3.2.7. L'Accident Maximum Crédible : la Communication de Clifford Beck à Genève en 1958

Comme indiqué plus haut, la sûreté dans les années 1955-1958 est marquée, principalement aux Etats-Unis et en Grande-Bretagne, par l'évaluation des pires conséquences d'un accident de réacteur. Les interventions des spécialistes lors de la première conférence de Genève en 1955, comme celle de Parker et Healy ou celle des Britanniques W.J. Marleyet T. Fry, «Radiological Hazards from an Escape of Fission Products and the Implications in Power Reactor Location», ou le rapport WASH 740 de 1957 l'indiquent clairement. Toutes ces communications avaient suscité l'émoi de la communauté nucléaire, voire une certaine réprobation. C'est pourquoi une tentative de limiter ces hypothèses se fait jour à la fin des années cinquante, dont la plus célèbre est le concept de «Maximum Credible Accident».

La notion d'accident maximum crédible est présentée pour la première fois par Clifford Beck de la «Division of Licensing and Regulation» de l'USAEC, assisté de Mann and Morris, tous deux membres de la «Division of Inspection» de l'AEC lors de la seconde conférence des nations unies sur l'utilisation pacifique de l'énergie atomique tenue à Genève en 1958. Leur communication est intitulée «Sûreté des réacteurs, Evaluation des risques et Inspection.» Son introduction montre à nouveau la vision très claire des représentants américains sur la question de la sûreté : l'essentiel des problèmes qui fondent la sûreté sont posés, que ce soit la nature et la gravité des dangers, les questions qu'il est nécessaire de se poser à la conception mais aussi en exploitation, la nécessité de prendre des marges de sécurité étant donné la faiblesse des connaissances, ou encore la définition des critères d'évaluation et de contrôle :

‘«Dans la prévention du rejet et de la dispersion des produits de fission radioactifs, les facteurs les plus importants sont la connaissance technique des caractéristiques du réacteur, des mesures de sûreté intrinsèques ou de leur absence dans la conception du réacteur, et la surveillance et le contrôle de l'exploitation du réacteur. En étant conscient des lacunes actuelles dans les connaissances technologiques et du danger potentiel sérieux d'un accident nucléaire, une approche prudente a été développée pour la conception des nouveaux réacteurs, qui contribue aussi à la sûreté en exploitation. Les procédures et critères utilisés par l'AEC américaine dans l'implantation, l'évaluation des dangers et l'inspection des réacteurs ont été adoptés avec ces facteurs à l'esprit.» 139

Les auteurs exposent que les dangers potentiels sont énormes dans le domaine nucléaire, non par le risque d'explosion d'un réacteur mais par la possibilité de rejet et de dispersion de produits de fissions accumulés au cours de l'exploitation, WASH 740 en donne la mesure. C'est pourquoi la sûreté est l'un des premiers objectifs à la conception : des mesures de sûreté intrinsèques telles que coefficient de température négatif 140 , stabilité thermique et nucléaire sont incorporées à ce stade. Les auteurs insistent ensuite sur l'attention à porter à l'exploitation : la formation des opérateurs, des procédures soignées, un contrôle effectif par le management, une claire définition des responsabilités, en fonctionnement normal mais aussi pour les situations d'urgence, sont les conditions nécessaires à la sûreté. Mais étant donné les lacunes existant dans les connaissances techniques et le danger potentiel si sérieux d'un accident de réacteur, une approche prudente a été développée, notamment par l'introduction de multiples systèmes de sûreté indépendants tels que les structures de confinement très résistantes. Il est nécessaire d'effectuer des recherches dans un certain nombre de domaines et d'arriver à une meilleure connaissance des phénomènes, notamment pour alléger un certain nombre de ces mesures préventives, qui ont un coût, sans que cela amoindrisse pour autant la sûreté générale de l'installation.

