Cinquante ans d’évolution des doctrines de sûreté
Dans le nucléaire, les doctrines de sûreté sont des philosophies et pratiques évolutives. Peu à peu ont été pris en compte les facteurs humains et organisationnels, notamment après des événements majeurs comme Three Mile Island et Fukushima. Aujourd’hui, l’enjeu est d’équilibrer l’anticipation des scénarios d’accidents et la capacité d’adaptation en temps réel.
La section technique 4 de la Sfen, le 16 mai 2024, a mis en perspective les évolutions des « doctrines » de sûreté depuis le lancement du programme électronucléaire. Le mot « doctrine » peut être trompeur s’il induit l’idée d’un ensemble rigide et intangible de règles a priori. Ce que laisse entendre, par exemple, le mot « doctrinaire ». Les doctrines telles qu’abordées se réfèrent plutôt à des philosophies, des démarches, des pratiques : le pluriel exprime que les sources en sont diverses et qu’elles ne sont pas figées. La sûreté nucléaire évolue, elle a une histoire et c’est son cheminement que les participants ont évoqué lors de cette rencontre.
Les principes de sûreté initiaux
Les préoccupations de sûreté ont émergé dès l’origine des programmes électronucléaires : lors de la première divergence, le 2 décembre 1942 à Chicago, un opérateur se tient prêt à couper à la hache une corde retenant la barre de contrôle. Voyant l’équipe tendue, le physicien d’origine italienne Enrico Fermi interrompit les opérations et la convia à déjeuner, le temps de retrouver la sérénité adéquate. En France, la « sécurité des piles » envisageait les accidents possibles des premiers réacteurs (Zoé, G1…), leurs conséquences, les mesures de prévention. Mais la sûreté n’était pas une discipline en soi et ne se distinguait pas de la conception et du pilotage. Sous l’autorité de l’amiral Hyman Rickover, à Shippingport (1957) en Pennsylvanie, le premier REP de puissance, héritage du Nautilus, visait à prouver la faisabilité technique de la production nucléaire d’électricité et à ériger les bases de la formation du personnel et des règles d’exploitation. C’est le premier réacteur doté d’une enceinte de confinement.
C’est à cette époque que furent élaborés les premiers principes de sûreté. Edward Teller, père de la bombe H, avait énoncé que le risque n’est pas l’explosion (« atomique »), mais la dispersion de produits de fission. Cette conscience détermine les trois fonctions de sûreté : maîtrise de la réactivité, évacuation de la puissance, confinement. La défense en profondeur a connu plusieurs étapes, de la formulation en trois niveaux de Jean Bourgeois jusqu’aux cinq niveaux que nous connaissons aujourd’hui. Le critère de défaillance unique a imposé la redondance. Il s’est peu à peu enrichi et complexifié, s’étendant aux systèmes support, équipements passifs, phases long-terme des accidents, etc.
Avec la construction des Réacteurs à eau pressurisée (REP), les années 1970 furent surtout centrées sur les accidents de dimensionnement. En grande partie conventionnels, ils couvrent une liste réduite de situations représentant les grands phénomènes physiques pouvant affecter la chaudière (rupture de tuyauteries, éjection de barre de commande, ouverture de soupape, etc.). Menée avec des hypothèses conservatives, leur étude vise à montrer que la chaudière réagit de manière stable et sûre aux perturbations, même sévères, et à dimensionner les systèmes de sauvegarde. Les brèches primaires formaient une catégorie à part, particulièrement étudiée. L’approche américaine fut importée en France avec Fessenheim. Plus tard, on semble être insensiblement passé des accidents « de dimensionnement » à des accidents « événements », en examinant leur déroulement dans tous les détails.
À partir des principes des barrières, de la défense en profondeur et des accidents de dimensionnement, les ingénieurs conçurent des REP stables et robustes, à tel point que 50 ans plus tard on en considère l’exploitation jusqu’à 60 ou 80 ans. Bien vite, les approches de la sûreté ont évolué, avec le retour d’expérience, les premières études probabilistes et le coup de tonnerre de Three Mile Island.
