Analyse de sûreté.

Principes et pratiques

par Daniel QUÉNIART

Directeur délégué à la sûreté à l’Institut de protection et de sûreté nucléaire

1. Risques potentiels, risques résiduels, risques acceptables......... B 3 810 - 2

2. La défense en profondeur...................................................................... — 4
3. Apport des études probabilistes de sûreté ...................................... — 5
4. Utilisation de l’expérience d’exploitation......................................... — 7
5. Facteurs humains et culture de sûreté .............................................. — 9
6. Conclusion ................................................................................................. — 11
Références bibliographiques ......................................................................... — 11

ne spécificité des installations nucléaires réside dans la nature et l’impor-

U tance des risques potentiels associés à la mise en œuvre de substances
radioactives dans ces installations. En particulier, ces substances pourraient
entraîner, en cas d’accident, des expositions significatives de travailleurs ou de
personnes du public aux rayonnements ionisants ainsi que des contaminations
durables de sols et de chaînes alimentaires. C’est pourquoi des dispositions tech-
niques et des mesures d’organisation sont prises pour réduire les risques liés
à l’exploitation de chaque installation nucléaire à un niveau jugé acceptable ;
c’est le domaine de la sûreté nucléaire qui recouvre dès lors les dispositions
destinées à :
— assurer le fonctionnement normal des installations sans rejets exces-
sifs d’effluents radioactifs (gazeux et liquides) et sans exposition excessive de
travailleurs aux rayonnements ionisants, y compris au cours des opérations
d’entretien, de contrôle ou de réparation ;
— prévenir les incidents et accidents ;
— limiter les conséquences des incidents et accidents qui se pro-
duiraient malgré les mesures prises pour les éviter.
Bien entendu, c’est l’exploitant d’une installation nucléaire qui est, fondamen-
talement, le responsable de la sûreté de celle-ci ; lui seul peut, en liaison avec
les constructeurs concernés, prendre à tout moment, notamment en exploitation,
les mesures pratiques permettant d’assurer un niveau de sûreté satisfaisant. Dans
l’exercice de cette responsabilité, il doit définir et mettre en œuvre des dispo-
5 - 1996

sitions de sûreté adaptées pour son installation et s’assurer, par une démarche
systématique, que celles-ci permettent bien d’obtenir un niveau de sûreté
satisfaisant.
Par ailleurs, les pouvoirs publics d’un pays ont, d’une manière générale,
mission de veiller à la sécurité des personnes et des biens. La nature des instal-
lations nucléaires et les risques potentiels associés justifient qu’ils y portent une
B 3 810

attention particulière et exercent une surveillance d’une rigueur exceptionnelle.

L’intervention des pouvoirs publics comprend en particulier la mise en œuvre
d’un système d’autorisations accordées individuellement à chaque installation,
après examen technique approfondi des dispositions prises ou prévues par
l’exploitant, et la surveillance du respect des prescriptions imposées par ces
autorisations.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire B 3 810 − 1
ANALYSE DE SÛRETÉ PRINCIPES ET PRATIQUES _____________________________________________________________________________________________

Il est demandé à chaque exploitant d’installation nucléaire d’exposer les

dispositions qu’il a prises ou prévues en matière de sûreté pour son installation
et sa démarche d’appréciation de leur caractère satisfaisant dans un document
qui évolue au fur et à mesure de la définition et de la vie de l’installation ; ce
document est dénommé rapport de sûreté. Les versions successives de celui-ci
sont examinées par les pouvoirs publics dans le cadre des procédures d’auto-
risation sus-mentionnées. En France, le rôle d’examen critique est, pour l’essen-
tiel, assuré par l’Institut de protection et de sûreté nucléaire (IPSN) à qui il incombe
de donner aux autorités de sûreté des avis techniques sur les dispositions
exposées dans les rapports de sûreté des installations nucléaires et les
documents associés.
C’est l’ensemble de ce processus, d’appréciation de la sûreté d’une
installation, d’abord par l’exploitant, en liaison avec ses constructeurs, puis
par les pouvoirs publics, que l’on désigne sous l’appellation globale
d’analyse de sûreté d’une installation. Les procédures associées sont
développées dans l’article Réglementation de la sûreté nucléaire [B 3 815] dans
ce traité.

1. Risques potentiels,
risques résiduels,
risques acceptables
Pour toute installation, il faut évidemment bien distinguer les
risques potentiels évoqués plus haut, des risques résiduels
présentés par l’installation. Les risques potentiels sont directement
associés à la nature et aux quantités de substances radioactives
mises en œuvre, ainsi qu’aux possibilités de dispersion de ces
substances, tandis que les risques résiduels sont ceux qui subsistent
pour l’installation en question, compte tenu des dispositions prises.
Cette distinction, comme les développements de cet article sur la
sûreté, s’applique plus généralement à tous les risques industriels
(cf. article Généralités sur la sûreté nucléaire [B 3 800] dans ce traité).
Pour une installation donnée, les risques résiduels ne sauraient
être rigoureusement nuls et c’est le caractère acceptable de ces
risques que les pouvoirs publics doivent apprécier pour délivrer les
autorisations nécessaires à son fonctionnement. Cette appréciation
ne peut être faite qu’en tenant compte à la fois du caractère plus
ou moins vraisemblable et de la gravité plus ou moins importante
des conséquences liées au fonctionnement de l’installation. Au-delà
de l’exploitation normale, pour laquelle des limites d’exposition des
travailleurs et des limites de rejets d’effluents radioactifs sont
définies en dessous desquelles les valeurs réelles doivent être main-
tenues aussi faibles que raisonnablement possible (optimisation), les
risques résiduels de l’installation sont donc appréciés en termes de
probabilités d’accidents, généralement exprimées en probabilités
pour une durée égale à un an, et de conséquences associées. La
notion de probabilité s’introduit ainsi naturellement dans l’examen
des risques résiduels et il est largement admis que des conséquences
plus importantes peuvent être acceptées si les probabilités corres-
pondantes sont plus faibles.
Cette idée a été traduite dès la fin des années 60 par la courbe
proposée par F.R. Farmer, qui délimite sur un diagramme
probabilités-conséquences un domaine acceptable (ou autorisé) et
un domaine inacceptable (ou interdit) (figure 1).
Cette même idée de conséquences acceptables plus importantes
pour des probabilités plus faibles peut se déduire des dévelop-
pements consacrés aux expositions potentielles (*) dans la publi-
cation 60 de la Commission internationale de protection radiologique
[1].
(*) Il est à noter que le mot potentiel n’a pas ici le même sens que dans l’expression
risques potentiels ; les expositions potentielles sont plutôt l’expression des risques
résiduels.
Figure 1 – Courbe de Farmer (échelles logarithmiques)
Dans cette publication, la CIPR retient, sur un plan conceptuel,
l’idée de l’utilisation de limites de risque pour les expositions poten-
tielles (c’est-à-dire celles qui peuvent, pour une installation
nucléaire, résulter de situations incidentelles ou accidentelles) de
façon analogue aux limites de dose applicables en fonctionnement
normal, sur la base de probabilités égales d’effets dangereux pour
un individu, d’une part, en situation incidentelle ou accidentelle et,
d’autre part, en fonctionnement normal. Cela revient, dans le
domaine des effets stochastiques des rayonnements ionisants qui
sont pratiquement les seuls qui puissent concerner des personnes
du public, à pondérer les doses pouvant être reçues par un individu
lors des différentes situations accidentelles par les probabilités
annuelles estimées de ces situations.
Toutefois, il faut noter que [4] :
— l’appréciation des risques individuels pour les personnes du
public, au sens de la CIPR, est à elle seule insuffisante pour traiter
de l’acceptabilité ; le nombre des personnes qui pourraient être
concernées par un accident, l’étendue des zones dans lesquelles des
contre-mesures pourraient être nécessaires, la durée d’application
de ces contre-mesures sont, à l’évidence, des paramètres interve-
nant dans l’appréciation du caractère acceptable de risques
résiduels ;
— l’acceptabilité n’est pas une notion figée : d’une part, parce que
les idées évoluent – l’acceptabilité est en fait une notion politique
pouvant, par nature, présenter des variations dans le temps et selon
les pays – et, d’autre part, parce que la coexistence d’installations
anciennes et d’installations nouvelles améliorées, la recherche de
progrès en termes de sûreté rendent impossible une délimitation
précise et générale entre un domaine acceptable et un domaine
inacceptable. C’est pourquoi des modèles conceptuels introduisant

