Analyse de Surete
Analyse de Surete
Analyse de Surete
Principes et pratiques
sitions de sûreté adaptées pour son installation et s’assurer, par une démarche
systématique, que celles-ci permettent bien d’obtenir un niveau de sûreté
satisfaisant.
Par ailleurs, les pouvoirs publics d’un pays ont, d’une manière générale,
mission de veiller à la sécurité des personnes et des biens. La nature des instal-
lations nucléaires et les risques potentiels associés justifient qu’ils y portent une
B 3 810
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire B 3 810 − 1
ANALYSE DE SÛRETÉ PRINCIPES ET PRATIQUES _____________________________________________________________________________________________
1. Risques potentiels,
risques résiduels,
risques acceptables
Pour toute installation, il faut évidemment bien distinguer les
risques potentiels évoqués plus haut, des risques résiduels
présentés par l’installation. Les risques potentiels sont directement
associés à la nature et aux quantités de substances radioactives
mises en œuvre, ainsi qu’aux possibilités de dispersion de ces
substances, tandis que les risques résiduels sont ceux qui subsistent
pour l’installation en question, compte tenu des dispositions prises. Figure 1 – Courbe de Farmer (échelles logarithmiques)
Cette distinction, comme les développements de cet article sur la
sûreté, s’applique plus généralement à tous les risques industriels
(cf. article Généralités sur la sûreté nucléaire [B 3 800] dans ce traité).
Dans cette publication, la CIPR retient, sur un plan conceptuel,
Pour une installation donnée, les risques résiduels ne sauraient l’idée de l’utilisation de limites de risque pour les expositions poten-
être rigoureusement nuls et c’est le caractère acceptable de ces tielles (c’est-à-dire celles qui peuvent, pour une installation
risques que les pouvoirs publics doivent apprécier pour délivrer les nucléaire, résulter de situations incidentelles ou accidentelles) de
autorisations nécessaires à son fonctionnement. Cette appréciation façon analogue aux limites de dose applicables en fonctionnement
ne peut être faite qu’en tenant compte à la fois du caractère plus normal, sur la base de probabilités égales d’effets dangereux pour
ou moins vraisemblable et de la gravité plus ou moins importante un individu, d’une part, en situation incidentelle ou accidentelle et,
des conséquences liées au fonctionnement de l’installation. Au-delà d’autre part, en fonctionnement normal. Cela revient, dans le
de l’exploitation normale, pour laquelle des limites d’exposition des domaine des effets stochastiques des rayonnements ionisants qui
travailleurs et des limites de rejets d’effluents radioactifs sont sont pratiquement les seuls qui puissent concerner des personnes
définies en dessous desquelles les valeurs réelles doivent être main- du public, à pondérer les doses pouvant être reçues par un individu
tenues aussi faibles que raisonnablement possible (optimisation), les lors des différentes situations accidentelles par les probabilités
risques résiduels de l’installation sont donc appréciés en termes de annuelles estimées de ces situations.
probabilités d’accidents, généralement exprimées en probabilités
pour une durée égale à un an, et de conséquences associées. La Toutefois, il faut noter que [4] :
notion de probabilité s’introduit ainsi naturellement dans l’examen — l’appréciation des risques individuels pour les personnes du
des risques résiduels et il est largement admis que des conséquences public, au sens de la CIPR, est à elle seule insuffisante pour traiter
plus importantes peuvent être acceptées si les probabilités corres- de l’acceptabilité ; le nombre des personnes qui pourraient être
pondantes sont plus faibles. concernées par un accident, l’étendue des zones dans lesquelles des
Cette idée a été traduite dès la fin des années 60 par la courbe contre-mesures pourraient être nécessaires, la durée d’application
proposée par F.R. Farmer, qui délimite sur un diagramme de ces contre-mesures sont, à l’évidence, des paramètres interve-
probabilités-conséquences un domaine acceptable (ou autorisé) et nant dans l’appréciation du caractère acceptable de risques
un domaine inacceptable (ou interdit) (figure 1). résiduels ;
— l’acceptabilité n’est pas une notion figée : d’une part, parce que
Cette même idée de conséquences acceptables plus importantes les idées évoluent – l’acceptabilité est en fait une notion politique
pour des probabilités plus faibles peut se déduire des dévelop- pouvant, par nature, présenter des variations dans le temps et selon
pements consacrés aux expositions potentielles (*) dans la publi- les pays – et, d’autre part, parce que la coexistence d’installations
cation 60 de la Commission internationale de protection radiologique anciennes et d’installations nouvelles améliorées, la recherche de
[1]. progrès en termes de sûreté rendent impossible une délimitation
(*) Il est à noter que le mot potentiel n’a pas ici le même sens que dans l’expression précise et générale entre un domaine acceptable et un domaine
risques potentiels ; les expositions potentielles sont plutôt l’expression des risques
résiduels. inacceptable. C’est pourquoi des modèles conceptuels introduisant
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
B 3 810 − 2 © Techniques de l’Ingénieur, traité Génie nucléaire
_____________________________________________________________________________________________ ANALYSE DE SÛRETÉ PRINCIPES ET PRATIQUES
un domaine dit tolérable entre le domaine acceptable et la domaine niques menées depuis une vingtaine d’années, soit dans des cadres
inacceptable, sont quelquefois développés, sans toutefois résoudre bilatéraux, soit dans des cadres internationaux induisent progres-
la contradiction inhérente à l’utilisation de courbes mathématiques sivement de larges convergences concernant les niveaux de sûreté
simples pour traduire une réalité à l’évidence multiparamétrique ; à atteindre et une harmonisation progressive des critères et pra-
pour sa part, dans sa publication 60, la CIPR a introduit, au titre de tiques utilisés. À cet égard, la publication par l’AIEA, en 1988, du
l’optimisation de la radioprotection, la notion de contrainte de risque rapport INSAG 3 (*) relatif aux principes de sûreté pour les centrales
qui permet une certaine flexibilité en dessous des limites de risque électronucléaires [2] de même que, plus récemment, la publication
applicables de manière générale) ; en 1993 en France et en Allemagne d’objectifs de sûreté
— les outils permettant d’apprécier les probabilités annuelles et communs [6], approuvés par les organismes réglementaires des
les conséquences possibles de situations accidentelles ne peuvent deux pays, pour les centrales électronucléaires à construire au début
apporter que des réponses présentant des incertitudes plus ou moins du 21e siècle constituent des pas notables et tout à fait significatifs.