TMI : les choses ne se passent pas comme prévu
Le 28 mars 1979, l’alimentation normale des générateurs de vapeur du réacteur 2 de la centrale de Three Mile Island, en Pennsylvanie, défaille. L’alimentation de secours démarre, mais n’injecte pas dans les Générateurs de vapeur (GV) car deux vannes ont par erreur été maintenues fermées. Les GV s’assèchent en quelques minutes, le circuit primaire monte en pression et les actions automatiques s’enchaînent : arrêt d’urgence, ouverture des soupapes du pressuriseur, démarrage de l’injection de sécurité. Une soupape reste bloquée en position ouverte, ce que les opérateurs ne comprennent pas. La brèche en haut du pressuriseur fait monter le niveau d’eau enregistré par les capteurs et les opérateurs, qui ne connaissent pas ce phénomène, arrêtent l’injection de sécurité. Le primaire se vide jusqu’au découvrement du coeur (accéléré par l’arrêt des pompes primaires) puis sa fusion. La remise en route de l’injection de sécurité, après trois heures, met fin à l’accident. Les rejets radioactifs furent minimes grâce à l’enceinte de confinement.
Événement fondateur dans l’histoire de la sûreté, TMI est un accident de fusion du coeur d’un réacteur en quasi parfait état de marche. À partir d’un banal incident d’exploitation, l’homme et la machine ne se sont pas compris. Ni le scénario, ni ses conséquences ne figuraient dans le cadre intellectuel de la sûreté. Il a d’ailleurs fallu cinq ans et l’introduction de sondes dans la cuve pour réaliser que le coeur avait fondu (à 50 %). Ses suites furent nombreuses, à court et long terme, et il transforma l’approche de la sûreté : les Facteurs organisationnels et humains (FOH) et les questions de représentation mentale deviennent centraux. Les accidents qui surviennent ne sont pas forcément ceux qui sont prévus (d’où les procédures selon « l’approche par état ») et la fusion du coeur ne peut être exclue.
Études probabilistes de sûreté : les séquences complexes
Publiée en 1975 dans le rapport WASH 1400 (Rasmussen), la première étude probabiliste (EPS) comparait les risques de l’énergie nucléaire et d’autres activités. Après TMI, elles se généralisèrent. En France, après des études partielles de pertes de sources électriques ou de source froide qui ont donné lieu aux procédures dites H1 à H3, les premières EPS complètes furent conclues en 1990, l’IRSN menant celles du palier 900 MWe, EDF celles du palier 1 300 MWe. Elles attirèrent l’attention sur les risques dans les états d’arrêt, les séquences complexes de défaillances (parfois mineures comme à TMI), les défauts de mode commun, les systèmes support et les FOH.
Les EPS infléchirent l’appréhension de la sûreté et complètent depuis lors l’approche déterministe. Là où les études déterministes considèrent une liste finie de situations enveloppes, étudiées avec des hypothèses conservatives (par exemple le seul emploi de matériels classés), les EPS considèrent tous les initiateurs, toutes les ramifications des scénarios, l’ensemble des matériels utilisables (affectés d’une probabilité de défaillance) et les actions des opérateurs (avec un taux de réussite), selon des modélisations réalistes. D’abondantes données de fiabilité des matériels les ont confortées, grâce au nombre de réacteurs dans le monde et à la standardisation du parc français.
Elles sont aujourd’hui ancrées dans les pratiques de sûreté. Bien plus que dans la valeur absolue du résultat, leur intérêt réside dans la mise en évidence du poids relatif des familles d’événements et, le cas échéant, de séquences auxquelles on n’aurait pas pensé. Elles se sont étendues aux agressions (incendie, inondation, séisme) et à d’autres installations nucléaires. Elles demandent du jugement, pour sélectionner les arborescences (dont l’accroissement exponentiel pourrait devenir impraticable), introduire les modélisations physiques, le fonctionnement réel des installations, les FOH, et en tirer les enseignements appropriés.