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
B 3 810 − 2 © Techniques de l’Ingénieur, traité Génie nucléaire
 _____________________________________________________________________________________________ ANALYSE DE SÛRETÉ PRINCIPES ET PRATIQUES
un domaine dit tolérable entre le domaine acceptable et la domaine
inacceptable, sont quelquefois développés, sans toutefois résoudre
la contradiction inhérente à l’utilisation de courbes mathématiques
simples pour traduire une réalité à l’évidence multiparamétrique ;
pour sa part, dans sa publication 60, la CIPR a introduit, au titre de
l’optimisation de la radioprotection, la notion de contrainte de risque
qui permet une certaine flexibilité en dessous des limites de risque
applicables de manière générale) ;
— les outils permettant d’apprécier les probabilités annuelles et
les conséquences possibles de situations accidentelles ne peuvent
apporter que des réponses présentant des incertitudes plus ou moins
importantes mais pouvant, pour une installation complexe, atteindre
plusieurs ordres de grandeur, à la fois en termes de probabilités et
en termes de conséquences. C’est pourquoi les organismes de sûreté
n’utilisent la comparaison de résultats d’approches probabilistes à
des critères préétablis que pour des sujets bien délimités ; ces
critères ne sont de plus généralement pas exprimés en termes de
doses pouvant être reçues par des travailleurs ou des personnes du
public (cf. article Études probabilistes de sûreté [B 3 831] dans ce
traité).
Il faut bien comprendre ici que, si le contexte réglementaire
implique nécessairement des étapes formalisées d’examen de la
sûreté d’une installation nucléaire auxquelles peuvent s’appliquer
des critères précis, l’analyse de la sûreté d’une telle installation est
par nature un processus continu qui commence avec le choix des
options de sûreté et ne peut s’achever qu’après la disparition de tout
risque résiduel important ; tout au long de la conception, de la
réalisation et de l’exploitation jusqu’au déclassement d’une
installation nucléaire, des décisions doivent être prises qui ont des
implications en matière de sûreté, et il convient que ces implications
soient bien pesées en temps opportun. Cela rend très souhaitable
l’existence d’un dialogue aussi continu que possible entre les exploi-
tants, en liaison avec leurs constructeurs, d’une part, et les orga-
nismes de sûreté, d’autre part ; un tel dialogue entre organisations
compétentes est en fait une condition nécessaire d’un haut niveau
de sûreté – il doit bien entendu être mené dans le respect complet
des responsabilités des uns et des autres.
L’essentiel de l’analyse de sûreté n’est donc pas la comparaison
à des critères préétablis, mais une réflexion permanente, notamment
sur les critères utilisés et leurs domaines de validité, ainsi que sur
les modèles mis en œuvre, que ces critères aient été proposés par
l’exploitant ou fixés, à un moment donné, par voie réglementaire
ou pseudo-réglementaire. Cette réflexion permanente est nourrie par
l’expérience acquise en matière de conception, de réalisation et
d’exploitation d’installations nucléaires ainsi que par les recherches
et études menées, soit dans un pays donné, par les exploitants d’une
part, les organismes de sûreté d’autre part, soit dans un cadre
international ; en particulier, les recherches lourdes concernant une
filière électronucléaire sont aujourd’hui souvent financées par
plusieurs pays ou organismes internationaux.
Il faut bien comprendre également que les responsabilités en
matière de sûreté telles que décrites plus haut, s’exercent dans un
cadre national. Il a déjà été indiqué plus haut que l’acceptabilité est
une notion politique, pouvant par nature présenter des variations
dans le temps et selon les pays. Il convient aussi de noter à ce sujet
que les décisions concernant les installations nucléaires ont souvent
des implications importantes (*).
(*) À cet égard, soulignons que la recherche de progrès en matière de sûreté ne doit pas
conduire à une remise en cause permanente des décisions prises. L’évolution des principes
et des pratiques n’empêche pas une certaine stabilité et, en particulier, l’exploitation d’ins-
tallations conçues selon des pratiques anciennes tandis que sont conçues et exploitées des
installations améliorées.
Ainsi, concernant la production d’électricité d’origine nucléaire,
une politique d’amélioration des centrales ne saurait être menée
indépendamment de toute considération sur la politique industrielle
et l’approvisionnement énergétique du pays concerné. À ce jour, des
installations électronucléaires exploitées dans des pays distincts
peuvent présenter des niveaux de sûreté sensiblement différents,
ou des niveaux de sûreté équivalents mais obtenus avec des pra-
tiques sensiblement différentes. Toutefois, les discussions tech-
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire
niques menées depuis une vingtaine d’années, soit dans des cadres
bilatéraux, soit dans des cadres internationaux induisent progres-
sivement de larges convergences concernant les niveaux de sûreté
à atteindre et une harmonisation progressive des critères et pra-
tiques utilisés. À cet égard, la publication par l’AIEA, en 1988, du
rapport INSAG 3 (*) relatif aux principes de sûreté pour les centrales
électronucléaires [2] de même que, plus récemment, la publication
en 1993 en France et en Allemagne d’objectifs de sûreté
communs [6], approuvés par les organismes réglementaires des
deux pays, pour les centrales électronucléaires à construire au début
du 21e siècle constituent des pas notables et tout à fait significatifs.
La mise au point récente d’une convention internationale en matière
de sûreté nucléaire va dans le même sens [7].
(*) L’INSAG, International Nuclear Safety Advisory Group, est un groupe d’experts de
haut niveau conseillant directement le Directeur général de l’AIEA.
Les risques potentiels présentés par les différentes installations
nucléaires sont très variables puisque le domaine correspondant
couvre aussi bien les centrales électronucléaires (qui présentent les
risques potentiels les plus importants, de par les quantités de subs-
tances radioactives qu’elles peuvent contenir et l’existence de
phénomènes physiques pouvant conduire à une large dispersion de
ces substances) que les installations de fabrication de combustibles
neufs, les installations de traitement de combustibles irradiés, les
installations de traitement d’effluents et déchets radioactifs
jusqu’aux stockages définitifs de ces derniers, les laboratoires de
recherche associés ou encore les grandes installations industrielles
d’irradiation ou les grands accélérateurs de particules. Aussi, hormis
pour le risque de criticité, largement associé aux installations du
cycle du combustible, c’est pour les centrales électronucléaires que
les méthodes d’analyse de sûreté ont été le plus largement déve-
loppées et approfondies. Toutefois, dans une large mesure, les
mêmes démarches sont applicables, mutatis mutandis, à toutes les
installations nucléaires ; mais il convient d’adapter les objectifs et
l’importance des efforts en matière de sûreté à la nature et à
l’ampleur des risques correspondants (cf. article Sûreté des labo-
ratoires et usines nucléaires [B 3 840] dans ce traité).
Aussi, dans la suite du présent article, ne sera abordé que le cas
des centrales électronucléaires. Les grands objectifs de sûreté cor-
respondants peuvent alors être précisés dans les termes retenus
dans la traduction française du rapport INSAG 3 [2] :
— objectif général de sûreté nucléaire : protéger les individus,
la société et l’environnement en établissant et en maintenant
dans les centrales nucléaires une défense efficace contre le
risque radiologique ;
— objectif de radioprotection : faire en sorte, en exploitation
normale, que la radioexposition à l’intérieur de la centrale et celle
due à tout rejet de matières radioactives à l’extérieur de la
centrale soient maintenues au niveau le plus bas qu’il est raison-
nablement possible d’atteindre et au-dessous de limites
prescrites, et faite en sorte que soit atténué l’impact des radio-
expositions dues aux accidents ;
— objectif de sûreté technique : prévenir avec un degré élevé
d’assurance les accidents dans les centrales nucléaires, faire en
sorte que, pour tous les accidents pris en compte dans la
conception de la centrale, même ceux de très faible probabilité,
les conséquences radiologiques, s’il y en a, soient de faible
importance et faire en sorte que la probabilité d’accidents graves
avec conséquences radiologiques importantes soit extrêmement
faible.
Ce dernier objectif souligne clairement que la prévention des
accidents par des dispositions de conception et d’exploitation est
la première priorité en matière de sûreté. Mais, dans le même
temps, il reconnaît que les dispositions de prévention pouvant être
insuffisantes, des incidents et des accidents peuvent se produire ;
il faut dès lors examiner les dispositions de conception et d’exploi-
tation propres à en limiter les conséquences à des niveaux jugés
acceptables. Cette double approche est la base du concept fonda-
mental de défense en profondeur, développé dans le paragraphe
suivant.
B 3 810 − 3
ANALYSE DE SÛRETÉ PRINCIPES ET PRATIQUES _____________________________________________________________________________________________
2. La défense en profondeur
Pour l’environnement d’une centrale électronucléaire, les risques
proviennent essentiellement des possibilités de dissémination des
substances radioactives présentes dans les combustibles ou, dans
une moindre mesure, dans les fluides du procédé (produits de fission
ou d’activation). Il convient donc d’assurer le confinement de ces
substances radioactives, ce qui est réalisé par l’interposition de
barrières entre ces substances et les personnes.
Schématiquement, dans le cas d’un réacteur à eau sous pression
(REP) du type de ceux qui sont exploités en France, on distingue ainsi
en fonctionnement, trois barrières successives entre les produits
radioactifs (en particulier, les produits de fission et les transuraniens
qui résultent des réactions nucléaires dans le combustible) et
l’environnement : les gaines des crayons combustibles, le circuit du
fluide de refroidissement (circuit primaire) et l’enceinte de
confinement (figure 2). Il faut toutefois noter que, même en fonc-
tionnement normal, les barrières ne sont généralement pas parfai-
tement étanches : des ruptures de gaines d’importance limitée
peuvent exister, des fuites du circuit primaire ne dépassant pas une
certaine valeur peuvent se produire, l’enceinte de confinement pré-
sente également un taux de fuite limité. De plus, la définition précise
des barrières n’est pas toujours simple : ainsi, dans les générateurs
de vapeur des REP évoqués ci-dessus, les deuxième et troisième
barrières sont en fait confondues au niveau des tubes de ces généra-
teurs de vapeur, dans la mesure où la rupture d’un tel tube peut
entraîner l’ouverture des soupapes de sûreté du générateur de
vapeur correspondant, créant ainsi un bipasse de l’enceinte de
confinement. Autre exemple, dans les centrales allemandes
actuelles, des travaux devant être accomplis dans l’enceinte de