importantes mais pouvant, pour une installation complexe, atteindre La mise au point récente d’une convention internationale en matière
plusieurs ordres de grandeur, à la fois en termes de probabilités et de sûreté nucléaire va dans le même sens [7].
en termes de conséquences. C’est pourquoi les organismes de sûreté (*) L’INSAG, International Nuclear Safety Advisory Group, est un groupe d’experts de
n’utilisent la comparaison de résultats d’approches probabilistes à haut niveau conseillant directement le Directeur général de l’AIEA.
des critères préétablis que pour des sujets bien délimités ; ces Les risques potentiels présentés par les différentes installations
critères ne sont de plus généralement pas exprimés en termes de nucléaires sont très variables puisque le domaine correspondant
doses pouvant être reçues par des travailleurs ou des personnes du couvre aussi bien les centrales électronucléaires (qui présentent les
public (cf. article Études probabilistes de sûreté [B 3 831] dans ce risques potentiels les plus importants, de par les quantités de subs-
traité). tances radioactives qu’elles peuvent contenir et l’existence de
Il faut bien comprendre ici que, si le contexte réglementaire phénomènes physiques pouvant conduire à une large dispersion de
implique nécessairement des étapes formalisées d’examen de la ces substances) que les installations de fabrication de combustibles
sûreté d’une installation nucléaire auxquelles peuvent s’appliquer neufs, les installations de traitement de combustibles irradiés, les
des critères précis, l’analyse de la sûreté d’une telle installation est installations de traitement d’effluents et déchets radioactifs
par nature un processus continu qui commence avec le choix des jusqu’aux stockages définitifs de ces derniers, les laboratoires de
options de sûreté et ne peut s’achever qu’après la disparition de tout recherche associés ou encore les grandes installations industrielles
risque résiduel important ; tout au long de la conception, de la d’irradiation ou les grands accélérateurs de particules. Aussi, hormis
réalisation et de l’exploitation jusqu’au déclassement d’une pour le risque de criticité, largement associé aux installations du
installation nucléaire, des décisions doivent être prises qui ont des cycle du combustible, c’est pour les centrales électronucléaires que
implications en matière de sûreté, et il convient que ces implications les méthodes d’analyse de sûreté ont été le plus largement déve-
soient bien pesées en temps opportun. Cela rend très souhaitable loppées et approfondies. Toutefois, dans une large mesure, les
l’existence d’un dialogue aussi continu que possible entre les exploi- mêmes démarches sont applicables, mutatis mutandis, à toutes les
tants, en liaison avec leurs constructeurs, d’une part, et les orga- installations nucléaires ; mais il convient d’adapter les objectifs et
nismes de sûreté, d’autre part ; un tel dialogue entre organisations l’importance des efforts en matière de sûreté à la nature et à
compétentes est en fait une condition nécessaire d’un haut niveau l’ampleur des risques correspondants (cf. article Sûreté des labo-
de sûreté – il doit bien entendu être mené dans le respect complet ratoires et usines nucléaires [B 3 840] dans ce traité).
des responsabilités des uns et des autres. Aussi, dans la suite du présent article, ne sera abordé que le cas
L’essentiel de l’analyse de sûreté n’est donc pas la comparaison des centrales électronucléaires. Les grands objectifs de sûreté cor-
à des critères préétablis, mais une réflexion permanente, notamment respondants peuvent alors être précisés dans les termes retenus
sur les critères utilisés et leurs domaines de validité, ainsi que sur dans la traduction française du rapport INSAG 3 [2] :
les modèles mis en œuvre, que ces critères aient été proposés par — objectif général de sûreté nucléaire : protéger les individus,
l’exploitant ou fixés, à un moment donné, par voie réglementaire la société et l’environnement en établissant et en maintenant
ou pseudo-réglementaire. Cette réflexion permanente est nourrie par dans les centrales nucléaires une défense efficace contre le
l’expérience acquise en matière de conception, de réalisation et risque radiologique ;
d’exploitation d’installations nucléaires ainsi que par les recherches — objectif de radioprotection : faire en sorte, en exploitation
et études menées, soit dans un pays donné, par les exploitants d’une normale, que la radioexposition à l’intérieur de la centrale et celle
part, les organismes de sûreté d’autre part, soit dans un cadre due à tout rejet de matières radioactives à l’extérieur de la
international ; en particulier, les recherches lourdes concernant une centrale soient maintenues au niveau le plus bas qu’il est raison-
filière électronucléaire sont aujourd’hui souvent financées par nablement possible d’atteindre et au-dessous de limites
plusieurs pays ou organismes internationaux. prescrites, et faite en sorte que soit atténué l’impact des radio-
Il faut bien comprendre également que les responsabilités en expositions dues aux accidents ;
matière de sûreté telles que décrites plus haut, s’exercent dans un — objectif de sûreté technique : prévenir avec un degré élevé
cadre national. Il a déjà été indiqué plus haut que l’acceptabilité est d’assurance les accidents dans les centrales nucléaires, faire en
une notion politique, pouvant par nature présenter des variations sorte que, pour tous les accidents pris en compte dans la
dans le temps et selon les pays. Il convient aussi de noter à ce sujet conception de la centrale, même ceux de très faible probabilité,
que les décisions concernant les installations nucléaires ont souvent les conséquences radiologiques, s’il y en a, soient de faible
des implications importantes (*). importance et faire en sorte que la probabilité d’accidents graves
(*) À cet égard, soulignons que la recherche de progrès en matière de sûreté ne doit pas
avec conséquences radiologiques importantes soit extrêmement
conduire à une remise en cause permanente des décisions prises. L’évolution des principes faible.
