Méthodes et conditions théoriques d’efficacité de la défense en pro fondeur

Les dispositifs de la défense en profondeur sont développés pour répondre à des scénarios d’ac- cident particulièrement défavorables, dits accidents enveloppe*. Pour sélectionner ces derniers, on commence par identifier de la façon la plus complète possible les causes de perturbation de chacune des fonctions de sûreté. Puis l’on classe ces événements par degré de gravité. Ceux qui se rap- portent au deuxième niveau de défense, par exemple, entraînent de simples variations singulières de paramètres concernant la criticité (retrait incontrôlé de grappes de régulation, dilution excessive mais limitée d’acide borique, etc.), le refroidissement (arrêt d’une pompe, baisse de la pression dans le circuit primaire, ouverture intempestive d’une soupape du circuit secondaire, etc.) ou le confinement (sollicitation excessive de la cuve par la mise en service intempestive de l’injection de sécurité, etc.). Au troisième niveau, les événements retenus sont des défaillances sérieuses, telles que l’éjection d’une grappe de contrôle, la rupture d’une tuyauterie ou celle de tous les crayons d’un assemblage combustible en cours de manutention.

Une fois les événements pertinents ainsi répertoriés, les moins vraisemblables d’entre eux sont écartés. Dans l’approche d’origine, la vraisemblance des événements et le seuil en-dessous duquel elle pouvait être estimée négligeable étaient établis par jugement d’experts, sans que l’on cherche à

Table3.2 – Conditions de fonctionnement dans les réacteurs nucléaires Catégorie Fréquence annuelle Conséquences maximales admissiblesa

Fonctionnement

normal quasi-permanent ∼ 10 µSv par an Incidents 10−2 _{à 1} ∼ 10 µSv par incident

Accidents 10−4 _{à 10}−2 5 mSv pour l’organisme entier

15 mSv pour la thyroïde Accidents

importants 10−6 à 10−4

150 mSv pour l’organisme entier 450 mSv pour la thyroïde

a. Exposition maximale d’une personne située à cinq cents mètres de la centrale pendant deux heures.

les quantifier. Par la suite, les autorités en charge de la gestion de la sûreté ont défini des critères d’acceptabilité des incidents et accidents fondés sur des considérations de probabilité et de consé- quences. L’autorité de sûreté nucléaire française9 _{considère ainsi, depuis 1975, quatre catégories}

de conditions de fonctionnement*, qui correspondent chacune à une plage de fréquence estimée et une valeur limite des conséquences en termes de dose reçue par une personne située à cinq cents mètres de la centrale pendant deux heures : les « situations normales d’exploitation », les « incidents mineurs mais fréquents », les « accidents peu probables » et les « accidents importants mais hypo- thétiques » (voir le tableau 3.2)10

. Le seuil d’acceptabilité de chaque catégorie, défini en termes de probabilités, est d’autant plus faible que les conséquences associées sont sérieuses. Ces conséquences sont toutefois considérées sous l’hypothèse formelle qu’aucun système ou barrière supplémentaire ne vient s’opposer au rejets de radionucléides. Elles constituent donc une mesure théorique de la gravité de l’accident et non une estimation de ses effets réels. De ce fait, la relation entre probabilité et conséquences des conditions de fonctionnement ne peut être interprétée en termes d’acceptabi- lité du risque11_{. Elle constitue plutôt une norme de bonne conception et de bonne conduite de}

l’installation au sein de la démarche déterministe.

Il est important de noter que la méthodologie de la défense en profondeur distingue bien les deux phases de la sélection des conditions de fonctionnement pertinentes : en premier lieu, une identifi- cation aussi exhaustive que possible ; après seulement, un tri des événements les moins probables. Naturellement, la phase d’identification ne peut pas prétendre à l’exhaustivité, particulièrement dans une installation aussi complexe qu’une centrale nucléaire, qui compte des kilomètres de tuyau-

9. L’usage conventionnel veut que l’on désigne les instances publiques en charge de la sûreté nucléaire en France comme « l’autorité de sûreté nucléaire », y compris avant la création de l’Autorité du même nom.

10. Le terme officiel de condition de fonctionnement est quelque peu euphémistique puisque dans certaines de ces conditions, le fonctionnement de l’installation est définitivement arrêté. L’Agence Internationale de l’Énergie Atomique considère de son côté quatre catégories d’« états de l’installation » : l’exploitation normale, les déviations anticipées sans conséquence significative pour la sûreté, les accidents de dimensionnement et les accidents hors dimensionnement (nous utilisons ici une traduction approximative de la terminologie officielle de l’Agence, dont on trouvera la synthèse dans son glossaire de sûreté (AIEA, 2007)).

11. L’acceptabilité du risque, dont la détermination éventuelle relève des responsabilités du décideur public, est examinée plus en détail au chapitre suivant, notamment dans la sous-section 4.3.1.3.

terie, des milliers de vannes et des centaines de pompes. De plus, dans la phase de tri, l’évaluation des probabilités (et éventuellement des conséquences) est sujette à erreur12_.