Les auteurs, responsables à la Division de la Réglementation et des autorisations qui est chargée de l'analyse et de l'évaluation des dangers potentiels de l'installation et aussi de l'«adequacy» des mesures de sûreté prévues, livrent leur philosophie de l'évaluation de la sûreté ainsi qu'une définition de l'accident maximum crédible :

‘«Avant qu'une autorisation d'exploitation soit accordée, la décision fondamentale repose sur le fait qu'on a une assurance raisonnable (reasonable assurance) que l'usine peut être construite et exploitée sur le site proposé sans risque excessif (undue risk) pour la santé et la sûreté du public. Deux critères essentiels sont appliqués pour parvenir à cette décision pour chaque combinaison site-réacteur : (1) En fonctionnement normal, les effluents ne doivent pas engendrer des niveaux de radioactivité à la limite du site supérieurs aux niveaux maxima autorisés pour des expositions continues; (2) En cas d'accident, la radioactivité qui pourrait être rejetée, même dans le cas du pire accident dont la probabilité est considérée comme croyable, et dans les conditions de dispersion les plus pessimistes, ne doit pas engendrer des doses à l'extérieur du site qui soit supérieures aux doses critiques autorisées (une fois au cours de l'existence).» 141

Une originalité est que le réacteur et le site sont évalués ensemble, il s'ensuit que certaines déficiences ou inadéquations soit du réacteur soit du site peuvent être compensées par les caractéristiques de l'autre. En fonctionnement, c'est-à-dire hors accident, le critère est simple : il faut respecter des normes de rejet. En cas d'accident, la conception de l'installation doit être telle que la dose à la limite du site ne dépasse pas une valeur fixée. Le travail de vérification par l'autorité consiste alors à contrôler que les conséquences d'un accident particulier, le plus grave dont la probabilité est jugée croyable, ne dépassent pas cette norme. En d'autres termes, si les concepteurs peuvent prouver qu'en cas d'accident leur installation n'émet pas de rejets dépassant cette norme à la limite du site, l'autorisation peut être accordée. Mais tous les accidents imaginables ne sont pas pris en compte. Les accidents jugés trop improbables - car faisant intervenir des scénarios trop inimaginables, ou résultant d'un trop grand nombre de défaillances par ailleurs très peu probables… - sont exclus (sont pris en compte pour être rejetés). Dans une première phase donc, les analystes doivent être exhaustifs dans le recensement des scénarios possibles d'accident, imaginer tous les scénarios possibles, même les pires, indépendamment de leur réalité physique ou de leur probabilité. Dans un deuxième temps, on en évalue la crédibilité pour rejeter ceux qui ne sont pas considérés comme plausibles. L'idée de probabilité est sous-jacente, mais le jugement reste déterministe. La probabilité (occurrence) du pire accident auquel l'installation doit pouvoir faire face sans conséquences allant au-delà de normes fixées est évaluée suivant certaines règles considérées comme des certitudes : par exemple, on estime que dans telle et telle condition de température et de pression, une cuve de tel diamètre d'un acier de telle nuance ne peut pas exploser. Comme par ailleurs on s'est assuré que le système ne peut pas se retrouver dans des conditions allant au-delà de ces conditions, le risque de rupture de la cuve est exclu.

L'analyse et l'évaluation technique s'appuient sur le «Hazards Summary Report», le rapport sommaire de risque. Ce rapport se divise en un rapport préliminaire (Preliminary Hazards Report) puis un rapport final (Final Hazards Report). Ces rapports comportent la description des données du site, la description du réacteur, des systèmes auxiliaires, un résumé de l'administration et de l'organisation, les plans d'exploitation, les procédures, l'analyse de l'étendue des risques et de l'adéquation des protections. Il ne s'agit donc pas d'une simple copie des plans de la centrale établis par les bureaux d'étude, mais d'un document où le concepteur doit justifier l'ensemble des mesures qu'il a prises, au regard de la sûreté, afin de convaincre les membres des comités d'expert. La rédaction de ce rapport présente l'avantage d'obliger le concepteur à réfléchir à ces arguments, voire à modifier son projet si ses choix risquent de ne pas être satisfaisants, sachant qu'il aura à les défendre.