confinement pendant le fonctionnement du réacteur, cette enceinte
est ventilée et donc ouverte en fonctionnement normal.
En fait, il convient d’apprécier la validité de l’ensemble des
barrières dans le cadre de la défense en profondeur. Un bon fonc-
tionnement de cet ensemble permet que soient assurées trois fonc-
tions essentielles de sûreté, à savoir la maîtrise de la réactivité, le
refroidissement du combustible irradié (fonctions nécessaires au
maintien de la première barrière) et le confinement proprement dit
des substances radioactives.
Figure 2 – Représentation schématique des barrières d’un REP
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
B 3 810 − 4 © Techniques de l’Ingénieur, traité Génie nucléaire
Le concept de défense en profondeur a évolué au cours du temps.
Au début des années 70, il était essentiellement axé sur la
conception du cœur même du réacteur et des systèmes associés ;
il comprenait trois « niveaux » [5] qui peuvent être aujourd’hui
décrits comme suit.
■ Le premier niveau comprend un ensemble de dispositions qui
visent à réduire les possibilités de sortie du domaine de fonction-
nement normal de l’installation concernée ; cela implique
notamment:
— le choix de matériaux adaptés ainsi que de technologies
prouvées, le calcul des structures et équipements avec des marges
de sécurité, l’utilisation de procédés de fabrication qualifiés ;
— une conception permettant aux opérateurs d’exploiter l’instal-
lation dans de bonnes conditions, ce qui suppose qu’ils disposent
d’informations fiables et faciles à interpréter, de procédures claires
et de délais suffisants pour mettre en œuvre les actions qui leur
sont demandées ;
— la mise en œuvre de programmes de maintenance préventive.
■ Le deuxième niveau vise à maîtriser les écarts par rapport au
fonctionnement normal avant que ceux-ci ne puissent conduire à un
accident. Cela implique :
— des systèmes de limitation ou de sécurité qui agissent auto-
matiquement en cas de sortie du domaine de fonctionnement
normal, avant que les seuils de mise en œuvre des actions relevant
du troisième niveau ne soient atteints ;
— des informations et des procédures appropriées pour les
opérateurs ;
— des mesures de surveillance de l’état des structures et des
équipements (inspections en service, essais périodiques) visant à
détecter l’existence de défauts avant qu’ils ne puissent devenir
nocifs.
■ Au troisième niveau, il est supposé que, malgré les mesures prises
aux premier et deuxième niveaux, des accidents peuvent se produire.
La liste des accidents ainsi postulés (il s’agit, pour l’essentiel,
d’événements simples tels qu’une rupture de tuyauterie supposée
instantanée, une remontée intempestive d’une barre de commande
à la vitesse maximale plausible, etc.) est définie en tenant compte de
l’expérience industrielle et peut d’ailleurs évoluer au cours du temps.
Des systèmes, dits de sauvegarde, sont mis en place pour limiter les
conséquences des accidents postulés ; par exemple, à l’égard des
accidents de rupture d’une tuyauterie primaire, les tranches
françaises existantes comportent des systèmes automatiques
d’injection de sécurité et d’aspersion dans l’enceinte de confinement,
qui permettent de limiter la dégradation des gaines des éléments
combustibles et d’évacuer la puissance résiduelle produite dans le
cœur du réacteur, l’enceinte de confinement assurant la limitation
des rejets de substances radioactives dans l’environnement dans les
conditions correspondantes (la pression, la température et la durée
des sollicitations sur l’enceinte étant limitées par le fonctionnement
des systèmes précités). Ces systèmes sont conçus avec des marges
de sécurité, en appliquant de surcroît des règles déterministes de
redondance et de séparation géographique ou physique des maté-
riels redondants. Bien entendu, à ce niveau également, des informa-
tions et procédures adaptées doivent exister pour les opérateurs.
Dans le cadre de l’approfondissement des réflexions sur la sûreté
des centrales électronucléaires, il est apparu, au cours des années
70, que certaines combinaisons de défaillances pouvaient avoir une
probabilité du même ordre de grandeur que celle des accidents
postulés définis plus haut, tout en entraînant des conséquences
beaucoup plus graves que ceux-ci. Il s’agit par exemple de la
défaillance totale des alimentations électriques externes et internes
qui, sur les tranches françaises comportant un REP, peut conduire
à une brèche du circuit primaire par défaillance des joints des
pompes primaires qui ne sont plus refroidis, alors que les systèmes
de sauvegarde ne sont pas opérationnels en l’absence d’énergie
électrique.
_____________________________________________________________________________________________ ANALYSE DE SÛRETÉ PRINCIPES ET PRATIQUES
Les études probabilistes de sûreté menées au cours de la même
décennie (§ 3) ont également montré que, pour les REP, la probabilité
d’un accident avec fusion du cœur, donc plus grave que les accidents
postulés précités, était significative (de l’ordre de 10–4/an), et l’acci-
dent de Three Mile Island en 1979 est malheureusement venu
confirmer le caractère plausible d’une fusion du cœur pour ce type
de réacteur. Il est aussi apparu que des dispositions complé-
mentaires pouvaient être prises pour, au moins dans certains cas,
éviter ou retarder la fusion du cœur du réacteur, ou en limiter les
conséquences grâce à une adaptation du confinement.
■ Ainsi s’est progressivement mis en place un quatrième niveau de
la défense en profondeur, constitué de dispositions complémen-
taires visant, d’une part, à limiter les conséquences de certaines
situations avec défaillances multiples et à retarder autant que possi-
ble la fusion du cœur d’un réacteur et, d’autre part, à renforcer la
dernière barrière de confinement (*). Parmi ces dernières disposi-
tions, la plus connue, adoptée dans différents pays, consiste à
mettre en place des moyens permettant de procéder à des rejets
volontaires filtrés de l’atmosphère de l’enceinte de confinement, de
façon à éviter un rejet important non filtré par suite de la défaillance
de l’enceinte par surpression. Bien entendu, des informations et
procédures spécifiques sont prévues à ce niveau pour les opéra-
teurs avec, au moins en France, une forme de redondance humaine
assurée par un ingénieur de sûreté appelé en salle de commande en
cas de difficulté importante.
(*) Si les marges de sécurité inhérentes à la conception selon les trois premiers niveaux
de la défense en profondeur ont certainement permis que l’accident de Three Mile Island
n’ait eu que des conséquences très limitées dans l’environnement de cette centrale, il est
encore aujourd’hui impossible d’expliquer clairement le déroulement de l’accident et en
particulier d’expliquer pourquoi il n’y a pas eu de défaillance de la cuve du réacteur.
■ Enfin, l’habitude a été prise de considérer les plans d’urgence
(à la fois les plans d’urgence internes aux installations et les plans
d’intervention des pouvoirs publics, destinés à assurer la protection
ultime des populations) comme un cinquième niveau de la défense
en profondeur.
La même démarche de défense en profondeur peut s’appliquer
à d’autres parties d’une centrale électronucléaire que le cœur du
réacteur, en l’adaptant en fonction des risques associés ; ainsi, un
réservoir contenant des effluents gazeux dont le rejet ne peut pas
conduire à des conséquences significatives dans l’environnement,
mérite certainement une conception et une surveillance soignées
(niveaux 1 et 2), mais ne nécessite pas la mise en œuvre des
niveaux ultérieurs de la défense en profondeur.
Une démarche du même type peut encore être appliquée aux inter-
ventions réalisées, par exemple pendant un arrêt de tranche, dans
une configuration spécifique de l’installation. Le premier niveau
comprend la préparation de l’intervention, avec en particulier l’ana-
lyse des risques correspondants, la vérification de la compatibilité
des différentes phases de l’intervention avec la configuration de
l’installation, le choix de personnel qualifié, la rédaction de procé-
dures adaptées. Le deuxième niveau comprend des vérifications
périodiques, des points d’arrêt, l’analyse des anomalies par rapport
au déroulement prévu de l’intervention. Le troisième niveau
comprend la mise en place de moyens automatiques ou manuels,
fondés sur des informations dûment choisies, permettant de faire
face à des situations accidentelles.
En revanche, il existe des agressions qui doivent être traitées selon
une démarche particulière. Il s’agit, d’une part, des agressions
externes pour lesquelles, à l’exception des séismes, la protection est
essentiellement assurée directement par la conception des ouvrages
et structures et, d’autre part, des agressions internes comme
l’incendie pour lequel la défense en profondeur se décline en
dispositions de prévention (limitation du potentiel calorifique en
particulier), de détection et de limitation des conséquences (secto-
risation des locaux par exemple). Les séismes constituent un cas
particulier d’agression externe en ce sens qu’un séisme sollicite en
même temps tous les matériels de l’installation. La défense en
profondeur est alors assurée :
— par le choix d’un séisme majoré de sécurité comportant des
marges par rapport aux séismes vraisemblables ;
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire
— par le dimensionnement ou la qualification des structures et
matériels importants pour la sûreté aux sollicitations associées à
ce séisme majoré (avec là aussi des marges) ;
— par la vérification du fait qu’un événement sismique de l’inten-
sité du séisme majoré ne peut pas conduire à des conséquences plus
graves que celles admises pour les accidents postulés évoqués plus
haut, en supposant qu’un tel événement peut être à l’origine d’un
tel accident et en supposant la défaillance des structures et équi-
pements non dimensionnés pour résister à ce séisme.
3. Apport des études
probabilistes de sûreté
Comme on l’a vu au paragraphe 2, la notion de probabilité s’intro-
duit tout naturellement dans l’examen des risques résiduels. Néan-
moins, une grande prudence s’impose quant à la comparaison
directe de résultats d’évaluations probabilistes à des critères chiffrés
préétablis.
Une telle approche s’applique en fait assez bien à certains types
d’agressions externes comme les chutes d’avions pour lesquelles
il existe suffisamment d’événements observés pour en déduire des
valeurs statistiques relativement fiables. Ainsi, c’est sur la base d’une
valeur de probabilité maximale de l’ordre de grandeur de 10–7/an
pour chacune des grandes fonctions de sûreté d’une tranche
comportant un réacteur nucléaire, qu’il a été décidé, lors du lance-
ment du programme électronucléaire français, de protéger systé-
matiquement les tranches construites dans ce pays contre la chute
d’un avion de l’aviation générale (masse inférieure à 5,7 t), compte
tenu de la probabilité relativement élevée de chute d’un tel avion
sur une centrale. En revanche, il n’est pas apparu nécessaire de tenir
compte de l’aviation commerciale pour laquelle la probabilité de
chute sur une centrale est cent fois plus faible ; le cas de l’aviation
militaire, qui est intermédiaire, fait l’objet d’une examen cas par cas,