et des pratiques n’empêche pas une certaine stabilité et, en particulier, l’exploitation d’ins-
tallations conçues selon des pratiques anciennes tandis que sont conçues et exploitées des
Ce dernier objectif souligne clairement que la prévention des
installations améliorées. accidents par des dispositions de conception et d’exploitation est
la première priorité en matière de sûreté. Mais, dans le même
Ainsi, concernant la production d’électricité d’origine nucléaire,
temps, il reconnaît que les dispositions de prévention pouvant être
une politique d’amélioration des centrales ne saurait être menée
indépendamment de toute considération sur la politique industrielle insuffisantes, des incidents et des accidents peuvent se produire ;
et l’approvisionnement énergétique du pays concerné. À ce jour, des il faut dès lors examiner les dispositions de conception et d’exploi-
tation propres à en limiter les conséquences à des niveaux jugés
installations électronucléaires exploitées dans des pays distincts
acceptables. Cette double approche est la base du concept fonda-
peuvent présenter des niveaux de sûreté sensiblement différents,
mental de défense en profondeur, développé dans le paragraphe
ou des niveaux de sûreté équivalents mais obtenus avec des pra-
suivant.
tiques sensiblement différentes. Toutefois, les discussions tech-
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire B 3 810 − 3
ANALYSE DE SÛRETÉ PRINCIPES ET PRATIQUES _____________________________________________________________________________________________
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
B 3 810 − 4 © Techniques de l’Ingénieur, traité Génie nucléaire
_____________________________________________________________________________________________ ANALYSE DE SÛRETÉ PRINCIPES ET PRATIQUES
Les études probabilistes de sûreté menées au cours de la même — par le dimensionnement ou la qualification des structures et
décennie (§ 3) ont également montré que, pour les REP, la probabilité matériels importants pour la sûreté aux sollicitations associées à
d’un accident avec fusion du cœur, donc plus grave que les accidents ce séisme majoré (avec là aussi des marges) ;
postulés précités, était significative (de l’ordre de 10–4/an), et l’acci- — par la vérification du fait qu’un événement sismique de l’inten-
dent de Three Mile Island en 1979 est malheureusement venu sité du séisme majoré ne peut pas conduire à des conséquences plus
confirmer le caractère plausible d’une fusion du cœur pour ce type graves que celles admises pour les accidents postulés évoqués plus
de réacteur. Il est aussi apparu que des dispositions complé- haut, en supposant qu’un tel événement peut être à l’origine d’un
mentaires pouvaient être prises pour, au moins dans certains cas, tel accident et en supposant la défaillance des structures et équi-
éviter ou retarder la fusion du cœur du réacteur, ou en limiter les pements non dimensionnés pour résister à ce séisme.
conséquences grâce à une adaptation du confinement.
■ Ainsi s’est progressivement mis en place un quatrième niveau de
la défense en profondeur, constitué de dispositions complémen-
taires visant, d’une part, à limiter les conséquences de certaines 3. Apport des études
situations avec défaillances multiples et à retarder autant que possi-
ble la fusion du cœur d’un réacteur et, d’autre part, à renforcer la
probabilistes de sûreté
dernière barrière de confinement (*). Parmi ces dernières disposi-
tions, la plus connue, adoptée dans différents pays, consiste à Comme on l’a vu au paragraphe 2, la notion de probabilité s’intro-
mettre en place des moyens permettant de procéder à des rejets duit tout naturellement dans l’examen des risques résiduels. Néan-
volontaires filtrés de l’atmosphère de l’enceinte de confinement, de moins, une grande prudence s’impose quant à la comparaison
façon à éviter un rejet important non filtré par suite de la défaillance directe de résultats d’évaluations probabilistes à des critères chiffrés
de l’enceinte par surpression. Bien entendu, des informations et préétablis.
procédures spécifiques sont prévues à ce niveau pour les opéra- Une telle approche s’applique en fait assez bien à certains types
teurs avec, au moins en France, une forme de redondance humaine d’agressions externes comme les chutes d’avions pour lesquelles
assurée par un ingénieur de sûreté appelé en salle de commande en il existe suffisamment d’événements observés pour en déduire des
cas de difficulté importante. valeurs statistiques relativement fiables. Ainsi, c’est sur la base d’une
(*) Si les marges de sécurité inhérentes à la conception selon les trois premiers niveaux valeur de probabilité maximale de l’ordre de grandeur de 10–7/an
de la défense en profondeur ont certainement permis que l’accident de Three Mile Island
n’ait eu que des conséquences très limitées dans l’environnement de cette centrale, il est
pour chacune des grandes fonctions de sûreté d’une tranche
encore aujourd’hui impossible d’expliquer clairement le déroulement de l’accident et en comportant un réacteur nucléaire, qu’il a été décidé, lors du lance-
particulier d’expliquer pourquoi il n’y a pas eu de défaillance de la cuve du réacteur. ment du programme électronucléaire français, de protéger systé-
matiquement les tranches construites dans ce pays contre la chute
■ Enfin, l’habitude a été prise de considérer les plans d’urgence
d’un avion de l’aviation générale (masse inférieure à 5,7 t), compte
(à la fois les plans d’urgence internes aux installations et les plans
tenu de la probabilité relativement élevée de chute d’un tel avion
d’intervention des pouvoirs publics, destinés à assurer la protection
sur une centrale. En revanche, il n’est pas apparu nécessaire de tenir
ultime des populations) comme un cinquième niveau de la défense
compte de l’aviation commerciale pour laquelle la probabilité de
en profondeur.
