Limites et incertitudes de l’approche probabiliste

L’objectif des méthodes que nous venons d’exposer est de parvenir à une quantification de l’incertitude, destinée à sa prise en compte explicite dans des décisions relatives à la sûreté. Ces méthodes reposent cependant sur des représentations de l’installation et de son environnement qui peuvent elles-mêmes être incertaines. De ce fait, elles ne mesurent qu’une partie de l’incertitude générale relative aux dangers d’une centrale nucléaire.

Nous commençons dans cette section par donner deux exemples de limitations importantes des EPS, avant d’analyser les réponses théoriques et le traitement pratique proposés pour tenir compte des incertitudes afférentes.

3.4.2.1 Deux aspects particuliers

Nous avons évoqué plus haut quelques enseignements tirés de l’accident de TMI au sujet de la défense en profondeur, et souligné l’importance de cet événement pour les évaluations probabilistes de sûreté, qu’il contribua à relancer quatre ans après la publication de l’étude WASH-1400. Ce- pendant, tout en confirmant la pertinence d’une approche systématique fondée sur les probabilités, l’accident mit aussi en lumière les lacunes d’une représentation de la sûreté qui, à l’instar de celle de l’étude, ne rendait pas suffisamment compte de l’influence des actions humaines et des défaillances de cause commune. Ces deux questions difficiles firent l’objet de nombreux travaux dans les années suivantes.

Prise en compte du facteur humain

La prise en compte a priori des interventions humaines dans le fonctionnement des installations nucléaires est l’un des aspects les plus problématiques de l’approche probabiliste.

L’homme étant, par opposition à la machine, doué d’un certain degré de libre arbitre, ses ac- tions sont moins prévisibles et il serait encore plus illusoire de prétendre les répertorier de façon exhaustive. Ceci est vrai pour des actes ou des comportements dommageables, tels que la négli- gence ou l’erreur, aussi bien que réparateurs, comme la restauration de systèmes défaillants ou la récupération d’erreurs. On se borne généralement, dans la pratique, à tenter d’identifier, parmi les interventions humaines planifiées au cours des séquences accidentelles, celles dont l’échec contribue le plus au risque d’accident38

et à évaluer, pour ces interventions, la probabilité d’une erreur non récupérée. En d’autres termes, il ne s’agit pas de représenter les problèmes d’opérateurs doués de libre-arbitre et devant choisir leur conduite parmi un ensemble d’actions possibles, à la manière de la théorie de la décision, mais le succès ou l’échec d’interventions humaines codifiées et normali- sées, prescrites dans les procédures de gestion des états incidentels, accidentels ou d’urgence, qui tiennent dans le fonctionnement de l’installation un rôle similaire à celui des missions des systèmes de sauvegarde.

Deux sources principales d’information sont exploitées à ces fins : le retour d’expérience, pour lequel il existe une classification des actions et une collecte systématique de données au niveau international ; et l’utilisation de simulateurs, qui est particulièrement précieuse pour l’étude des comportements humains en situation incidentelle ou accidentelle. Pour dériver des probabilités

38. La contribution au risque s’entend ici en termes de probabilité et de conséquences de l’erreur toutes choses égales par ailleurs ; plus précisément, il s’agit d’une espérance des conséquences négatives de l’intervention.

à partir des fréquences d’erreur observées auprès de ces deux sources, on procède fréquemment par analogie et par extrapolation (Swain et Guttman, 1983), notamment en considérant que le comportement observé en simulateur est identique à celui en situation réelle.

Or les modalités de conduite d’une action humaine dépendent de facteurs qui rendent délicates ces méthodes d’inférence. L’influence du contexte immédiat, qu’il s’agisse de l’information dont disposent les intervenants ou des conditions de stress qui leur sont imposées (délais sous lesquels l’intervention doit être réalisée, importance du danger, etc.), est difficile à mesurer. Mais celle de facteurs plus diffus tels que la culture de sûreté au sein de l’installation, l’importance des moyens économiques et humains consacrés à la sûreté ou la qualité de l’environnement réglementaire l’est encore davantage. En dépit du foisonnement de la littérature sur la fiabilité humaine au cours des deux dernières décennies, la prise en compte de ces aspects reste embryonnaire. Dans les EPS françaises, la seule disposition permettant de rendre compte de l’influence des facteurs contextuels est l’évaluation séparée des interventions, selon qu’elles sont menées en situation accidentelle ou dans des conditions normales de fonctionnement (IPSN, 1990c)39_.