ce qui revient en fait à prêter la plus large attention au choix des sites.
Il convient de souligner ici que la valeur de 10–7/an correspond
à un ordre de grandeur limite et non à un seuil en deçà duquel aucune
question ne se poserait et au-delà duquel un dimensionnement serait
systématiquement nécessaire. La précision des évaluations n’est pas
telle que des seuils aussi précis puissent avoir une réelle signification
et il est largement préférable de porter une appréciation sur les
valeurs trouvées par le calcul en tenant compte des incertitudes
correspondantes et des conséquences du choix de telle ou telle
décision. C’est ce type d’appréciation qui a conduit à la décision de
dimensionner les bâtiments de l’usine UP3 de la Hague sans tenir
compte des chutes d’avions tout en vérifiant que les conséquences
de la chute d’un avion de l’aviation générale resteraient norma-
lement limitées.
Plus généralement, en 1977, l’autorité de sûreté française, à
l’époque le Service central de sûreté des installations nucléaires,
avait défini un objectif général ainsi rédigé : « D’une façon générale,
le dimensionnement des installations d’une tranche comportant un
réacteur nucléaire à eau pressurisée devrait être tel que la probabilité
globale que cette tranche puisse être à l’origine de conséquences
inacceptables ne dépasse pas 10–6 par an ». Cette phrase doit être
bien comprise : il s’agissait de fixer une référence à caractère général
et non de définir un critère d’acceptation, encore moins de demander
à Électricité de France de démontrer le respect d’un tel objectif par
une étude probabiliste complète. La fixation de cet objectif tenait
toutefois compte des résultats de la première étude probabiliste de
sûreté complète réalisée aux États-Unis, connue sous le nom de
rapport Rasmussen (*) [10], qui visait à apprécier les conséquences
du fonctionnement des centrales américaines sous la forme de
courbes donnant la probabilité en fonction d’un nombre minimal de
morts (figure 3), la probabilité calculée de fusion du cœur d’un REP
étant de l’ordre de 10–4/an.
(*) Ce rapport s’applique à des réacteurs à eau sous pression ou à eau bouillante
américains des années 70 ; les conséquences concernent les personnes du public.
B 3 810 − 5
ANALYSE DE SÛRETÉ PRINCIPES ET PRATIQUES _____________________________________________________________________________________________
Figure 3 – Fréquences des événements d’origine humaine
conduisant à un nombre de décès supérieur à N [10]
En fait, la référence de la lettre du service central de sûreté des
installations nucléaires n’est directement utilisable que pour
certaines applications relatives à des familles d’événements. C’est
pourquoi, après avoir précisé l’objectif général, la même lettre
indiquait : « Lorsqu’une approche probabiliste sera utilisée pour
apprécier si une famille d’événements doit être prise en compte pour
le dimensionnement d’une (telle) tranche, il conviendra de
considérer que cette famille d’événements doit effectivement être
prise en compte si la probabilité qu’elle puisse conduire à des
conséquences inacceptables est supérieure à 10–7/an... », ce qui peut
être utilisé en précisant cas par cas la notion de conséquences inac-
ceptables, notion à caractère politique, volontairement vague dans
sa généralité. On retrouve ainsi la valeur de 10–7/an évoquée pour
les chutes d’avions ; on peut aussi appliquer cette valeur en ordre
de grandeur à certaines situations avec défaillances multiples,
comme il a été indiqué plus haut à propos de la défaillance totale
des alimentations électriques externes et internes constituées par
les deux groupes électrogènes prévus dans la conception d’origine
des tranches, en considérant la fusion du cœur du réacteur comme
constituant des conséquences inacceptables, ce qui est pessimiste.
Ce n’est qu’à la fin des années 80 qu’ont été réalisées en France
les premières études probabilistes de sûreté globales, à la fois pour
apprécier de façon plus quantitative le niveau de sûreté des tranches
françaises comportant un REP et pour constituer des outils d’analyse
de ces tranches (cf. article Études probabilistes de sûreté [B 3 831],
dans ce traité). En effet, autant les comparaisons à des critères
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
B 3 810 − 6 © Techniques de l’Ingénieur, traité Génie nucléaire
chiffrés sont difficiles, autant la démarche probabiliste permet de
déterminer les faiblesses relatives des tranches examinées et
d’apprécier par exemple, en relatif, l’intérêt de modifications de
conception ou d’exploitation.
Classiquement, on distingue aujourd’hui trois types d’études
probabilistes de sûreté :
— les études de niveau 1 s’intéressent à la probabilité de fusion
du cœur du réacteur ;
— les études de niveau 2 s’intéressent aux probabilités de relâ-
chement de produits radioactifs dans l’environnement ;
— les études de niveau 3 s’intéressent aux probabilités d’effets
sur les personnes du public (le rapport Rasmussen correspond à
une étude de niveau 3).
Les études probabilistes de sûreté réalisées en France [8] [9], tant
pour les tranches de 900 MW que pour les tranches de 1 300 MW,
sont des études de niveau 1 ; leurs résultats ont été diffusés en 1990
(cf. article Études probabilistes de sûreté [B 3 831]). Ces études sont
en cours de réactualisation pour tenir compte de l’évolution des
connaissances ainsi que de l’expérience d’exploitation (il faut noter
à ce sujet que la standardisation des tranches françaises permet de
bénéficier, pour la fiabilité des matériels ou pour la probabilité de
certains événements initiateurs, de valeurs fondées sur des bases
statistiques importantes). Par ailleurs, des études de niveau 2 ont
été démarrées en 1994 par Électricité de France et l’Institut de
protection et de sûreté nucléaire sur les tranches de 900 MW.
Par rapport aux études du même type réalisées à l’étranger, les
études françaises présentent la spécificité de tenir compte de tous
les états du réacteur et non des seuls en puissance. Elles ont d’ailleurs
mis en évidence le fait que les états d’arrêt d’un réacteur à eau
correspondaient à une part importante de la probabilité de fusion
du cœur d’un réacteur, compte tenu des configurations spécifiques
d’exploitation dans ces états, et notamment du moindre degré
d’automatisation des actions de sauvegarde qui peuvent s’avérer
nécessaires. Cela a, bien entendu, entraîné de nombreuses réflexions
concernant à la fois l’analyse de sûreté des tranches actuelles et la
conception des tranches du futur.
Une autre spécificité des études probabilistes de sûreté françaises
est de s’intéresser à la phase à long terme des accidents, compte
tenu de la nécessité d’évacuer la puissance résiduelle du cœur du
réacteur. Là encore, il apparaît que la contribution correspondante
à la probabilité totale de fusion du cœur du réacteur n’est pas négli-
geable, ce qui conduit à prêter une attention spécifique au long terme
des situations accidentelles, par exemple de l’analyse des procé-
dures de conduite.
Actuellement, les études probabilistes existantes sont utilisées
dans plusieurs domaines de l’analyse de sûreté :
— lors de l’examen de l’opportunité de certaines modifications et
du gain apporté par les dispositions complémentaires envisageables
pour répondre à un problème de sûreté donné, ces études apportent,
toujours en relatif, une appréciation plus quantitative que celle qui
résulte simplement du jugement de l’ingénieur ; ainsi, les disposi-
tions d’appoint automatique au circuit primaire lors des situations
de refroidissement du cœur du réacteur par le circuit de refroidis-
sement à l’arrêt ont fait l’objet d’études probabilistes menées tant
par EdF que par l’IPSN ;
— de même, les études probabilistes de sûreté permettent de
mieux apprécier quantitativement l’importance pour la sûreté de
certains équipements, soit en calculant la diminution de la proba-
bilité de fusion du cœur du réacteur qui résulterait d’une fiabilité par-
faite de l’équipement considéré, soit en calculant l’augmentation de
la probabilité de fusion du cœur du réacteur qui résulterait de l’indis-
ponibilité totale du même équipement. On met ainsi, par exemple,
en évidence l’importance du système de ventilation des systèmes
de sauvegarde pour les tranches de 900 MW, cette importance
devant toutefois être tempérée en tenant compte du caractère sans
doute pessimiste de la modélisation introduite dans l’étude proba-
biliste de sûreté de ces tranches (défaillance des pompes en cas de
défaillance de la ventilation) ;
_____________________________________________________________________________________________ ANALYSE DE SÛRETÉ PRINCIPES ET PRATIQUES
— la validité des spécifications techniques qui définissent les
durées acceptables d’indisponibilité de certains équipements impor-
tants pour la sûreté peut aussi être appréciée en calculant
l’augmentation de la probabilité de fusion du cœur du réacteur
correspondant à la durée d’indisponibilité d’un équipement donné
et en vérifiant que cette augmentation n’est pas trop importante.
Toutefois, il y aurait des inconvénients à vouloir fixer les durées
acceptables d’indisponibilité simplement sur la base d’un critère
général d’augmentation de la probabilité de fusion du cœur du réac-
teur car, d’une part, les spécifications techniques d’exploitation
doivent inciter l’exploitant à mener les réparations nécessaires au
plus tôt, et, d’autre part, il convient de tenir compte des risques
encourus lors du passage à l’état de repli prévu au-delà de la durée
maximale d’indisponibilité et lors du maintien du réacteur dans cet
état ;
— les études probabilistes de sûreté peuvent enfin être utilisées
dans le cadre de l’analyse de sûreté d’incidents réels ; en effet, il
peut être intéressant de chercher à placer un incident réel donné sur
l’arbre des défaillances d’une étude probabiliste de sûreté, ce qui
permet de calculer une probabilité conditionnelle de fusion du cœur
du réacteur et d’apprécier le caractère précurseur de l’incident
considéré.
4. Utilisation de l’expérience
d’exploitation
L’examen attentif de l’expérience d’exploitation est une voie
essentielle pour améliorer les performances des installations indus-
trielles en général et des installations nucléaires en particulier, qu’il
s’agisse des installations existantes ou des installations futures ; il
faut d’ailleurs bien comprendre ici le terme performances dans son
acception la plus large, même s’il ne sera question dans la suite que
d’améliorations en termes de sûreté.
L’opportunité d’éviter le renouvellement d’incidents connus et
l’intérêt de détecter et d’examiner plus particulièrement les incidents
précurseurs d’accidents plus graves pouvant conduire, soit à la perte
de l’outil de production, soit à des conséquences importantes pour
les travailleurs ou les personnes du public, soit aux deux, sont bien
entendu reconnus, au moins sur le plan conceptuel, depuis long-
temps. Mais, pour l’industrie nucléaire, c’est l’accident de fusion du
cœur de la tranche 2 de la centrale de Three Mile Island en mars
1979 qui a été le point de départ de développements particulièrement
importants dans l’utilisation de l’expérience d’exploitation.