chute sur une centrale est cent fois plus faible ; le cas de l’aviation
La même démarche de défense en profondeur peut s’appliquer militaire, qui est intermédiaire, fait l’objet d’une examen cas par cas,
à d’autres parties d’une centrale électronucléaire que le cœur du ce qui revient en fait à prêter la plus large attention au choix des sites.
réacteur, en l’adaptant en fonction des risques associés ; ainsi, un
Il convient de souligner ici que la valeur de 10–7/an correspond
réservoir contenant des effluents gazeux dont le rejet ne peut pas
à un ordre de grandeur limite et non à un seuil en deçà duquel aucune
conduire à des conséquences significatives dans l’environnement,
question ne se poserait et au-delà duquel un dimensionnement serait
mérite certainement une conception et une surveillance soignées
systématiquement nécessaire. La précision des évaluations n’est pas
(niveaux 1 et 2), mais ne nécessite pas la mise en œuvre des
telle que des seuils aussi précis puissent avoir une réelle signification
niveaux ultérieurs de la défense en profondeur.
et il est largement préférable de porter une appréciation sur les
Une démarche du même type peut encore être appliquée aux inter- valeurs trouvées par le calcul en tenant compte des incertitudes
ventions réalisées, par exemple pendant un arrêt de tranche, dans correspondantes et des conséquences du choix de telle ou telle
une configuration spécifique de l’installation. Le premier niveau décision. C’est ce type d’appréciation qui a conduit à la décision de
comprend la préparation de l’intervention, avec en particulier l’ana- dimensionner les bâtiments de l’usine UP3 de la Hague sans tenir
lyse des risques correspondants, la vérification de la compatibilité compte des chutes d’avions tout en vérifiant que les conséquences
des différentes phases de l’intervention avec la configuration de de la chute d’un avion de l’aviation générale resteraient norma-
l’installation, le choix de personnel qualifié, la rédaction de procé- lement limitées.
dures adaptées. Le deuxième niveau comprend des vérifications
Plus généralement, en 1977, l’autorité de sûreté française, à
périodiques, des points d’arrêt, l’analyse des anomalies par rapport
l’époque le Service central de sûreté des installations nucléaires,
au déroulement prévu de l’intervention. Le troisième niveau
avait défini un objectif général ainsi rédigé : « D’une façon générale,
comprend la mise en place de moyens automatiques ou manuels,
le dimensionnement des installations d’une tranche comportant un
fondés sur des informations dûment choisies, permettant de faire
réacteur nucléaire à eau pressurisée devrait être tel que la probabilité
face à des situations accidentelles.
globale que cette tranche puisse être à l’origine de conséquences
En revanche, il existe des agressions qui doivent être traitées selon inacceptables ne dépasse pas 10–6 par an ». Cette phrase doit être
une démarche particulière. Il s’agit, d’une part, des agressions bien comprise : il s’agissait de fixer une référence à caractère général
externes pour lesquelles, à l’exception des séismes, la protection est et non de définir un critère d’acceptation, encore moins de demander
essentiellement assurée directement par la conception des ouvrages à Électricité de France de démontrer le respect d’un tel objectif par
et structures et, d’autre part, des agressions internes comme une étude probabiliste complète. La fixation de cet objectif tenait
l’incendie pour lequel la défense en profondeur se décline en toutefois compte des résultats de la première étude probabiliste de
dispositions de prévention (limitation du potentiel calorifique en sûreté complète réalisée aux États-Unis, connue sous le nom de
particulier), de détection et de limitation des conséquences (secto- rapport Rasmussen (*) [10], qui visait à apprécier les conséquences
risation des locaux par exemple). Les séismes constituent un cas du fonctionnement des centrales américaines sous la forme de
particulier d’agression externe en ce sens qu’un séisme sollicite en courbes donnant la probabilité en fonction d’un nombre minimal de
même temps tous les matériels de l’installation. La défense en morts (figure 3), la probabilité calculée de fusion du cœur d’un REP
profondeur est alors assurée : étant de l’ordre de 10–4/an.
— par le choix d’un séisme majoré de sécurité comportant des (*) Ce rapport s’applique à des réacteurs à eau sous pression ou à eau bouillante
marges par rapport aux séismes vraisemblables ; américains des années 70 ; les conséquences concernent les personnes du public.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire B 3 810 − 5
ANALYSE DE SÛRETÉ PRINCIPES ET PRATIQUES _____________________________________________________________________________________________
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
B 3 810 − 6 © Techniques de l’Ingénieur, traité Génie nucléaire
_____________________________________________________________________________________________ ANALYSE DE SÛRETÉ PRINCIPES ET PRATIQUES
— la validité des spécifications techniques qui définissent les participent sur une base volontaire. La France déclare chaque année
durées acceptables d’indisponibilité de certains équipements impor- une bonne dizaine d’incidents à la banque IRS en fournissant les
tants pour la sûreté peut aussi être appréciée en calculant éléments techniques détaillés permettant de bien comprendre le
l’augmentation de la probabilité de fusion du cœur du réacteur déroulement de chaque incident et l’analyse qui en a été faite. De
correspondant à la durée d’indisponibilité d’un équipement donné plus, un groupe de travail de l’OCDE mène des études approfondies
et en vérifiant que cette augmentation n’est pas trop importante. sur les apports de l’expérience d’exploitation, en regroupant par
Toutefois, il y aurait des inconvénients à vouloir fixer les durées exemple les types d’incidents pour tenter d’en tirer des enseigne-
acceptables d’indisponibilité simplement sur la base d’un critère ments à caractère général.
général d’augmentation de la probabilité de fusion du cœur du réac- Toutefois, malgré la mise en œuvre de moyens importants, la tâche
teur car, d’une part, les spécifications techniques d’exploitation n’est pas facile car, d’une part, l’expérience d’exploitation est extrê-
doivent inciter l’exploitant à mener les réparations nécessaires au mement riche en événements divers intéressant la sûreté et, d’autre
plus tôt, et, d’autre part, il convient de tenir compte des risques part, les grands accidents surviennent généralement à la suite de
encourus lors du passage à l’état de repli prévu au-delà de la durée successions d’anomalies qui auraient été considérées a priori
maximale d’indisponibilité et lors du maintien du réacteur dans cet comme très peu vraisemblables, voire complètement impossibles.