C'est à partir des informations fournies dans ces documents qu'un jugement doit être porté par les membres de la Commission quant à la validité des mesures de sûreté adoptées par les concepteurs pour la protection du public. La commission contrôle mais ne s'immisce pas dans le projet : son rôle se cantonne à vérifier que les données présentées par le requérant permettent d'aboutir à l'objectif fixé. D'ailleurs, Beck et ses collègues ajoutent que la question de la réglementation et la fixation des normes est prématurée. C'est à nouveau l'idée que l'organisme réglementaire ne doit pas entraver les progrès d'une technologie en développement par des règles figées. Mais la remarque porte de façon plus profonde sur la nature de toute réglementation : une réglementation est liée à un objet, à la connaissance que l'on peut en avoir, elle ne peut venir qu'a posteriori, comme jurisprudence. Or le développement de l'énergie atomique est encore récent. On ne dispose pas encore des éléments de jugement sur tous les types de réacteurs possibles et on n'est pas non plus capable de dire à l'avance que tel type de pratique est considéré comme acceptable. L'évaluation devra continuer de se faire au cas par cas :

‘«Ce jugement est un jugement subjectif, auquel on parvient par une évaluation judicieuse des nombreuses caractéristiques susceptibles d'engendrer les risques, et des compromis de sûreté qui doivent être faits dans de nombreux aspects de la conception et de l'exploitation. On pourrait supposer que des critères et des normes pourraient être inventés auxquels chaque installation pourrait être comparée. A la longue, il se peut qu'émerge un certain niveau de standardisation généralement acceptable pour la conception des réacteurs, au moins pour certains types particuliers de réacteurs, mais cette situation n'est pas encore possible pour l'instant. Tant qu'un trop petit nombre de réacteurs d'un même type sont construits et que l'expérience accumulée est insuffisante pour donner une indication claire de ces caractéristiques qui sont les plus acceptables pour le long terme, l'évaluation de la sûreté doit demeurer un jugement subjectif.» 142

Enfin, parce que la sûreté d'une installation ne dépend pas seulement des mesures de sûreté prises au stade de la conception mais aussi de la façon dont est exploité le réacteur, une tâche d'inspection doit être menée pour vérifier que l'installation construite l'est bien conformément au permis de construction, et déterminer comment le réacteur est effectivement exploité.

Un des points les plus importants de cette communication est la présentation de ce nouveau concept d'accident maximum prévisible ou crédible, qui jettera les bases des premiers critères officiels proposés par l'AEC. Etudiés à partir de 1959, ils seront publiés en avril 1962, au titre 10 du Code de Réglementation Fédérale article 100 (10 CFR Part 100, «Reactor site criteria»).

Comme pour toute activité le risque nucléaire est mesuré par le produit entre d'une part l'étendue des conséquences (l'étendue des dégâts) qu'un accident peut occasionner, et la probabilité d'occurrence de cet événement d'autre part. Pour toute activité nouvelle se pose le problème de la mesure, plus exactement de l'estimation, à la fois des probabilités d'occurrence des accidents étant donné le manque d'expérience d'utilisation de ces installations, et des conséquences, qui sont elles aussi difficiles à mesurer. Aucun accident ne s'étant produit, le fonctionnement des installations n'étant pas conforté par des années de pratique, on ne peut pas à ce stade mesurer mais seulement proposer une estimation. Dans le cas de l'énergie atomique, la difficulté est encore accrue du fait du potentiel catastrophique en termes de conséquences d'un accident, dont tout est fait par ailleurs pour limiter la probabilité d'apparition : en d'autres termes, les hypothèses les plus pessimistes en termes de conséquences aboutissent à des dégâts extrêmement grands pour des accidents dont on ne peut mesurer les probabilités mais dont on sait qu'elles sont très faibles. On est donc confronté à une forme indéterminée classique en mathématique du type 0 x infini.