Quand l’homme ne se laisse pas mettre en équation
Si la conscience du rôle de l’homme s’est manifestée dès l’origine, comme le montrent les exemples de Fermi ou de Shippingport, l’approche de la sûreté n’en fut pas moins d’abord technologique. Dans les années 1970, on s’est intéressé aux opérateurs sous l’angle de leur qualification et des procédures. À la fin de cette décennie, plusieurs accidents industriels, dont TMI, ont donné plus de poids au facteur humain, ainsi abordé dans les années 1980 sous l’angle du fonctionnement des équipes de quart, de l’Interface homme machine (IHM) et de l’automatisation (Airbus A320, réacteurs N4). D’autres catastrophes, comme celles de Bhopal, Challenger ou Tchernobyl, ont mis en exergue les organisations et la culture de sûreté qui marquèrent les années 1990. Le travail sur les organisations s’est poursuivi dans les années 2000 avec les systèmes de management qualité ou sécurité, les audits, la notion de leadership aussi. Encore accentuée dans les années 2010, cette tendance a conduit à l’hyper-régulation, voire « l’auditisme », qui empêchent de considérer la survenue de « cygnes noirs1 ». Les accidents qui surviennent (Fukushima, AF 447) n’auraient ainsi « pas dû se produire ».
Les facteurs humains sont passés de l’individu (un opérateur imaginaire exécutant scrupuleusement des procédures qui ont tout prévu) aux équipes, des équipes aux organisations, des organisations à la société, et en parallèle de systèmes déterministes à des systèmes sociotechniques complexes, aux interactions multiples, non toutes prévisibles et au demeurant évolutives. La résilience a pris une place croissante dans la réflexion, avec la conscience qu’une extrême optimisation aux conditions présentes ou prévues se paye d’une moindre adaptabilité, ou d’une moindre résilience, en cas d’imprévu.
L’alternative se situe aujourd’hui entre l’extension du champ de l’anticipation, le catalogue du prévu, ou le fait de se « préparer à n’être pas préparé », ce qui suppose de transférer des capacités du contrôle de l’amont (anticipation) vers le temps réel (capacité à réagir). Deux options se présentent donc : faire « toujours plus de la même chose » en prédéterminant des réponses à tous les scénarios et en augmentant la discipline et le contrôle ; ou bien reconnaître une irréductible imprévisibilité et entretenir les facteurs de résilience. La réflexion sur la maîtrise des risques conduirait à privilégier la seconde option, quand les évolutions de la société, dont l’exigence croissante de réassurance, l’injonction de contrôle total et la judiciarisation orientent vers la première, qui se traduit par une perte d’implication des individus.
Genèse des objectifs de sûreté de l’EPR : le hors dimensionnement dans le design
La définition des objectifs de sûreté de l’EPR s’est étendue du début des années 1990 à 2000. Alors que démarraient les derniers réacteurs de 1300 MWe et se construisait le palier N4, EDF et l’État engagèrent une réflexion sur le type de réacteurs qui succèderaient au parc. L’autorité de sûreté s’impliqua tôt, avec une lettre de la Direction de la sûreté des installations nucléaires (DSIN) en 1991, une autre en 1993 puis les « directives techniques EPR » en 2000.
L’exercice fut franco-allemand, du côté industriel comme des régulateurs, appuyé par les gouvernements. La convergence a demandé de la volonté car chaque pays cultive des dogmes en matière de sûreté très ancrés. Ceux-ci touchaient par exemple à la « fuite avant rupture » ou à la chute d’avion. La première question fut stratégique : conçoit-on un réacteur évolutionnaire ou révolutionnaire ? Le choix d’un réacteur évolutionnaire naquit de la conviction que l’expérience acquise permettait des progrès de sûreté significatifs en l’intégrant dans un concept de réacteur aux principes similaires. La réflexion sur la sûreté était en effet riche d’une décennie d’exploitation, de l’avènement des EPS, de la mise en place des procédures « hors dimensionnement » H et U, des leçons de TMI et Tchernobyl ainsi que d’une dizaine d’années de R&D sur les accidents graves à la suite de TMI, etc.
Trois grandes catégories d’objectifs se dessinèrent :
↦ réduire la probabilité de fusion du coeur, en tirant parti des leçons du REX et des EPS, en intégrant le « hors-dimensionnement » dans le design et en renforçant la protection contre les agressions ;
↦ limiter les conséquences radiologiques en cas d’accident grave, avec deux objectifs : (1) « élimination pratique » des séquences susceptibles de conduire à des rejets précoces et importants (phénomènes énergétiques) ; (2) les mesures de protection des populations doivent rester très limitées dans le temps et l’espace. L’« élimination pratique » fut définie en réunion du Groupe permanent réacteurs et de son homologue allemand, en 1992/1993 ;
↦ tirer parti des progrès des facteurs humains et simplifier l’exploitation.