état ; Cela implique qu’il faut éviter de s’engluer dans un processus lourd
— les études probabilistes de sûreté peuvent enfin être utilisées et non maîtrisé où les problèmes de sûreté les plus importants ne
dans le cadre de l’analyse de sûreté d’incidents réels ; en effet, il seraient pas clairement identifiés et traités comme tels et, en même
peut être intéressant de chercher à placer un incident réel donné sur temps, conserver à tout instant la vigilance nécessaire et le souci
l’arbre des défaillances d’une étude probabiliste de sûreté, ce qui de l’anticipation.
permet de calculer une probabilité conditionnelle de fusion du cœur
du réacteur et d’apprécier le caractère précurseur de l’incident Le contexte français est à cet égard bien particulier, avec un seul
considéré. exploitant disposant de séries de tranches identiques ou analogues
(à la fin de 1995, 34 tranches de 900 MW et 20 tranches de 1 300 MW
du type REP licenciés par Westinghouse). En comptant à partir de
la première divergence de chaque réacteur, l’expérience accumulée
représente plus de 400 années-réacteur pour les tranches de 900 MW
4. Utilisation de l’expérience et plus de 100 années-réacteur pour les tranches de 1 300 MW
d’exploitation (figure 4). Cette situation permet de disposer d’une masse impor-
tante d’informations cohérentes, ce qui est un avantage important,
par exemple, pour l’obtention de données pertinentes sur la fiabilité
des matériels et les erreurs humaines ; ces données peuvent être
L’examen attentif de l’expérience d’exploitation est une voie utilisées en tant que telles ou introduites dans les études probabi-
essentielle pour améliorer les performances des installations indus- listes de sûreté, améliorant par là même la représentation quantifiée
trielles en général et des installations nucléaires en particulier, qu’il que l’on peut avoir de la sûreté des tranches. Mais cette médaille
s’agisse des installations existantes ou des installations futures ; il a son revers, surtout si l’on considère que la plupart des tranches
faut d’ailleurs bien comprendre ici le terme performances dans son ont été mises en exploitation entre 1980 et 1990, donc sur une durée
acception la plus large, même s’il ne sera question dans la suite que restreinte. Il devient alors crucial d’identifier au plus tôt tout pro-
d’améliorations en termes de sûreté. blème qui pourrait affecter au même moment une part notable du
L’opportunité d’éviter le renouvellement d’incidents connus et parc électronucléaire français dès lors que la défaillance simultanée
l’intérêt de détecter et d’examiner plus particulièrement les incidents des tranches concernées conduirait à des difficultés de gestion de
précurseurs d’accidents plus graves pouvant conduire, soit à la perte l’approvisionnement électrique du pays (les trois-quarts de l’élec-
de l’outil de production, soit à des conséquences importantes pour tricité consommée en France sont produits par des centrales électro-
les travailleurs ou les personnes du public, soit aux deux, sont bien nucléaires). Dans le même sens, toute modification des installations
entendu reconnus, au moins sur le plan conceptuel, depuis long- du parc électronucléaire se doit d’être engagée avec rigueur et
temps. Mais, pour l’industrie nucléaire, c’est l’accident de fusion du précaution.
cœur de la tranche 2 de la centrale de Three Mile Island en mars
1979 qui a été le point de départ de développements particulièrement
importants dans l’utilisation de l’expérience d’exploitation.
Cet accident a été, en effet, le révélateur d’une situation non satis-
faisante à cet égard dans la mesure où, environ 18 mois plus tôt,
un incident précurseur avait affecté une centrale analogue, celle de
Davis Besse. Il est alors apparu que l’accident de Three Mile Island
aurait pu être évité si cet incident précurseur avait conduit à une
meilleure prise de conscience des exploitants d’autres centrales sur
les risques associés à l’ouverture des vannes de décharge du pres-
suriseur. Depuis lors, la recherche d’incidents précurseurs est
devenue une préoccupation constante à la fois des exploitants
d’installations nucléaires et des organismes de sûreté, et les
échanges d’informations sur les incidents importants, tant entre
exploitants qu’entre organismes de sûreté, se sont largement déve-
loppés, de telle sorte que l’expérience des uns puisse être connue,
utilisée, voire enrichie par celle des autres. C’est ainsi, par exemple,
qu’a été mise en place, au sein de l’Organisation de coopération et
de développement économiques (OCDE) – à laquelle appartiennent
tous les pays ayant de larges capacités électronucléaires en dehors
des pays d’Europe de l’Est – une banque de données dénommée Figure 4 – Expérience d’exploitation du parc électronucléaire
Incident Reporting System (IRS) à laquelle les pays de l’OCDE français
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire B 3 810 − 7
ANALYSE DE SÛRETÉ PRINCIPES ET PRATIQUES _____________________________________________________________________________________________
Cette nécessité d’une organisation de l’utilisation de l’expérience Le problème des adaptateurs peut donc aujourd’hui être considéré
d’exploitation ne s’est toutefois imposée que peu à peu. Le comme bien maîtrisé. Mais la vigilance et le souci d’anticipation
démarrage des premières tranches du programme électronucléaire conduisent maintenant l’exploitant et les organismes de sûreté à s’inter-
français a en effet généré un nombre considérable d’idées d’amé- roger sur les actions à mener concernant d’autres zones réalisées éga-
lioration, dont plusieurs centaines concernant la sûreté. Or, derrière lement en Inconel 600. D’ores et déjà, certaines de ces zones font
chaque idée d’amélioration, il y a nécessité d’études, le cas échéant l’objet de contrôles plus approfondis, au moins par sondages sur cer-
d’approvisionnements et de travaux de mise en place effective sur taines tranches.
