas de fréquence fiable, sa probabilité d’occurrence est évaluée sur la base d’avis d’experts. Lorsqu’il s’agit d’une perte de système, ces avis peuvent être complétés, ou remplacés, par des outils d’analyse des systèmes tels que les arbres de défaillance27_{. Lorsqu’il s’agit d’une erreur des opérateurs, on peut}

faire de même appel à des méthodes d’analyse de la fiabilité humaine ou à des fréquences observées lors d’exercices de simulation.

Les événements initiateurs dont la probabilité de survenue est inférieure à un certain seuil (généralement 10−8_{) sont considérés comme négligeables et écartés.}

Analyses des séquences d’accident

Les arbres d’événements sont des diagrammes probabilistes issus de la théorie de la décision. Ils représentent une séquence accidentelle, depuis l’événement qui l’initie jusqu’aux différents évé- nements qui peuvent la conclure, en décrivant toutes les interventions humaines ou de systèmes censées maintenir ou ramener l’installation à l’intérieur de son domaine de fonctionnement auto- risé28

. Chacun des nœuds de l’arbre représente ainsi une mission : on parle de mission de système lorsque la séquence suppose en principe l’intervention d’un système de sûreté, et de mission de conduite lorsqu’il s’agit d’une intervention humaine. Deux branches sont issues de chaque nœud ; ils figurent la réussite et l’échec de la mission. Le succès d’une mission de système est défini par le respect de critères quantitatifs traduisant le maintien des fonctions de sûreté, et celui d’une mission de conduite par la réalisation d’une action appropriée et l’absence (ou la récupération) d’actions inopportunes dans les délais impartis. La succession des nœuds de l’arbre fournit une description de la séquence accidentelle. Pour partie, elle suit l’ordre de réalisation des causes et de leurs effets. La logique de progression causale ne suffisant cependant pas à déterminer l’arbre de façon univoque (puisque les événements considérés ne découlent généralement pas les uns des autres de façon li- néaire), l’ordre des nœuds est aussi pour partie déterminé par l’analyste, avec pour principal souci de simplifier la structure de l’arbre. À titre d’exemple, entre deux défaillances qui ne seraient pas directement liées, celui-ci choisira de faire figurer en premier celle qui mènerait de façon certaine à une fusion de cœur ou, s’il y a égalité selon ce critère, celle qui y mènerait le plus rapidement.

Considérons, à titre d’illustration, la séquence accidentelle déclenchée par une perte totale de l’alimentation électrique29_{. Dans une telle situation, la circulation du fluide primaire s’arrête et le}

cœur du réacteur n’est plus refroidi. Une série de missions doit alors être menée à bien pour éviter la fusion du cœur :

– la chute automatique des grappes d’arrêt doit placer le cœur en état sous-critique ; son échec entraîne la fusion à brève échéance ;

– le système d’alimentation de secours des générateurs de vapeur doit permettre d’évacuer la

samment large pour estimer bien établis les taux de défaillance et les durées d’indisponibilité qui en sont dérivés. C’est le cas, par exemple, des groupes électrogènes de secours.

28. Certaines études, en particulier WASH-1400 (NRC, 1975), choisissent de ne représenter que les interventions de systèmes dans l’arbre d’événements et de considérer les interventions humaines à l’intérieur de l’analyse des systèmes. 29. Nous présentons ici de façon succincte l’analyse de cette séquence dans les centrales 900 MWe françaises, telle qu’elle a été menée au début des années 1980. Comme l’explique Libmann (1996, p.180), des études ultérieures ont amené à en modifier certains scénarios (notamment à tenir compte de la possibilité d’une survenue de l’événement initiateur pendant un arrêt du réacteur) et à réévaluer certaines probabilités.

puissance résiduelle du cœur ; sa défaillance conduit à une fusion au bout d’une heure ; – le groupe turbo-alternateur de recours ultime (LLS) doit alimenter les batteries qui permettent

le fonctionnement du contrôle-commande ; à défaut, ces batteries se déchargent en une heure, conduisant à la fusion au bout d’une heure supplémentaire ;

– le même groupe doit alimenter la pompe de test qui permet de continuer à injecter de l’eau froide aux joints des pompes primaires, évitant ainsi la perte de leur étanchéité qui conduirait à une fusion au bout de trois heures.

Dans chacun des trois derniers cas de défaillance, la récupération d’une source électrique permettrait en principe d’éviter la fusion du cœur.