Les interventions considérées dans ce dernier cas sont les opérations normales de conduite de l’installation, ainsi que des opérations de maintenance, de vérification et de test de ses composantes par les équipes dites de conduite. Des erreurs dans l’accomplissement de ces tâches peuvent, dans certains cas, constituer des événements initiateurs d’une séquence accidentelle ou rendre indispo- nible un système de sauvegarde. Leurs probabilités sont estimées à partir d’une probabilité d’erreur de base, représentant la fréquence d’erreurs de toutes formes (par omission, confusion, mauvaise réalisation) dans l’accomplissement d’une tâche générique familière à l’opérateur. La valeur généra- lement admise pour ce paramètre est de 3/100. Conditionnellement à l’erreur initiale, il s’agit alors de considérer l’éventualité de deux autres types d’événement :

– la récupération de l’erreur, c’est-à-dire sa détection et sa correction avant qu’elle n’ait eu de conséquence importante, dont on évalue la probabilité en fonction des moyens de détection requis (alarme, opérations de requalification, tests périodiques, etc.) ;

– le fait que d’autres erreurs aient été commises, dont on évalue la probabilité en se donnant un modèle de dépendance statistique entre actions. Dans le cas du maintien de composants montés en parallèle, par exemple, on considère que la dépendance est totale, c’est-à-dire que conditionnellement à une erreur sur une composante, la probabilité d’une erreur sur les autres est égale à un.

Les interventions en situation accidentelle nécessitent une analyse plus complexe, puisqu’elles consis-

39. L’analyse des systèmes elle-même n’ignore d’ailleurs pas tout à fait ce type de distinction, puisqu’elle tient compte des conditions dans lesquelles les équipements sont sollicités. La Règle fondamentale de sûreté relative aux études probabilistes de sûreté requiert ainsi que le taux de défaillance des matériels soit révisé (jusqu’à être éventuellement considéré égal à 1) lorsque ceux-ci sont sollicités au-delà de leurs conditions de qualification (ASN, 2002).

tent en une succession de phases (détection de l’anomalie, diagnostic de son origine, choix de la consigne de conduite, conduite proprement dite, récupération de situation dégradées, gestion de crise) faisant interagir des opérateurs différents (équipe de conduite, ingénieur de sûreté et de radioprotection, équipe de crise). L’enchaînement de développements défavorables lors de l’accident de TMI a illustré la complexité de la conduite accidentelle, qui nécessite de choisir, parmi un ensemble très étendu de combinaisons d’événements possibles, celle qui s’est effectivement déroulée, dans certains cas à partir d’informations partielles et dans des délais très limités. Afin de réduire cette difficulté, la conduite accidentelle a été par la suite analysée et planifiée en fonction non plus des événements singuliers s’étant produits dans l’installation, mais de l’état général de celle-ci, tel que défini par certains paramètres physiques caractéristiques. Même si ces états devaient être suffisamment détaillés pour déterminer de façon univoque le risque accidentel et la marche à suivre, leur nombre restait très inférieur à celui des combinaisons d’événements à prendre en compte. Ainsi l’approche par états* a-t-elle été développée et mise en œuvre tout au long des années 1980-90 et constitue désormais le mode de conduite accidentelle de référence en France.

La méthode générale d’évaluation des probabilités reste, cependant, la même que pour la conduite en conditions normales. Les interventions des équipes font l’objet de calculs d’échec spé- cifiques dans la phase de détection/diagnostic/choix de conduite et dans celle de conduite, où les probabilités d’erreur sont pondérées par un facteur de contexte traduisant l’influence des conditions de stress et de danger. Les échecs de l’ingénieur de sûreté et de radioprotection (ISR) et de l’équipe de crise sont liées à leur absence (absence de la salle de contrôle dans le cas de l’ISR, délai de quatre heures pour être opérationnel dans le cas de l’équipe de crise) ou à la mauvaise application de leurs instructions. L’un et l’autre sont donc réputés ne pas se tromper dans leurs décisions.