un nombre important de tranches dans des conditions de sûreté
correctes, ce qui suppose des essais, non seulement pour une modi- La fuite d’un adaptateur du couvercle de la cuve du réacteur
Bugey 3 est un cas d’incident précurseur particulièrement simple à
fication particulière, mais aussi pour des ensembles de modifications
afin de vérifier l’absence d’effets négatifs, etc. De plus, à chaque mettre en évidence et, en définitive, à maîtriser dès lors que les
instant, la formation des personnels et les procédures d’exploitation moyens industriels nécessaires ont été développés. Mais, dans la
mesure où il n’est pas possible d’étudier avec toutes les méthodes
et de maintenance doivent être, pour chaque tranche, en conformité
avec l’état de la tranche. Ce fourmillement d’idées a tout naturelle- disponibles tous les incidents qui se produisent, ne serait-ce que sur
les tranches françaises, et où il est clair que, parmi les incidents,
ment conduit à une situation assez inextricable où il est devenu bien
difficile de mener de façon prioritaire les améliorations réellement beaucoup ne sont en fait pas porteurs d’enseignements vraiment
importantes pour la sûreté. nouveaux en termes de sûreté, la question du choix pratique des
incidents qui feront l’objet d’analyses réellement approfondies se
Aussi, en accord avec la direction de la Sûreté des installations pose. Ce choix reste en partie subjectif, mais une première approche
nucléaires, EdF a développé une politique de lots de modifications, conduit à s’interroger plus particulièrement sur :
chaque lot de modifications faisant l’objet d’une mise en place et
d’essais sur une tranche pilote avant d’être généralisés dans les — les incidents non couverts par les études de conception ;
— les incidents proches de ceux étudiés dans les rapports de
années qui suivent aux autres tranches concernés. Seules certaines
modifications considérées comme vraiment urgentes font l’objet sûreté, de probabilité estimée inférieure à 10–2 par an et par tranche,
ou ceux susceptibles de conduire à un incident de ce type, éventuel-
d’une programmation individuelle spécifique car il faut bien
lement dans d’autres conditions d’exploitation ;
comprendre que, désormais, pour le tout-venant des améliorations,
— les cumuls de défaillances dans des systèmes importants pour
entre le début de la recherche d’une solution et sa mise en place
la sûreté, qu’ils soient dus des défauts aléatoires, à des défauts de
effective sur la dernière des tranches concernées dans le cadre des
mode commun ou à des interactions entre systèmes ;
lots de modifications, le délai est au moins de l’ordre de la dizaine
— les incidents faisant apparaître des erreurs humaines résultant
d’années.
d’une méconnaissance du comportement de l’installation ou des
Or, l’expérience d’exploitation apporte régulièrement des sur- exigences de sûreté.
prises désagréables, c’est-à-dire des défaillances absolument non
prévues, au moins sous la forme où elles apparaissent. Une fois décidée, une analyse approfondie suppose de rassembler
tout d’abord un maximum d’éléments pour disposer d’une bonne
On peut illustrer ce sujet par l’exemple de la fissuration des adap- connaissance du déroulement précis de l’incident concerné (ou des
tateurs, des couvercles des cuves de REP français ; ces adaptateurs, incidents concernés, une analyse approfondie pouvant s’intéresser
qui permettent en particulier le passage des tiges de commande des à des incidents analogues ayant affecté une installation ou diffé-
barres de contrôle, étaient réalisés en Inconel 600, matériau dont la rentes installations) ainsi que du comportement des équipements
sensibilité à la corrosion sous tension était bien connue, ne serait-ce et des hommes.
qu’à cause des corrosions déjà constatées sur les tubes des généra-
Une première démarche consiste alors à examiner si, dans
teurs de vapeur réalisés dans le même matériau. Mais les études lais-
d’autres circonstances, l’incident (ou les incidents) examiné(s)
saient à penser que, si la corrosion des adaptateurs devait se manifester,
n’aurai(en)t pas pu avoir des conséquences beaucoup plus
elle apparaîtrait préférentiellement sur l’évent de la cuve, situé au centre
sérieuses ; cela constitue la recherche de voies de dégénérescence
du couvercle. Aussi, l’apparition d’une fuite au niveau d’un adaptateur
que l’on peut traduire par l’expression anglo-saxonne what if ?.
périphérique lors de l’épreuve hydraulique décennale de la cuve du réac-
teur Bugey 3, a entraîné la nécessité de définir rapidement une stratégie Une deuxième démarche consiste à rechercher les origines pro-
face à une situation totalement imprévue pouvant a priori affecter de fondes de l’incident (ou des incidents) en remontant aussi loin que
façon plus ou moins étendue une part notable des tranches du parc élec- possible, tant pour les équipements que pour les procédures et les
tronucléaire français. En termes de sûreté, si l’apparition de fissuration comportements humains.
longitudinales dans les adaptateurs n’entraînait de risques qu’après Une troisième démarche consiste à appliquer les causes profondes
traversée complète d’un adaptateur (corrosion de l’acier noir de la cuve, identifiées à d’autres équipements, systèmes ou situations, pour
corrosion de la soudure de liaison de l’adaptateur à la cuve), la examiner si elles ne peuvent pas être à l’origine d’enchaînements
découverte (qui ne s’est pas produite) d’une fissuration circonféren- aux conséquences complètement différentes et potentiellement
tielle, susceptible de conduire à terme à l’éjection d’un adaptateur avec graves.