L’arbre d’événements de la figure 3.4.1 représente une séquence accidentelle limitée aux trois premières heures d’absence totale d’alimentation électrique. Comme on le voit, la considération du système d’arrêt d’urgence comme premier nœud de l’arbre permet de ne faire figurer aucun autre nœud sur la branche « échec », puisque celle-ci mène de façon rapide et irréversible à la fusion.

On a également choisi ici de ne pas détailler les suites d’événements conduisant à des consé- quences qui demeureraient incertaines dans la limite temporelle imposée à la séquence. L’une des branches de l’arbre agrège ainsi tous les scénarios où ni la fusion ni la sauvegarde du cœur ne sont obtenues au bout de trois heures. En pratique, lorsque l’on quantifie les probabilités d’accident à l’intérieur d’intervalles temporels donnés, ce type de branche est négligé.

Le choix de la durée sur laquelle une séquence accidentelle est développée fait l’objet d’un arbitrage entre précision et simplicité. L’idéal, du point de vue de la représentation de l’incertitude, est de prolonger la séquence jusqu’à obtention d’états qui puissent être considérés définitifs dans tous les scénarios. Cette option, qui peut demander un effort considérable de modélisation, a été choisie dans l’actualisation de l’EPS française de niveau 1 publiée en 2006 (IRSN, 2006). Les séquences accidentelles s’y achèvent donc systématiquement par trois types d’événements :

– l’accident proprement dit, c’est-à-dire la fusion de tout ou partie du combustible du cœur, que l’on identifie en pratique à des causes estimées suffisantes pour le provoquer, telles que le dénoyage prolongé des crayons de combustible, des sollicitations de la cuve au-delà de ses conditions de tenue ou l’injection dans le cœur d’une eau dont la teneur en bore serait insuffisante ;

– une conséquence acceptable, compatible avec la préservation des fonctions de sûreté ; – un événement initiateur d’une autre séquence.

D’autres EPS font le choix d’une plus grande simplicité en arrêtant l’analyse des séquences à un terme donné (généralement 24 h) et négligent de ce fait les scénarios accidentels à plus long terme. Les probabilités de succès ou d’échec figurant sur les branches de l’arbre sont, comme dans le cas des événements initiateurs, estimées à partir de données de fiabilité, d’avis d’experts ou, dans le

Figure3.4.1 – Arbre d’événements d’une séquence liée à la perte des alimentations électriques

Source : à partir de Libmann (1996)

cas de missions plus complexes, d’une analyse séparée du système ou de l’intervention humaine en question. Il s’agit, pour chacun des événements de l’arbre, de probabilités conditionnelles reflétant ses chances de réalisation sous l’hypothèse de survenue de tous les événements l’ayant précédé dans la séquence accidentelle. L’évaluation de ces probabilités suppose que l’on ait au préalable rendu compte de toutes les interactions possibles entre événements. Les différents systèmes en jeu dans une séquence accidentelle doivent donc faire l’objet d’une analyse aussi complète que possible en termes de rapports causaux. On cherche, en outre, à tenir compte des actions de réparation et de restauration qui peuvent être entrepris durant la période considérée (ici en vue de rétablir l’accès à une source électrique), en réponse soit à l’événement initiateur, soit à d’autres défaillances, et de leur impact sur la séquence accidentelle.

Analyse des systèmes

Pour analyser les conditions et probabilité d’échec d’une mission de système, on représente les combinaisons de défaillances de composants et d’erreurs qui peuvent y conduire par l’intermédiaire d’un arbre de défaillance. Les nœuds d’un arbre de défaillance sont constitués par des événements de trois types :

– les événements intermédiaires sont des défaillances de composantes du système ou des erreurs humaines dont on cherche à expliciter les causes comme pour l’événement de tête ;

– les événements de base sont des défaillances de composantes ou des erreurs humaines qui marquent les limites de l’analyse au sens où l’on choisit de ne pas en analyser les causes ; il faut pour cela que l’on puisse estimer leur probabilité de survenue de façon satisfaisante et raisonnablement supposer qu’ils n’admettent pas de cause commune, comme dans le cas des événements initiateurs.

Les branches de l’arbre relient des événements d’entrée à un événement de sortie, et décrivent l’action causale des premières sur le dernier. Elles sont jointes par des portes logiques traduisant la nature de la combinaison des événements d’entrée : ET s’il s’agit d’une conjonction, OU si c’est une disjonction, ET ou OU conditionnels à un événement particulier, combinaisons k/n (conjonction de k des n événements d’entrée), etc. Il s’agit donc, à chaque niveau de l’arbre, d’identifier les causes nécessaires et suffisantes à la survenue d’un événement30_.