Cet accident a été, en effet, le révélateur d’une situation non satis-
faisante à cet égard dans la mesure où, environ 18 mois plus tôt,
un incident précurseur avait affecté une centrale analogue, celle de
Davis Besse. Il est alors apparu que l’accident de Three Mile Island
aurait pu être évité si cet incident précurseur avait conduit à une
meilleure prise de conscience des exploitants d’autres centrales sur
les risques associés à l’ouverture des vannes de décharge du pres-
suriseur. Depuis lors, la recherche d’incidents précurseurs est
devenue une préoccupation constante à la fois des exploitants
d’installations nucléaires et des organismes de sûreté, et les
échanges d’informations sur les incidents importants, tant entre
exploitants qu’entre organismes de sûreté, se sont largement déve-
loppés, de telle sorte que l’expérience des uns puisse être connue,
utilisée, voire enrichie par celle des autres. C’est ainsi, par exemple,
qu’a été mise en place, au sein de l’Organisation de coopération et
de développement économiques (OCDE) – à laquelle appartiennent
tous les pays ayant de larges capacités électronucléaires en dehors
des pays d’Europe de l’Est – une banque de données dénommée
Incident Reporting System (IRS) à laquelle les pays de l’OCDE
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire
participent sur une base volontaire. La France déclare chaque année
une bonne dizaine d’incidents à la banque IRS en fournissant les
éléments techniques détaillés permettant de bien comprendre le
déroulement de chaque incident et l’analyse qui en a été faite. De
plus, un groupe de travail de l’OCDE mène des études approfondies
sur les apports de l’expérience d’exploitation, en regroupant par
exemple les types d’incidents pour tenter d’en tirer des enseigne-
ments à caractère général.
Toutefois, malgré la mise en œuvre de moyens importants, la tâche
n’est pas facile car, d’une part, l’expérience d’exploitation est extrê-
mement riche en événements divers intéressant la sûreté et, d’autre
part, les grands accidents surviennent généralement à la suite de
successions d’anomalies qui auraient été considérées a priori
comme très peu vraisemblables, voire complètement impossibles.
Cela implique qu’il faut éviter de s’engluer dans un processus lourd
et non maîtrisé où les problèmes de sûreté les plus importants ne
seraient pas clairement identifiés et traités comme tels et, en même
temps, conserver à tout instant la vigilance nécessaire et le souci
de l’anticipation.
Le contexte français est à cet égard bien particulier, avec un seul
exploitant disposant de séries de tranches identiques ou analogues
(à la fin de 1995, 34 tranches de 900 MW et 20 tranches de 1 300 MW
du type REP licenciés par Westinghouse). En comptant à partir de
la première divergence de chaque réacteur, l’expérience accumulée
représente plus de 400 années-réacteur pour les tranches de 900 MW
et plus de 100 années-réacteur pour les tranches de 1 300 MW
(figure 4). Cette situation permet de disposer d’une masse impor-
tante d’informations cohérentes, ce qui est un avantage important,
par exemple, pour l’obtention de données pertinentes sur la fiabilité
des matériels et les erreurs humaines ; ces données peuvent être
utilisées en tant que telles ou introduites dans les études probabi-
listes de sûreté, améliorant par là même la représentation quantifiée
que l’on peut avoir de la sûreté des tranches. Mais cette médaille
a son revers, surtout si l’on considère que la plupart des tranches
ont été mises en exploitation entre 1980 et 1990, donc sur une durée
restreinte. Il devient alors crucial d’identifier au plus tôt tout pro-
blème qui pourrait affecter au même moment une part notable du
parc électronucléaire français dès lors que la défaillance simultanée
des tranches concernées conduirait à des difficultés de gestion de
l’approvisionnement électrique du pays (les trois-quarts de l’élec-
tricité consommée en France sont produits par des centrales électro-
nucléaires). Dans le même sens, toute modification des installations
du parc électronucléaire se doit d’être engagée avec rigueur et
précaution.
Figure 4 – Expérience d’exploitation du parc électronucléaire
français
B 3 810 − 7
ANALYSE DE SÛRETÉ PRINCIPES ET PRATIQUES _____________________________________________________________________________________________
Cette nécessité d’une organisation de l’utilisation de l’expérience
d’exploitation ne s’est toutefois imposée que peu à peu. Le
démarrage des premières tranches du programme électronucléaire
français a en effet généré un nombre considérable d’idées d’amé-
lioration, dont plusieurs centaines concernant la sûreté. Or, derrière
chaque idée d’amélioration, il y a nécessité d’études, le cas échéant
d’approvisionnements et de travaux de mise en place effective sur
un nombre important de tranches dans des conditions de sûreté
correctes, ce qui suppose des essais, non seulement pour une modi-
fication particulière, mais aussi pour des ensembles de modifications
afin de vérifier l’absence d’effets négatifs, etc. De plus, à chaque
instant, la formation des personnels et les procédures d’exploitation
et de maintenance doivent être, pour chaque tranche, en conformité
avec l’état de la tranche. Ce fourmillement d’idées a tout naturelle-
ment conduit à une situation assez inextricable où il est devenu bien
difficile de mener de façon prioritaire les améliorations réellement
importantes pour la sûreté.
Aussi, en accord avec la direction de la Sûreté des installations
nucléaires, EdF a développé une politique de lots de modifications,
chaque lot de modifications faisant l’objet d’une mise en place et
d’essais sur une tranche pilote avant d’être généralisés dans les
années qui suivent aux autres tranches concernés. Seules certaines
modifications considérées comme vraiment urgentes font l’objet
d’une programmation individuelle spécifique car il faut bien
comprendre que, désormais, pour le tout-venant des améliorations,
entre le début de la recherche d’une solution et sa mise en place
effective sur la dernière des tranches concernées dans le cadre des
lots de modifications, le délai est au moins de l’ordre de la dizaine
d’années.
Or, l’expérience d’exploitation apporte régulièrement des sur-
prises désagréables, c’est-à-dire des défaillances absolument non
prévues, au moins sous la forme où elles apparaissent.
On peut illustrer ce sujet par l’exemple de la fissuration des adap-
tateurs, des couvercles des cuves de REP français ; ces adaptateurs,
qui permettent en particulier le passage des tiges de commande des
barres de contrôle, étaient réalisés en Inconel 600, matériau dont la
sensibilité à la corrosion sous tension était bien connue, ne serait-ce
qu’à cause des corrosions déjà constatées sur les tubes des généra-
teurs de vapeur réalisés dans le même matériau. Mais les études lais-
saient à penser que, si la corrosion des adaptateurs devait se manifester,
elle apparaîtrait préférentiellement sur l’évent de la cuve, situé au centre
du couvercle. Aussi, l’apparition d’une fuite au niveau d’un adaptateur
périphérique lors de l’épreuve hydraulique décennale de la cuve du réac-
teur Bugey 3, a entraîné la nécessité de définir rapidement une stratégie
face à une situation totalement imprévue pouvant a priori affecter de
façon plus ou moins étendue une part notable des tranches du parc élec-
tronucléaire français. En termes de sûreté, si l’apparition de fissuration
longitudinales dans les adaptateurs n’entraînait de risques qu’après
traversée complète d’un adaptateur (corrosion de l’acier noir de la cuve,
corrosion de la soudure de liaison de l’adaptateur à la cuve), la
découverte (qui ne s’est pas produite) d’une fissuration circonféren-
tielle, susceptible de conduire à terme à l’éjection d’un adaptateur avec
la remontée de la barre de contrôle correspondante, aurait entraîné la
possibilité d’une situation accidentelle non étudiée dans les rapports de
sûreté des tranches. Il faut ajouter que, lors de la découverte de la fuite
de la cuve de Bugey 3, l’exploitant ne disposait pas de moyens d’inves-
tigation réellement adaptés au contrôle systématique des adaptateurs
et encore moins de procédés de réparation validés ; de plus, toutes les
tentatives menées pour expliquer les phénomènes de corrosion
constatés en fonction de la température supposée de l’eau du circuit
primaire au niveau des adaptateurs ou de la sensibilité plus ou moins
grande du matériau utilisé ou de l’état des contraintes pour les différents
adaptateurs ont été au moins en partie infirmées par l’expérience. La
situation a, en définitive, été traitée d’abord de façon empirique par des
contrôles et des réparations dans des conditions difficiles avec, en paral-
lèle, la définition et la mise en place de moyens de surveillance
améliorés pendant le fonctionnement des tranches (détection des fuites
au niveau du couvercle). Progressivement, des moyens plus industriels
ont été développés pour permettre le contrôle de tous les adaptateurs
avec, si nécessaire, leur réparation dans des conditions convenables, et
EdF a pris la décision de remplacer, à terme plus ou moins éloigné,
les couvercles des cuves, en changeant le matériau des adaptateurs.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
B 3 810 − 8 © Techniques de l’Ingénieur, traité Génie nucléaire
Le problème des adaptateurs peut donc aujourd’hui être considéré
comme bien maîtrisé. Mais la vigilance et le souci d’anticipation
conduisent maintenant l’exploitant et les organismes de sûreté à s’inter-
roger sur les actions à mener concernant d’autres zones réalisées éga-
lement en Inconel 600. D’ores et déjà, certaines de ces zones font
l’objet de contrôles plus approfondis, au moins par sondages sur cer-
taines tranches.
La fuite d’un adaptateur du couvercle de la cuve du réacteur
Bugey 3 est un cas d’incident précurseur particulièrement simple à
mettre en évidence et, en définitive, à maîtriser dès lors que les
moyens industriels nécessaires ont été développés. Mais, dans la
mesure où il n’est pas possible d’étudier avec toutes les méthodes
disponibles tous les incidents qui se produisent, ne serait-ce que sur
les tranches françaises, et où il est clair que, parmi les incidents,
beaucoup ne sont en fait pas porteurs d’enseignements vraiment
nouveaux en termes de sûreté, la question du choix pratique des
incidents qui feront l’objet d’analyses réellement approfondies se
pose. Ce choix reste en partie subjectif, mais une première approche
conduit à s’interroger plus particulièrement sur :
— les incidents non couverts par les études de conception ;
— les incidents proches de ceux étudiés dans les rapports de
sûreté, de probabilité estimée inférieure à 10–2 par an et par tranche,
ou ceux susceptibles de conduire à un incident de ce type, éventuel-
lement dans d’autres conditions d’exploitation ;
— les cumuls de défaillances dans des systèmes importants pour
la sûreté, qu’ils soient dus des défauts aléatoires, à des défauts de
mode commun ou à des interactions entre systèmes ;
— les incidents faisant apparaître des erreurs humaines résultant
d’une méconnaissance du comportement de l’installation ou des
exigences de sûreté.
Une fois décidée, une analyse approfondie suppose de rassembler