la remontée de la barre de contrôle correspondante, aurait entraîné la
Qu’elle soit menée directement par l’exploitant au titre de sa
possibilité d’une situation accidentelle non étudiée dans les rapports de responsabilité fondamentale en matière de sûreté ou par les orga-
sûreté des tranches. Il faut ajouter que, lors de la découverte de la fuite nismes de sûreté au titre de l’examen critique des conclusions d’un
de la cuve de Bugey 3, l’exploitant ne disposait pas de moyens d’inves-
exploitant, une analyse approfondie d’incident(s) va s’étaler sur une
tigation réellement adaptés au contrôle systématique des adaptateurs
certaine durée. Il importe de conserver tout au long de l’analyse le
et encore moins de procédés de réparation validés ; de plus, toutes les
souci d’une réactivité suffisante aux problèmes nouveaux de sûreté
tentatives menées pour expliquer les phénomènes de corrosion que l’analyse ferait apparaître. Il faut se rappeler à tout moment
constatés en fonction de la température supposée de l’eau du circuit qu’entre l’incident de Davis Besse et l’accident de Three Mile Island,
primaire au niveau des adaptateurs ou de la sensibilité plus ou moins
il ne s’est écoulé qu’environ 18 mois et que, comme on l’a vu plus
grande du matériau utilisé ou de l’état des contraintes pour les différents
haut, la mise en œuvre de modifications matérielles des installations
adaptateurs ont été au moins en partie infirmées par l’expérience. La
nécessite en général des délais importants. Il est, en revanche,
situation a, en définitive, été traitée d’abord de façon empirique par des heureusement souvent possible d’améliorer la sûreté à court terme
contrôles et des réparations dans des conditions difficiles avec, en paral-
par des dispositions de caractère administratif telles que la mise en
lèle, la définition et la mise en place de moyens de surveillance
place de consignes spécifiques, par des dispositions simples
améliorés pendant le fonctionnement des tranches (détection des fuites d’exploitation, par exemple associées à des mesures complémen-
au niveau du couvercle). Progressivement, des moyens plus industriels taires, même si, à l’inverse, les dispositions correctives définitives
ont été développés pour permettre le contrôle de tous les adaptateurs
peuvent être très longues à déterminer et à mettre au point.
avec, si nécessaire, leur réparation dans des conditions convenables, et
EdF a pris la décision de remplacer, à terme plus ou moins éloigné,
les couvercles des cuves, en changeant le matériau des adaptateurs.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
B 3 810 − 8 © Techniques de l’Ingénieur, traité Génie nucléaire
_____________________________________________________________________________________________ ANALYSE DE SÛRETÉ PRINCIPES ET PRATIQUES
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire B 3 810 − 9
ANALYSE DE SÛRETÉ PRINCIPES ET PRATIQUES _____________________________________________________________________________________________
débat entre l’exploitant et les organismes de sûreté ; l’analyse de tion de la maintenance, préconisée par EdF à la suite de divers inci-
sûreté devra s’appuyer le plus largement possible sur des dents survenus à la fin des années 80, a conduit à s’intéresser aussi
constatations in situ, en faisant bien attention d’éviter de transfor- à des aspects tels que la requalification systématique des systèmes
mer un cas particulier en une règle générale. Par exemple, dans le de sûreté après intervention ou la répartition dans le temps des inter-
domaine de l’intervention des prestataires extérieurs sur les sites, ventions menées sur des chaînes redondantes.
des discussions en termes d’analyse de sûreté pourront avoir lieu En définitive, la sûreté d’une installation nucléaire repose toujours
sur la formation à donner aux prestataires pour les sensibiliser aux sur la présence de lignes de défense successives à l’égard des
problèmes de sûreté que pourrait entraîner une intervention mal diverses possibilités de défaillances matérielles ou humaines et, s’il
menée, ou sur le contrôle exercé par EdF sur les prestataires de ces est intéressant de renforcer la ligne de prévention, cela ne doit en
prestataires (ou prestataires de deuxième niveau). général pas se faire au détriment des autres lignes de défense.
Le champ d’investigations est très vaste et l’analyse de sûreté Dans le cadre des facteurs humains, il faut ajouter ici quelques
concerne aujourd’hui des domaines relevant très clairement du mots sur la notion de culture de sûreté. Cette notion a été intro-
management général des hommes. Mais, de même que le dévelop- duite sur le plan international à la suite de l’accident de Tchernobyl
pement de procédures de plus en plus sophistiquées dans le cadre pour lequel l’analyse a été pendant un certain temps limitée à la
de l’assurance de la qualité s’est avéré impuissant à empêcher le seule mise en cause du comportement des opérateurs, avec le dia-
renouvellement de certains types d’incidents, de même il serait gnostic d’un manque total de culture de sûreté de leur part. C’est
excessif de penser que l’amélioration du management puisse per- à l’INSAG que revient le mérite d’avoir, dans son rapport
mettre l’élimination des erreurs humaines. Autant il est nécessaire INSAG 4 [3], donné un contenu plus concret à ce concept et d’avoir
de s’intéresser aux comportements humains, à l’organisation des montré sa complexité dans la mesure où la réflexion indique qu’il
équipes, à leurs relations, pour améliorer la sûreté des installations ne concerne pas que les seuls agents chargés de la conduite ou de
nucléaires, autant il serait dangereux de faire reposer trop la maintenance d’une installation nucléaire (figure 5).