En retenant les atteintes jugées les plus graves par des experts, on rassemble un très grand nombre d’incidents et d’accidents que l’on répartit en familles en fonction de leurs conséquences. À l’intérieur de chaque famille, on retient la séquence d’événements qui aurait les conséquences les plus défavorables ; c’est l’accident enveloppe. Lorsqu’il ne vérifie pas les conditions d’acceptabilité réglementaires, il faut réduire sa probabilité d’occurrence ou ses conséquences par l’intégration d’un dispositif supplémentaire (respectivement de prévention ou de maîtrise) dans la défense en profondeur. Dans le cas d’une défaillance d’une gravité extrême comme une rupture de la cuve, les exigences réglementaires en matière de qualité de conception sont si strictes que l’on considère, en pratique, l’événement impossible.

Les dispositions prises pour assurer la fiabilité de chaque ligne de défense sont de nature dé- terministe. La première est le critère de défaillance unique. Selon celui-ci, les systèmes nécessaires à la prise en charge d’incidents ou d’accidents (systèmes de protection et de régulation du niveau incidentel, systèmes de sauvegarde des niveaux accidentels maîtrisés ou graves) doivent pouvoir supporter la défaillance de l’un de leurs composants sans que cela n’entrave leur fonctionnement. Pour cela, les systèmes adoptés comportent généralement deux files, c’est-à-dire deux sous-systèmes étant capables d’assurer seuls la fonction d’ensemble13

. L’efficacité du critère de défaillance unique dans un système redondant repose sur une condition d’absence de défaillance de cause commune (ou de « modes communs ») des sous-systèmes. Comme nous le verrons14

, il est impossible de garantir le respect d’une telle condition. Pour s’en rapprocher, toutefois, il a été convenu de séparer géogra- phiquement ou physiquement les deux voies, de diversifier les provenances de matériels similaires, voire même de confier les interventions de maintenance à des équipes différentes.

La seconde disposition principale est celle des cumuls conventionnels, qui consistent à se pré- munir contre la survenue conjointe et fortuite de plusieurs événements défavorables. Le critère de défaillance unique impose en soi une forme de cumul, puisqu’il revient à supposer la survenue d’un incident ou accident et la défaillance d’un composant du système de sauvegarde concerné. La règle supplémentaire adoptée en France pour accroître le caractère conservateur de la défense en profon- deur consiste à cumuler les effets d’une grosse brèche sur le circuit primaire ou secondaire, qui est l’un des accidents les plus sérieux considérés au quatrième niveau de la défense en profondeur, avec ceux du séisme de référence et d’une perte totale des alimentations électriques externes. Le cumul de ces aléas permet de traiter de façon implicite du caractère de cause commune d’un séisme, sus- ceptible d’affecter à la fois les fonctions de sûreté de l’installation et le réseau d’électricité nécessaire

12. Les méthodes d’évaluation des probabilités de défaillance sont analysées dans la suite.

13. Dans d’autres pays, on a préféré des systèmes à trois ou quatre files, chacune d’entre elles remplissant alors les deux-tiers ou la moitié de la fonction.

aux interventions de secours.

Enfin, on évoque souvent une condition d’indépendance des niveaux de défense pour décrire le principe selon lequel tout débordement d’un niveau de la défense devrait être traité au suivant. Il s’agit d’une dénomination impropre puisque les niveaux sont dépendants par construction, la défaillance de l’un étant une condition nécessaire de celle du suivant. La condition que l’on cherche à qualifier est plutôt que les défaillances de cause commune de systèmes de protection et de sauvegarde assignés à des niveaux différents de défense doivent relever du risque résiduel. À titre d’exemple, la probabilité annuelle de l’ensemble des modes communs à des systèmes engagées dans les trois premiers niveaux ne doit pas dépasser 10−4_{. Comme précédemment, on ne peut pas s’assurer du}

respect général de cette condition, mais tout au plus veiller à ce que les modes communs identifiables soient spécifiés et pris en compte dans la conception de la défense. Il s’agit essentiellement des agressions externes, en particulier les aléas climatiques et les séismes.

En résumé, il est possible de dégager trois conditions fondamentales à l’efficacité des trois pre- miers niveaux de la défense en profondeur : une prise en compte aussi complète que possible des incidents et accidents pouvant survenir, la fiabilité des dispositifs placés à chaque niveau pour préve- nir ou répondre à leur survenue et l’indépendance entre niveaux. Du fait de ces conditions, plusieurs limites s’imposent à l’efficacité de la défense en profondeur, que l’on peut chercher à repousser mais qui ne peuvent être abolies : l’incomplétude de l’ensemble d’incidents et d’accidents identifiés, l’in- certitude dans l’évaluation de la probabilité d’occurrence de ces événements et l’existence possible de causes communes à la défaillance d’au moins deux composants ou systèmes intervenant dans la défense.