Les événements liés au facteur humain peuvent être intégrés aux EPS de différentes façons. S’ils constituent des initiateurs, ils apparaissent en tant que tels au début de séquences accidentelles. S’ils se produisent dans une situation normale de fonctionnement et rendent un système inopérant, il est d’usage de les prendre en compte au sein de l’arbre de défaillance de celui-ci. Les erreurs en situation accidentelle, enfin, viennent modifier une séquence en cours et peuvent donc être soit intégrées à l’analyse des systèmes, soit à celle de la séquence. Le premier choix a prévalu dans l’étude WASH-1400, le second dans l’EPS française de niveau 1 pour les REP 900 MWe.

Défaillances de cause commune

Si l’on pouvait assurer une indépendance effective entre dispositifs de sûreté, l’application répétée du principe de la redondance permettrait de réduire le risque accidentel autant qu’on le souhaite- rait. Sous l’hypothèse d’indépendance, en effet, la probabilité d’une défaillance générale baisse de façon exponentielle à mesure que le nombre de niveaux de redondance augmente. Malheureusement, le simple fait qu’ils soient intégrés au même système suffit à engendrer de nombreuses sources de

dépendance entre les dispositifs : la localisation géographique, qui peut les soumettre aux mêmes conditions environnementales (température, humidité, radiations) et les exposer aux mêmes aléas (tels que les séismes) ; le contrôle et la maintenance par les mêmes opérateurs ; l’âge et une sus- ceptibilité commune à l’usure et l’encrassement, etc. De ce fait, l’efficacité marginale des systèmes redondants a tendance à décroître rapidement et il est considéré que leur simple multiplication ne constitue pas une stratégie satisfaisante de sûreté. Les statistiques de fiabilité indiquent ainsi que si le taux de refus de fonctionnement est de 10−2 _{pour un certain équipement, il atteint 3.10}−4

(et non 10−4_{) pour un ensemble comprenant deux files identiques de l’équipement et 10}−4 _{(et non}

10−6_{) pour un ensemble en comprenant trois (Libmann, 1996, p.63).}

Bien que la possibilité de pannes corrélées d’équipements redondants ait été analysée aux débuts de la réflexion méthodologique sur la sûreté nucléaire (Siddal, 1957), il a fallu attendre les années 1980 pour qu’elle conduise à une définition claire de la notion de défaillance de cause commune. Les raisons de cette naissance difficile ne sont pas à chercher dans la notion de causalité, que l’analyse des systèmes comprend dans un sens contrefactuel et dont elle fait un usage courant. Dans la construction de l’arbre de défaillance de la figure 3.4.2, à titre d’exemple, l’événement ε′

5

est considéré comme cause de ε′

4si l’on estime que ε′4n’aurait pas lieu si ε′5 ne se produisait pas. Si

le concept de cause commune a mis un certain temps à émerger, c’est parce qu’il a dû être distingué pas à pas des autres formes de dépendance entre composantes d’un système. L’analyse des systèmes consiste en effet à identifier et représenter un ensemble de relations de dépendance entre l’état d’un système, ceux de ses composantes et les interventions humaines en son sein. De ces dépendances découlent certains schémas de défaillance, tels que la défaillance jointe ou les défaillances en cascade de plusieurs composantes. L’analyse du système rend compte de ces schémas, qu’il s’agit donc de distinguer de défaillances relevant d’une cause commune extérieure à la représentation. Dans la figure 3.4.2, si ε1 admettait une cause commune avec ε6, alors il se pourrait également que l’on

constate une dépendance entre ε1 et ε′5, ε′4, ε′3, ε′2 et ε′1, mais ces relations découleraient toutes de

la première étant donnée la structure de l’arbre. Ceci conduit à définir une défaillance de cause commune comme une dégradation, une perte de fonctionnalité ou une panne d’au moins deux composantes d’un système due à l’action d’une cause unique, directe et extérieure au système40