La notion d'accident maximum crédible permet de s'affranchir d'un certain nombre d'accidents, considérés comme non croyables : on se contente d'examiner un certain accident très grave qui surviendrait suite à la défaillance d'un certain nombre de systèmes sans que toutes les causes possibles agissent simultanément. Pour une installation correctement conçue, construite et exploitée sa probabilité doit être très faible ; ses conséquences correspondent par contre à une contamination importante à l'échelon régional. Parmi la communauté nucléaire, tout le monde reconnaît que les conséquences d'un accident peuvent être terribles, mais que ces événements sont tellement improbables qu'il ne sert à rien d'aller au-delà d'une certaine probabilité considérée comme «crédible» : on s'abstient donc de faire un bilan exhaustif des risques, les plus improbables ayant des conséquences catastrophiques sont éliminés de l'analyse. Ce qui sous-tend qu'on fixe de manière plus ou moins arbitraire (mais elle semble pourtant très rationnelle) une limite aux analyses d'accident.

Deux éminents spécialistes de la sûreté des réacteurs au Massachusetts Institute of Technology soulignent également que le MCA est un accident imaginaire et qu'il est fort possible qu'il ne représente pas le pire accident concevable. 143 Il constitue simplement un cadre à l'intérieur duquel est étudiée la réponse de la machine à des conditions accidentelles. Ils expliquent que fréquemment, pour mener l'analyse plus loin, on postule une discontinuité dans les conditions accidentelles. On suppose, sans tenir compte de comment un accident pourrait survenir, que des quantités données des produits de fission accumulés dans le cœur sont relâchées à l'intérieur de l'enceinte. On examine ensuite les fuites des produits de fission à travers le confinement en supposant un taux de fuite maximum. Dans cette procédure on suppose que l'accident ne brise pas l'enceinte, en arguant de l'importance accordée à la robustesse du confinement. C'est donc une méthode pratique pour tenter d'appréhender, d'évaluer, de façon raisonnable les conséquences d'un accident grave, en s'affranchissant de l'étude de tous les scénarios possibles (et de leur probabilité) ayant pu conduire à un rejet donné dans l'enceinte. Toute une classe d'accident peut conduire à un rejet x. Ce rejet postulé raisonnablement sert alors de base de départ à l'évaluation des conséquences à l'extérieur de l'enceinte, en envisageant là aussi des possibilités de défaillance croyables, des fuites.

Dans les faits, les critères de sélection des sites associés aux centrales nucléaires s'appuyant sur le MCA toléreront un rejet d'environ 1000 Curie d'iode 131 et des produits de fission associés. 144

Clifford Beck, lors d'un congrès à Rome en juin 1959, réitère l'explication du dilemme dans lequel se trouvent les régulateurs. Le concept de MCA va leur permettre de se sortir d'embarras : «Si l'on considère les pires accidents concevables, aucun site, si ce n'est un site éloigné de zones peuplées par des centaines de miles, n'offrirait une protection suffisante. D'un autre côté, si l'on inclut dans la conception de la centrale des systèmes de protection contre tous les accidents possibles ayant des conséquences inacceptables, alors on pourrait argumenter que n'importe quel site, quelle que soit sa densité de population pourrait être satisfaisant… en supposant bien sûr que les systèmes de protection ne seraient pas mis en défaut et qu'aucun des accidents potentiellement dangereux n'ait été oublié. En pratique, une position intermédiaire entre ces deux extrêmes est retenue.» 145