La figure 3.4.2 présente un exemple d’arbre de défaillance : celui d’une cuve pressurisée et des systèmes de pompage et de contrôle associés. La cuve est initialement vide. Un interrupteur actionne un premier relais électrique, puis un second qui met le moteur de la pompe sous tension. La pompe injecte un fluide dans la cuve et le porte jusqu’à une pression limite en un temps estimé à 60 secondes. Une fois ce niveau atteint, un détecteur de pression (pressostat) permet, par le biais du second relais électrique, d’arrêter le moteur de la pompe. Afin de parer à une défaillance du pressostat, une minuterie a été introduite, qui est mise en marche dès que le premier relais est sous tension et qui interrompt automatiquement celui-ci s’il enregistre 60 secondes d’opération continue. L’événement de tête considéré (ε′

1) est la rupture de la cuve après le démarrage de la pompe. Les

événements de base sont les défaillances primaires* de la cuve (ε1), des deux relais électriques (ε5

et ε2), du pressostat (ε3), de l’interrupteur électrique (ε4) et de la minuterie (ε6). Les événements

intermédiaires sont la défaillance secondaire* de la cuve (ε′

2), le maintien sous tension du second

relais électrique pendant plus de 60 secondes (ε′

3), le maintien de la tension pendant plus de 60

secondes en l’absence d’une action du pressostat (ε′

4) et le maintien sous tension du premier relais

électrique pendant plus de 60 secondes en l’absence d’une action du pressostat (ε′ 5).

30. Les combinaisons k/n (avec k ≤ n) permettent d’expliciter de la façon la plus générale le rapport entre les portes logiques et les relations de causalité : dans une combinaison k/n, la conjonction de k événements d’entrée constitue une cause suffisante (mais non nécessaire dès lors que k < n) de l’événement de sortie, et chaque événement d’entrée est une cause nécessaire (mais non suffisante dès lors que k > 1) de cette conjonction. Chaque événement d’entrée est donc une cause de l’événement de sortie au sens de la condition INUS de Mackie : « une partie non suffisante mais nécessaire d’une condition qui est elle-même non nécessaire mais suffisante pour le résultat » (Mackie, 1965). Il faut noter en outre que les portes ET et OU sont des cas particuliers de combinaisons k/n, respectivement pour k = n et k = 1.

Figure3.4.2 – Arbre de défaillance d’une cuve pressurisée

Source : NRC (1981)

La logique de construction de l’arbre est détaillée dans l’ouvrage de référence de la NRC (1981). Elle consiste à tenter de répertorier de façon exhaustive les causes immédiates de chaque événement considéré, et de remonter ainsi aux causes de l’événement de tête que l’on choisit de considérer ultimes. À titre d’exemple, on commence par relier la rupture de la cuve à la double possibilité d’une défaillance primaire ou secondaire. La première, qui peut être notamment due à une fatigue accumulée, ne concerne que la cuve elle-même, que l’on a choisi de considérer comme une composante dans la description du problème ; de ce fait, cette défaillance constitue un événement de base. La seconde, en revanche, peut être causée par différentes combinaisons d’événements, que l’on détaille lors des étapes suivantes.

Comme nous l’avons souligné, cette logique d’identification des causes est souvent qualifiée de déductive. Il ne s’agirait cependant à proprement parler de déduction que dans la mesure où l’on disposerait d’un modèle explicatif complet du système en question, ce qui n’est jamais le cas. Il est ainsi admis que la recherche des causes ne peut prétendre à l’exhaustivité, et que seules les plus vraisemblables d’entre elles doivent être retenues (voir par exemple Villemeur (1988, p.191)). À titre d’exemple, on a écarté, dans la première étape de construction de l’arbre que nous venons d’exposer, la possibilité que la cuve ait été mal posée.

Un abus de langage voisin consiste à estimer que les rapports de cause à effet à l’intérieur du système, et plus généralement le système lui-même, sont déterministes, comme le fait par exemple l’ouvrage précité de la NRC :

« Un système est une entité déterministe comprenant un ensemble fini d’éléments en interaction » (NRC, 1981, p. I-4.).

Cette affirmation peut être comprise de deux manières. Soit elle se réfère à un déterminisme la- placien, qui nous est inaccessible car nos limites cognitives ne nous permettent pas d’appréhender l’ensemble des causes en jeu dans la détermination d’un effet particulier, et dans ce cas elle n’a pas d’implication pratique. Soit, comme le suggère l’emploi du qualificatif « fini », elle cherche à justifier