. L’hypothèse d’absence de cause commune, que nous aborderons au cinquième chapitre sous le nom de condition de Markov, détermine la validité des arbres de défaillance et des estimations probabilistes qui en sont dérivées. Dans le cas extrême (mais pas du tout exceptionnel) où il exis- terait une cause commune à tous les événements d’une coupe minimale, sa réalisation suffirait à provoquer l’événement de tête. La probabilité de défaillance, qui serait donc supérieure ou égale à

40. Les définitions opérationnelles comprennent en outre des considérations de temporalité et de limites physiques qui permettent de caractériser la relation causale. Pour un définition de référence et une revue des travaux qui y ont mené, on pourra se reporter à (NRC, 1988).

celle de l’occurrence de la cause, pourrait alors être largement sous-estimée par la quantification d’un arbre incomplet. Outre l’attention que portent toutes les manuels d’analyse des systèmes à l’identification a priori des causes communes, une stratégie complémentaire s’est progressivement mise en place, qui consiste à déceler a posteriori la présence de causes communes latentes dans les défaillances observées et à estimer leurs effets sans nécessairement chercher à les identifier41

. Un outillage empirique important a donc été constitué pour cela, qui comprend des bases de données in- ternationales, différentes méthodes statistiques d’estimation paramétrique, ainsi que des logiciels de simulation. L’usage de ces outils est cependant resté circonscrit aux cas où des données importantes sont disponibles, c’est-à-dire aux défaillances les plus courantes.

Les limitations des méthodes statistiques employées expliquent d’ailleurs que l’identification empirique des causes communes ne soit à ce jour appliquée qu’à l’analyse des systèmes, alors qu’elle est tout aussi importante pour d’autres méthodes d’analyse de la sûreté. Les arbres d’événement, en particulier, reposent sur une multitude d’hypothèses d’indépendance mutuelle, d’un côté entre les initiateurs de différentes séquences accidentelles (sauf représentation explicite de la dépendance) et de l’autre entre l’initiateur et le succès ou l’échec des différentes missions impliquées. Comme nous l’avons vu, l’approche déterministe elle-même est exposée à l’existence de défaillances de cause commune puisqu’elle suppose l’indépendance des différents niveaux de la défense en profondeur. Dans ces cas, la prise en compte des causes communes continue de relever du jugement des analystes et d’être traitée de façon ad hoc. Dans le cas des événements les plus rares, elle pose des difficultés importantes et constitue l’un des principaux points de faiblesse des approches actuelles de la sûreté. Nous en offrirons quelques exemples dans le sixième chapitre.

Il se pourrait que des méthodes bayésiennes, qui se fondent sur des distributions de probabilité fixées a priori et révisées en fonction des observations, permettent l’évolution vers une démarche plus systématique dans ce domaine. Des travaux récents ont par exemple mis en avant l’utilité des copules pour représenter de façon économe une distribution multivariée représentant les dépendances entre variables d’un système complexe et pour la mettre en jour en fonction des observations (Bedford et Cooke, 2001 ; Kurowicka et Cooke, 2006). Mais une démarche générale reste, pour l’heure, à formuler et se heurte aux difficultés pratiques du bayésianisme dans un domaine tel que la sûreté nucléaire, que nous évoquerons dans la section suivante.

3.4.2.2 L’incertitude dans l’approche probabiliste : débats théoriques

Dans le champ de la sûreté nucléaire comme dans tous ceux où elle a été entreprise, l’application de la théorie des probabilités s’est trouvée confrontée à un choix cornélien entre les interprétations fréquentiste et personnaliste des probabilités et, au moment du passage à l’étape empirique, entre

41. Plus précisément, à les identifier statistiquement sans nécessairement chercher à les associer à un phénomène précis.

les méthodes statistiques classique et bayésienne. Avant d’analyser plus en détail le traitement de l’incertitude dans l’approche probabiliste, il est utile de rapporter quelques débats théoriques suscités par ce choix, qui résument la façon dont les questions épistémologiques soulevées par la représentation de l’incertitude ont été abordées.