tout d’abord un maximum d’éléments pour disposer d’une bonne
connaissance du déroulement précis de l’incident concerné (ou des
incidents concernés, une analyse approfondie pouvant s’intéresser
à des incidents analogues ayant affecté une installation ou diffé-
rentes installations) ainsi que du comportement des équipements
et des hommes.
Une première démarche consiste alors à examiner si, dans
d’autres circonstances, l’incident (ou les incidents) examiné(s)
n’aurai(en)t pas pu avoir des conséquences beaucoup plus
sérieuses ; cela constitue la recherche de voies de dégénérescence
que l’on peut traduire par l’expression anglo-saxonne what if ?.
Une deuxième démarche consiste à rechercher les origines pro-
fondes de l’incident (ou des incidents) en remontant aussi loin que
possible, tant pour les équipements que pour les procédures et les
comportements humains.
Une troisième démarche consiste à appliquer les causes profondes
identifiées à d’autres équipements, systèmes ou situations, pour
examiner si elles ne peuvent pas être à l’origine d’enchaînements
aux conséquences complètement différentes et potentiellement
graves.
Qu’elle soit menée directement par l’exploitant au titre de sa
responsabilité fondamentale en matière de sûreté ou par les orga-
nismes de sûreté au titre de l’examen critique des conclusions d’un
exploitant, une analyse approfondie d’incident(s) va s’étaler sur une
certaine durée. Il importe de conserver tout au long de l’analyse le
souci d’une réactivité suffisante aux problèmes nouveaux de sûreté
que l’analyse ferait apparaître. Il faut se rappeler à tout moment
qu’entre l’incident de Davis Besse et l’accident de Three Mile Island,
il ne s’est écoulé qu’environ 18 mois et que, comme on l’a vu plus
haut, la mise en œuvre de modifications matérielles des installations
nécessite en général des délais importants. Il est, en revanche,
heureusement souvent possible d’améliorer la sûreté à court terme
par des dispositions de caractère administratif telles que la mise en
place de consignes spécifiques, par des dispositions simples
d’exploitation, par exemple associées à des mesures complémen-
taires, même si, à l’inverse, les dispositions correctives définitives
peuvent être très longues à déterminer et à mettre au point.
_____________________________________________________________________________________________ ANALYSE DE SÛRETÉ PRINCIPES ET PRATIQUES
Il est possible d’illustrer ce qui précède par quelques indications
à propos d’incidents qui se sont produits dans des REP français et
étrangers dans des conditions spécifiques d’exploitation où, le réac-
teur étant à l’arrêt, le circuit primaire était partiellement vidangé
jusqu’au niveau des tuyauteries des boucles du circuit primaire. Ces
incidents ont mis en évidence un risque notable d’interruption du
refroidissement du cœur du réacteur à l’arrêt dans ces conditions
spécifiques d’exploitation où le circuit primaire du réacteur d’une
tranche de 900 MW ne contient qu’environ 70 m3 d’eau dont 45 m3
d’eau dans la zone du cœur du réacteur ; en cas d’interruption du
refroidissement par le circuit de refroidissement à l’arrêt, trois jours
après l’arrêt du réacteur, le délai nécessaire pour porter ces 45 m3
d’eau de 40 oC à l’ébullition est de l’ordre de 15 à 20 min ; au bout
d’un mois d’arrêt, la puissance résiduelle du cœur du réacteur a décru
mais le délai avant ébullition ne dépasse encore guère 40 à 45 min.
Aucun envoi automatique d’eau dans le circuit primaire n’a été prévu
à la conception des tranches pour traiter une telle situation.
Exemple : un incident significatif de ce type s’est produit à la
tranche 1 de la centrale de Blayais en mais 1983 ; l’isolement intempes-
tif de la mesure du niveau d’eau dans la cuve a permis une baisse exces-
sive de ce niveau, entraînant le dénoyage de l’entrée d’eau dans le cir-
cuit de refroidissement à l’arrêt, l’arrêt du refroidissement du cœur du
réacteur pendant deux heures et une augmentation de 20 oC environ de
la température de l’eau du circuit primaire (le réacteur était à l’arrêt
depuis 93 j). Un incident analogue s’était déjà produit à Fessenheim en
décembre 1977 et avait conduit à des actions correctives, essentiel-
lement de type administratif (vérification du lignage de la mesure du
niveau d’eau dans la cuve, limitation du débit de vidange de l’eau du
circuit primaire, clarification des procédures et formation des
opérateurs).
D’autres incidents concernant le refroidissement du cœur du réacteur
à l’arrêt se sont produits dans les tranches françaises dans les années
qui ont suivi l’incident de Blayais 1, ainsi que dans des tranches
américaines ; le rapport, diffusé en novembre 1986, des travaux d’un
groupe mis en place au sein de l’OCDE à ce sujet fait état de 19 rapports
de la banque IRS concernant des baisses de niveau de l’eau du circuit
primaire, réacteur à l’arrêt.
Ceci a conduit EdF à renforcer les dispositions de prévention d’une
situation de défaillance du refroidissement, notamment par la mise
en attente d’un moyen d’appoint d’eau au circuit primaire et, en 1988,
la mise en place d’un deuxième moyen de mesure du niveau d’eau
dans la cuve, utilisant une technique différente de celle de la mesure
existante. Pendant ce temps, de nouveaux incidents se sont produits
aux États-Unis, avec en particulier une interruption du refroidis-
sement du cœur du réacteur pendant 1 h 30 à Diablo Canyon 2 en
1987, entraînant un niveau élevé de radioactivité dans l’enceinte de
confinement. EdF a alors défini en 1989 des prescriptions
complémentaires aux spécifications techniques d’exploitation,
portant à la fois sur la prévention (notamment la fixation d’un délai
minimal avant l’ouverture du circuit primaire), la surveillance
(notamment le suivi des paramètres de fonctionnement du circuit
de refroidissement à l’arrêt) et la limitation des conséquences
(notamment la disponibilité de deux files d’appoint d’eau par gravité
et le maintien du confinement), puis à lancer, après la publication
en 1990 des résultats des études probabilistes de sûreté relatives
aux tranches françaises – qui mettaient en évidence l’importance des
situations à l’arrêt –, un programme complet d’études et d’essais.
De nouveaux incidents en 1993 et 1994 ont conduit EdF à s’interroger
plus fondamentalement, sous la pression des pouvoirs publics, sur
la possibilité d’éviter au moins en partie les configurations spéci-
fiques d’exploitation avec un niveau d’eau minimal dans le circuit
primaire du réacteur à l’arrêt alors que le cœur du réacteur est dans
la cuve. De plus, EdF a prévu la mise en place sur toutes les tranches,
d’ici 1998, d’un système d’appoint d’eau automatique dans le circuit
primaire, avec des dispositions spécifiques permettant d’assurer la
sécurité des travailleurs en cas de mise en service de ce système.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire
5. Facteurs humains
et culture de sûreté
L’importance des facteurs humains dans la sûreté des installations
industrielles est, d’une certaine façon, une évidence. L’expérience
montre, en effet, que les grands accidents ont généralement été le
résultat de combinaisons de défaillances ou d’insuffisances à la fois
matérielles et humaines. Mais il ne faut pas oublier le rôle tout à
fait positif, bien que moins souvent souligné, joué par les hommes
dans la récupération de situations qui auraient pu conduire à un
accident ; il existe de nombreux exemples de telles actions positives.
Il est, en tout état de cause, beaucoup plus difficile d’apprécier a
priori le comportement des hommes que d’estimer celui des équi-
pements et des structures ; il est aussi beaucoup plus difficile de
discuter des défaillances humaines ayant conduit à un incident et
de leurs causes profondes que de discuter de la possibilité et de
l’amélioration de matériels. Il est néanmoins tout à fait essentiel de
traiter ces questions dans le cadre de l’analyse de sûreté des instal-
lations nucléaires et il est pour cela indispensable de distinguer
l’erreur humaine de la faute caractérisée.
Comme au paragraphe 4, c’est l’accident de Three Mile Island qui
a été le point de départ de réflexions sur certains sujets relevant des
facteurs humains au sens large. L’analyse de cet accident a en effet
montré en particulier l’incompréhension des opérateurs devant le
comportement du réacteur, compte tenu de la formation qu’ils
avaient reçue et de l’instrumentation dont ils disposaient. De là,
datent des interrogations beaucoup plus précises sur la formation
des opérateurs, sur la présentation des informations en salle de
conduite (des modifications importantes ont d’ailleurs été réalisées
sur les tranches françaises), mais aussi sur les procédures mises à
la disposition des opérateurs ou sur la façon d’aider ceux-ci en cas
de situation difficile de façon à constituer une forme de redondance
humaine (mise en place en France d’ingénieurs de sûreté appelés
en salle de conduite en cas de difficulté).
Dès lors, la discussion sur les problèmes de sûreté, initialement
menée entre ingénieurs, s’élargit déjà à d’autres disciplines telles
que l’ergonomie pour l’analyse des interfaces homme-machine, y
compris la présentation des procédures. Avec l’analyse de la forma-
tion, on entre dans un domaine encore plus délicat car il touche à
la vie de l’entreprise et à celles d’individus : quelle formation initiale
et quelle formation interne ? pour quels métiers et quelles évolutions
de carrière ? On pourrait certes imaginer une forme de permis de
conduire une centrale électronucléaire, mais ce n’est pas la voie qui
a été suivie en France jusqu’ici, compte tenu du contexte favorable
que représente l’exploitation du parc des centrales électronucléaires
par un seul organisme ; par contre , les plans de formation mis en
œuvre par EdF ont été examinés par les organismes de sûreté en
s’appuyant sur des observations menées dans les centres de for-
mation et dans les centrales ainsi que sur l’analyse de l’expérience
d’exploitation qui permet de mettre en évidence des défauts de for-
mation.
Il serait bien sûr réducteur de limiter les problèmes de sûreté liés
aux facteurs humains à des questions de formation ou d’ergono-
mie des salles de conduite. Il suffit pour s’en convaincre de penser
un instant à la complexité de l’organisation d’un arrêt de tranche
où des centaines d’intervenants, appartenant le plus souvent à de
nombreuses entreprises extérieures, sont chargés de réaliser en un
temps aussi court que possible des contrôles, des essais, des
modifications de l’installation, impliquant en particulier des
consignations, la mise en place de dispositifs provisoires spéci-
fiques, etc., d’où des difficultés de gestion du planning, ainsi que
des relations entre les équipes ou des matériels qui leur sont
nécessaires. Pendant ce temps-là, bien entendu, la sûreté de la
tranche doit rester assurée de même qu’après l’arrêt de tranche,
celle-ci doit redémarrer dans des conditions de sûreté bien
identifiées compte tenu des travaux qui ont été réalisés. Là encore,
comme pour la formation, les orientations générales méritent un
B 3 810 − 9
ANALYSE DE SÛRETÉ PRINCIPES ET PRATIQUES _____________________________________________________________________________________________