exclusivement la sûreté sur la compétence des hommes et de leur
encadrement. C’est pourquoi l’analyse de l’évolution de l’organisa-
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
B 3 810 − 10 © Techniques de l’Ingénieur, traité Génie nucléaire
_____________________________________________________________________________________________ ANALYSE DE SÛRETÉ PRINCIPES ET PRATIQUES
Dans la traduction française du rapport INSAG 4 [3], la culture de Il est clair qu’ainsi définie, la culture de sûreté se prête plus à
sûreté est définie comme : « l’ensemble des caractéristiques et des l’auto-évaluation qu’à une appréciation dans le cadre de l’analyse
attitudes qui, dans les organismes et chez les individus, font que de sûreté. Il faut néanmoins rester vigilant aux manifestations de
les questions relatives à la sûreté des centrales nucléaires bénéfi- défauts dans la culture de sûreté des organismes ou des individus
cient, en priorité, de l’attention qu’elles méritent en raison de leur pour pouvoir préconiser en temps utile les mesures correctives
importance ». Un des éléments clefs est constitué par « une habi- adaptées. Le rapport INSAG 4 fournit des listes de questions per-
tude générale de penser en termes de sûreté » qui implique « une mettant aux responsables des organismes gouvernementaux ainsi
attitude de remise en question systématique, un refus de se qu’à ceux des organismes chargés de la conception, de l’exploitation
contenter des résultats acquis, un souci permanent de la perfec- ou de la recherche, de s’interroger à froid sur leur niveau de culture
tion, et un effort de responsabilité personnelle et d’autodiscipline de sûreté ; plus à chaud, des défaillances pourront apparaître lors
de groupe en matière de sûreté ». de l’analyse d’incidents.
Autrement dit, les bonnes pratiques ne suffisent pas pour atteindre
un haut niveau de sûreté, si elles sont appliquées de manière
formelle. Au-delà de leur application stricte, il convient que : « toutes
les tâches importantes pour la sûreté soient exécutées correctement, 6. Conclusion
avec diligence, de manière réfléchie, en toute connaissance de cause,
sur la base d’un jugement sain et avec le sens des responsabilités
requis ». Le texte qui précède a décrit diverses approches utilisées pour
De plus, la culture de sûreté ne concerne pas que les individus apprécier la sûreté d’une installation nucléaire. Ces approches
en tant que tels ; elle concerne les organismes et tout particu- concourent évidemment au même but ; il est à cet égard important
lièrement les responsables de la politique. Comme l’indique le docu- que le jugement qui peut être porté sur la sûreté d’une installation
ment INSAG 4, « dans toute activité importante, la manière dont corresponde bien à une vue globale de celle-ci. Une analyse de
agissent les individus est conditionnée par des exigences imposées sûreté donne in fine un tableau des risques résiduels, permettant
à un niveau supérieur. Le niveau le plus élevé où s’exerce une la prise de décisions, de telle sorte que les efforts essentiels soient
influence sur la sûreté des centrales nucléaires est le niveau législatif, bien mis de façon prioritaire sur les problèmes les plus importants.
où sont posés les fondements nationaux de la culture de sûreté. Il faut bien comprendre à ce sujet qu’une analyse de sûreté est
Des considérations similaires s’appliquent au sein des orga- faite en fonction des connaissances existantes, ce qui constitue une
nismes. Les politiques préconisées à un niveau élevé façonnent limitation pouvant conduire à prendre, dans le domaine des situa-
l’environnement de travail et conditionnent le comportement des tions examinées, des marges de sécurité importantes. Mais l’analyse
individus. » de sûreté va ainsi générer des questions du domaine de la recherche
appliquée ou plus fondamentale, en vue d’améliorer les connais-
Au niveau des individus, la recherche de l’excellence dans le
sances, de mieux connaître les marges de sécurité, les phénomènes
domaine de la sûreté suppose :
impliqués lors de situations accidentelles, etc.
— une attitude interrogative (compréhension des tâches à
accomplir, connaissance de ses responsabilités et de celles des À l’inverse, avec le développement des connaissances, il peut être
autres, appréciation des défaillances possibles et de leurs envisagé de concevoir de nouvelles installations présentant un
conséquences, actions à mener dans un tel cas, etc.) ; niveau de sûreté significativement amélioré. Ainsi, dans le domaine
— une démarche rigoureuse et prudente (comprendre les procé- des REP, l’accident de Three Mile Island a entraîné des recherches
dures, s’y conformer, se préparer à toute éventualité, prendre le approfondies sur les situations accidentelles avec fusion du cœur ;
temps de réfléchir en cas de problème, solliciter une aide en cas de quinze ans plus tard, l’amélioration des connaissances permet
nécessité, etc.) ; d’afficher pour les réacteurs qui seront construits au début du XXIe
— la reconnaissance du rôle de la communication (obtenir des siècle, un objectif ambitieux limitant de façon drastique les
autres les informations utiles, transmettre des informations aux conséquences radiologiques d’accidents avec fusion du cœur au
autres, rendre compte des résultats de ses travaux et des anomalies voisinage immédiat du site.
constatées, etc.). Il convient d’avoir toujours à l’esprit cette interaction permanente
entre niveau de sûreté et état des connaissances auquel participent
la recherche, les études approfondies et l’expérience d’exploitation.
Références bibliographiques
[1] ICRP Publication 60. Recommandation of the [4] AIEA. – Potential exposure in nuclear safety. [7] AIEA. – Convention sur la sûreté nucléaire.
International Commission on Radiological INSAG 9 (1995). Collection juridique, no 16 (1994).
Protection (1990). [5] AIEA. – Defence in depth in nuclear power [8] EPS 900 MWe – Rapport de synthèse, avril
[2] AIEA. – Principes fondamentaux de sûreté plant safety. INSAG 10 (à paraître). 1990.
pour les centrales nucléaires. Collection [6] GPR/RSK (Groupe permanent chargé des [9] EPS 1300 MWe – Rapport de synthèse, mai
Sécurité, no 75, INSAG 3 (1990). réacteurs nucléaires/Reaktorsicherheitskom- 1990.
[3] AIEA. – Culture de sûreté. Collection Sécurité, mission) Proposal for a common safety [10] RASMUSSEN (N.C.). – Reactor safety study.
no 75, INSAG 4 (1991). approach for future pressurized water reac- WASH 1400 (NUREG 75/014).
tors (adopted during the GPR/RSK common
meeting on may 25th, 1993).
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire B 3 810 − 11