Dans une lettre aux Directions régionales de l’industrie de la recherche et de l’environnement (DRIRE), la Direction de la sûreté des installations nucléaires (DSIN) les résumait en une phrase : « Un des objectifs en matière de sûreté, outre la réduction très significative des conséquences d’accidents graves, porte sur la simplification des conditions d’exploitation des réacteurs, qu’il s’agisse de conduite ou de maintenance ». Les objectifs de sûreté de l’EPR ont inspiré les standards de Western European Nuclear Regulators Association (WENRA2), puis de l’Agence internationale de l’énergie atomique (AIEA) et de la « déclaration de Vienne », même si leur déclinaison reste hétérogène, spécialement en matière d’accidents graves.
Fukushima : la nature et l’imprévu
Le 11 mars 2011, le séisme n’a que modérément affecté la centrale nucléaire de Fukushima-Daiichi : perte des alimentations électriques externes, démarrage des diesels de secours, arrêt automatique des réacteurs 1 à 3 en puissance, refroidissement selon les procédures prévues. Mais une heure plus tard, le tsunami détruisit la station de pompage, ce qui inonda la plateforme des réacteurs 1 à 4 sous plusieurs mètres d’eau et rendit inutilisable l’essentiel des équipements électriques (diesels, batteries, distribution, pompes, vannes motorisées, contrôle commande). Le refroidissement des réacteurs 1 à 3 a été successivement perdu entre le 11 et le 13 mars, entraînant la fusion des coeurs, des défaillances de confinement et de considérables rejets.
Cet accident a confirmé que l’inondation peut être un mode commun aux conséquences radicales. Les évaluations complémentaires de sûreté ont conduit à examiner la tenue des installations face à des agressions naturelles extrêmes et à leur cumul, à mettre en place un « noyau dur » de dispositions aptes à maintenir les fonctions de sûreté dans les situations les plus sévères, à compléter la défense en profondeur (ex. : source d’eau et diesel d’ultimes secours) et à créer la Force d’action rapide nucléaire (FARN), capable d’aider un site à gérer une crise de ce type. Elles ont aussi confirmé les objectifs de sûreté et la robustesse des EPR.
Cet accident a renforcé la place des aléas naturels dans la sûreté, croissante depuis plusieurs décennies. Si le séisme avait été, dès l’origine des programmes électronucléaires, au centre de la conception, ainsi qu’un certain niveau de protection face aux inondations et aux explosions, un retour d’expérience riche et varié a progressivement été intégré : hivers rigoureux de 1985et 1986 (« référentiel grands froids »), inondation de Blayais en 1999 (renforcement de la protection périphérique), colmatages de sources froides par des végétaux, méduses ou alevins, etc., demandant d’accroître la vigilance vis-à-vis de l’environnement naturel.
À l’instar de TMI, Fukushima rappelle aussi que l’approche de la sûreté visant à anticiper tous les scénarios et à en prévoir les parades trouve forcément des limites. La capacité d’adaptation des équipes face à une situation imprévue constitue un facteur déterminant de la gestion accidentelle. Avec l’appui des sciences humaines, une priorité de la sûreté, aujourd’hui, est de développer les conditions qui assureront cette capacité des équipes : cela s’anticipe.
La prochaine étape de l’évolution des doctrines de sûreté consiste peut-être, en un mouvement de retour aux sources, à rendre vivante une phrase d’une figure de la sûreté nucléaire en France, Jean Bourgeois :
« Toute action doit partir de l’idée simple que c’est in fine de l’exploitant lui-même3, aux prises avec ses installations, que dépendra la sûreté ; c’est donc à ce niveau qu’il faut agir et cette action sera d’autant plus efficace qu’elle aidera l’exploitant à bien faire son métier, plutôt que lui compliquer la tâche ».
1. La théorie du cygne noir, développée par Nassim Nicholas Taleb, décrit des événements imprévisibles et rares qui ont des conséquences majeures.
2. Association des autorités de sûreté nucléaire des pays d’Europe de l’Ouest.
3. Dans les CNPE [ndr].