C'est pour sortir de ce dilemme d'arbitrage entre éloignement et efficacité des systèmes de protection lors de l'évaluation des pires accidents qu'est né le concept d'accident maximum prévisible. Au-delà d'une certaine improbabilité, les accidents aux conséquences catastrophiques ne sont pas pris en compte. Les dispositifs de sécurité contribuent à cette improbabilité. En attendant de disposer d'une plus grande expérience de fonctionnement sur des réacteurs standardisés, et étant donné l'ampleur des conséquences d'un rejet de produits de fission, les régulateurs font porter un accent particulier sur l'efficacité des mesures de sûreté : «le degré de confiance dans les sécurités doit et de loin dépasser celui exigé dans tout autre processus industriel ordinaire.»146

Notes
139.

C.K. Beck, M.M. Mann, P.A. Morris, «Reactor Safety, Hazards Evaluation and Inspection», Proceedings of The Second International Conference on Peaceful Uses of Atomic Energy, Geneva 1958, P/2407, Vol. 11, United Nations, New York (1959), pp. 17-20.

Traduit par nos soins. L'original américain est le suivant : «In the prevention of release and dispersal of radioactive fission products, the major factors are technical knowledge of reactor characteristics, inherent safety features or lack thereof in reactor design, and supervision and control of reactor operation. In recognition of the present incomplete state of technological knowledge and of the serious potential hazard from a reactor accident, there has evolved a conservative approach to the design of new reactors that also contributes to safety of operation. The procedures and criteria used by the US Atomic Energy Commission in the location, hazards evaluation and inspection of reactors have been adopted with these factors in mind.»

140.

Un réacteur conçu de façon à présenter un coefficient de température négatif a tendance à freiner la réaction en chaîne lorsque la température augmente, ce qui est un facteur physique intrinsèque de sécurité.

141.

«Before a license for operation can be given, the basic decision is that there is reasonable assurance that the facility can be constructed and operated at the proposed location without undue risk to the health and safety of the public. Two essential criteria that are applied to any proposed site-reactor combination in arriving at this decision are : (1) In normal effluents of plant operation, the radioactivity released must not result in levels beyond the site boundary in excess of the maximum permissible levels for continuous exposures; and (2) from possible accidents, the radioactivity that might be released, even from the worst accident whose occurrence is considered credible, and under the most pessimistic dispersion conditions, must not result in doses beyond the site boundary in excess of permissible (once in a lifetime) emergency doses.» Ibid., p. 18.

142.

L'original américain est le suivant : «The judgment is a subjective one, arrived at from a judicious weighing of the many complex features from which hazards might arise and the safety compromises that must be made in many aspects of design and operation. It might be supposed that criteria and standards could be devised against which each proposed facility could be measured. In due course, there may emerge some degree of generally acceptable standardization in reactor design, at least for certain particular types, but that situation is not yet possible. As long as so few reactors of similar design are built, and the cumulative experience is insufficient to give clear indication of those features which are in the long run most acceptable, the evaluative judgment of the adequacy of safety must remain a subjective one.»

143.

Thompson, T. J., Beckerly, J. G., The Technology of Nuclear Reactor Safety, vol 1., MIT Press, 1964, p. 2.

144.

En Grande-Bretagne les critères d'évaluation des accidents, même s'ils ne se réfèrent pas explicitement à un rejet donné mais à des mesures d'urgence, sont également centrés sur ce rejet de 1000 Ci d'iode 131, jusqu'en 1965.

145.

Cité par David Okrent, op. cit., p. 32. La citation originale est la suivante : « […]If the worst conceivable accidents are considered, no site except one removed from populated areas by hundreds of miles would offer sufficient protection. On the other hand, if safeguards are included in the facility design against all possible accidents having unacceptable consequences, then it could be argued that any site, however crowded, could be satisfactory… assuming of course that the safeguards would not fail and some dangerous potential accidents had no been overlooked. In practice a compromise position between these two extremes is taken.»

146.

Ibid. «Tthe degree of confidence in the safeguards must far exceed that required in ordinary industrial process»