débat entre l’exploitant et les organismes de sûreté ; l’analyse de
sûreté devra s’appuyer le plus largement possible sur des
constatations in situ, en faisant bien attention d’éviter de transfor-
mer un cas particulier en une règle générale. Par exemple, dans le
domaine de l’intervention des prestataires extérieurs sur les sites,
des discussions en termes d’analyse de sûreté pourront avoir lieu
sur la formation à donner aux prestataires pour les sensibiliser aux
problèmes de sûreté que pourrait entraîner une intervention mal
menée, ou sur le contrôle exercé par EdF sur les prestataires de ces
prestataires (ou prestataires de deuxième niveau).
Le champ d’investigations est très vaste et l’analyse de sûreté
concerne aujourd’hui des domaines relevant très clairement du
management général des hommes. Mais, de même que le dévelop-
pement de procédures de plus en plus sophistiquées dans le cadre
de l’assurance de la qualité s’est avéré impuissant à empêcher le
renouvellement de certains types d’incidents, de même il serait
excessif de penser que l’amélioration du management puisse per-
mettre l’élimination des erreurs humaines. Autant il est nécessaire
de s’intéresser aux comportements humains, à l’organisation des
équipes, à leurs relations, pour améliorer la sûreté des installations
nucléaires, autant il serait dangereux de faire reposer trop
exclusivement la sûreté sur la compétence des hommes et de leur
encadrement. C’est pourquoi l’analyse de l’évolution de l’organisa-
tion de la maintenance, préconisée par EdF à la suite de divers inci-
dents survenus à la fin des années 80, a conduit à s’intéresser aussi
à des aspects tels que la requalification systématique des systèmes
de sûreté après intervention ou la répartition dans le temps des inter-
ventions menées sur des chaînes redondantes.
En définitive, la sûreté d’une installation nucléaire repose toujours
sur la présence de lignes de défense successives à l’égard des
diverses possibilités de défaillances matérielles ou humaines et, s’il
est intéressant de renforcer la ligne de prévention, cela ne doit en
général pas se faire au détriment des autres lignes de défense.
Dans le cadre des facteurs humains, il faut ajouter ici quelques
mots sur la notion de culture de sûreté. Cette notion a été intro-
duite sur le plan international à la suite de l’accident de Tchernobyl
pour lequel l’analyse a été pendant un certain temps limitée à la
seule mise en cause du comportement des opérateurs, avec le dia-
gnostic d’un manque total de culture de sûreté de leur part. C’est
à l’INSAG que revient le mérite d’avoir, dans son rapport
INSAG 4 [3], donné un contenu plus concret à ce concept et d’avoir
montré sa complexité dans la mesure où la réflexion indique qu’il
ne concerne pas que les seuls agents chargés de la conduite ou de
la maintenance d’une installation nucléaire (figure 5).