Probabilités objectives et subjectives

La première difficulté a naturellement porté sur les conditions dans lesquelles des probabilités « subjectives », qui ne sont pas données par la fréquence observée d’un événement mais reflètent un degré de croyance dans ses chances de réalisation, pouvaient être utilisées dans les analyses de sûreté. Le principe même d’un tel usage était envisagé avec réticence par un grand nombre de spécialistes de la sûreté nucléaire imprégnés de la culture traditionnelle de l’ingénieur. Il est vrai, en outre, que l’ampleur des enjeux laissait peu de place à l’expression libre de croyances a priori, et qu’en général, le cas nucléaire se prêtait mal à l’argument habituel des bayésiens, selon lequel le poids des croyances a priori finit par s’effacer devant celui des observations, intégrées grâce à la règle de Bayes : l’information nouvelle risquait de ne pas arriver, ou d’arriver seulement à la faveur d’une catastrophe. Cependant, en dehors de toute considération théorique, l’absence de données fréquentielles rendait l’usage de probabilités subjectives incontournable dans un grand nombre de cas, au moins dans les premières évaluations probabilistes. Même lorsque de telles données exis- taient, il arrivait souvent qu’elles ne soient pas concordantes et laissent une marge d’interprétation importante à l’analyste. Enfin le recours aux croyances subjectives était chose courante dans l’ap- proche déterministe de la sûreté sous les noms de jugement d’expert ou de pratique d’ingénierie42

. La démarche probabiliste offrait la possibilité d’expliciter ces choix et de les contrôler.

Il fallait, au total, s’accommoder d’une version tempérée du bayésianisme, où l’usage de pro- babilités subjectives serait autant que possible encadré et fondé sur des éléments d’information objectifs, en attendant que de plus grandes quantités de données opérationnelles et expérimentales s’accumulent43_.

Sur le plan théorique, un effort important a été fait pour clarifier les fondements de l’approche probabiliste lors de la deuxième EPS complète réalisée aux États-Unis, celle de la centrale de Zion (CEC, 1981). Ce travail, qui a largement influencé le guide de procédure publié deux ans plus tard par la NRC (NRC, 1983), donnait une orientation résolument bayésienne à l’approche probabiliste de la sûreté. Dans l’un des articles scientifiques qui en ont résumé la philosophie, on pouvait ainsi lire :

"Probability as we shall use it is a numerical measure of a state of knowledge, a

42. Voir la sous-section 4.1.1, notamment à propos du concept d’Accident maximum crédible.

43. La rareté de certains événements et l’évolution des matériaux et de l’architecture des systèmes ont cependant contribué à limiter le domaine dans lequel l’hypothèse de stabilité des fréquences observées à long terme pouvait être acceptée avec un degré suffisant de confiance, de sorte que les EPS récentes continuent de faire une large part aux probabilités subjectives.

degree of belief, a state of confidence" (Kaplan et Garrick, 1981, p.17).

Dans le même temps, cependant, les auteurs de l’article cherchaient à opérer une synthèse qui inté- grât la notion de fréquence. Reprenant un argument de De Finetti (1937), ils écrivaient la probabilité de survenue d’un événement ε comme l’espérance de sa fréquence de long terme inconnue :

P (ε) = 1 ˆ 0 P (ε | f ) ω(f ) df = 1 ˆ 0 f ω(f ) df = E(f ) (3.4.1) où la survenue de ε est représentée par une variable aléatoire suivant une loi de Bernoulli B(f), et f est une variable aléatoire de densité ω sur [0, 1]. Les auteurs faisaient valoir que f est ici une grandeur objective, alors que P (ε) est une probabilité subjective reposant sur la croyance ω relative à la distribution de f.

Pourtant, comme l’a relevé Dawid (2004, p.48), l’argument ne permet guère de réduire la frac- ture épistémologique entre bayésiens et fréquentistes. La fréquence est en effet ici une grandeur abstraite44

sur laquelle on porte un jugement subjectif, et non un nombre prédéfini associé à l’évé- nement comme l’estiment ces derniers (Abramson, 1981). La représentation de la fréquence comme