Figure 5 – La culture de sûreté [3]

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
B 3 810 − 10 © Techniques de l’Ingénieur, traité Génie nucléaire
_____________________________________________________________________________________________ ANALYSE DE SÛRETÉ PRINCIPES ET PRATIQUES

Dans la traduction française du rapport INSAG 4 [3], la culture de
sûreté est définie comme : « l’ensemble des caractéristiques et des
attitudes qui, dans les organismes et chez les individus, font que
les questions relatives à la sûreté des centrales nucléaires bénéfi-
cient, en priorité, de l’attention qu’elles méritent en raison de leur
importance ». Un des éléments clefs est constitué par « une habi-
tude générale de penser en termes de sûreté » qui implique « une
attitude de remise en question systématique, un refus de se
contenter des résultats acquis, un souci permanent de la perfec-
tion, et un effort de responsabilité personnelle et d’autodiscipline
de groupe en matière de sûreté ».
Autrement dit, les bonnes pratiques ne suffisent pas pour atteindre
un haut niveau de sûreté, si elles sont appliquées de manière
formelle. Au-delà de leur application stricte, il convient que : « toutes
les tâches importantes pour la sûreté soient exécutées correctement,
avec diligence, de manière réfléchie, en toute connaissance de cause,
sur la base d’un jugement sain et avec le sens des responsabilités
requis ».
De plus, la culture de sûreté ne concerne pas que les individus
en tant que tels ; elle concerne les organismes et tout particu-
lièrement les responsables de la politique. Comme l’indique le docu-
ment INSAG 4, « dans toute activité importante, la manière dont
agissent les individus est conditionnée par des exigences imposées
à un niveau supérieur. Le niveau le plus élevé où s’exerce une
influence sur la sûreté des centrales nucléaires est le niveau législatif,
où sont posés les fondements nationaux de la culture de sûreté.
Des considérations similaires s’appliquent au sein des orga-
nismes. Les politiques préconisées à un niveau élevé façonnent
l’environnement de travail et conditionnent le comportement des
individus. »
Au niveau des individus, la recherche de l’excellence dans le
domaine de la sûreté suppose :
— une attitude interrogative (compréhension des tâches à
accomplir, connaissance de ses responsabilités et de celles des
autres, appréciation des défaillances possibles et de leurs
conséquences, actions à mener dans un tel cas, etc.) ;
— une démarche rigoureuse et prudente (comprendre les procé-
dures, s’y conformer, se préparer à toute éventualité, prendre le
temps de réfléchir en cas de problème, solliciter une aide en cas de
nécessité, etc.) ;
— la reconnaissance du rôle de la communication (obtenir des
autres les informations utiles, transmettre des informations aux
autres, rendre compte des résultats de ses travaux et des anomalies
constatées, etc.).
Il est clair qu’ainsi définie, la culture de sûreté se prête plus à
l’auto-évaluation qu’à une appréciation dans le cadre de l’analyse
de sûreté. Il faut néanmoins rester vigilant aux manifestations de
défauts dans la culture de sûreté des organismes ou des individus
pour pouvoir préconiser en temps utile les mesures correctives
adaptées. Le rapport INSAG 4 fournit des listes de questions per-
mettant aux responsables des organismes gouvernementaux ainsi
qu’à ceux des organismes chargés de la conception, de l’exploitation
ou de la recherche, de s’interroger à froid sur leur niveau de culture
de sûreté ; plus à chaud, des défaillances pourront apparaître lors
de l’analyse d’incidents.
6. Conclusion
Le texte qui précède a décrit diverses approches utilisées pour
apprécier la sûreté d’une installation nucléaire. Ces approches
concourent évidemment au même but ; il est à cet égard important
que le jugement qui peut être porté sur la sûreté d’une installation
corresponde bien à une vue globale de celle-ci. Une analyse de
sûreté donne in fine un tableau des risques résiduels, permettant
la prise de décisions, de telle sorte que les efforts essentiels soient
bien mis de façon prioritaire sur les problèmes les plus importants.
Il faut bien comprendre à ce sujet qu’une analyse de sûreté est
faite en fonction des connaissances existantes, ce qui constitue une
limitation pouvant conduire à prendre, dans le domaine des situa-
tions examinées, des marges de sécurité importantes. Mais l’analyse
de sûreté va ainsi générer des questions du domaine de la recherche
appliquée ou plus fondamentale, en vue d’améliorer les connais-
sances, de mieux connaître les marges de sécurité, les phénomènes
impliqués lors de situations accidentelles, etc.
À l’inverse, avec le développement des connaissances, il peut être
envisagé de concevoir de nouvelles installations présentant un
niveau de sûreté significativement amélioré. Ainsi, dans le domaine
des REP, l’accident de Three Mile Island a entraîné des recherches
approfondies sur les situations accidentelles avec fusion du cœur ;
quinze ans plus tard, l’amélioration des connaissances permet
d’afficher pour les réacteurs qui seront construits au début du XXIe
siècle, un objectif ambitieux limitant de façon drastique les
conséquences radiologiques d’accidents avec fusion du cœur au
voisinage immédiat du site.
Il convient d’avoir toujours à l’esprit cette interaction permanente
entre niveau de sûreté et état des connaissances auquel participent
la recherche, les études approfondies et l’expérience d’exploitation.

Références bibliographiques

[1] ICRP Publication 60. Recommandation of the
International Commission on Radiological
Protection (1990).
[2] AIEA. – Principes fondamentaux de sûreté
pour les centrales nucléaires. Collection
Sécurité, no 75, INSAG 3 (1990).
[3] AIEA. – Culture de sûreté. Collection Sécurité,
no 75, INSAG 4 (1991).
[4] AIEA. – Potential exposure in nuclear safety. [7] AIEA. – Convention sur la sûreté nucléaire.
INSAG 9 (1995). Collection juridique, no 16 (1994).
[5] AIEA. – Defence in depth in nuclear power [8] EPS 900 MWe – Rapport de synthèse, avril
plant safety. INSAG 10 (à paraître). 1990.
[6] GPR/RSK (Groupe permanent chargé des [9] EPS 1300 MWe – Rapport de synthèse, mai
réacteurs nucléaires/Reaktorsicherheitskom- 1990.
mission) Proposal for a common safety [10] RASMUSSEN (N.C.). – Reactor safety study.
approach for future pressurized water reac- WASH 1400 (NUREG 75/014).
tors (adopted during the GPR/RSK common
meeting on may 25th, 1993).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire B 3 810 − 11