7.2.2. La communication de Farmer : l'approche probabiliste

Lors du même symposium de l'AIEA, Farmer présente un texte ⁴⁵⁸ appelé à devenir célèbre, intitulé «Siting Criteria, A New Approach», où il développe une nouvelle méthode d'évaluation de la sûreté d'un réacteur. Il ne se contente pas de l'influence d'un paramètre, la distance, mais tente une approche globale de la sûreté. Pour cela, il s'appuie sur l'analyse des probabilités de défaillance des divers systèmes qui pourraient mener à un accident.

La méthode décrite par Farmer dans sa communication, qui lance véritablement ce qu'on appelle l'approche probabiliste de la sûreté, est souvent résumée dans la littérature, mais les motivations qui en sont à l'origine le sont rarement. Pourtant Farmer les exprime sans ambages : il s'agit pour lui de réduire les marges de sécurité prises de façon trop «conservative» au moment où l'énergie nucléaire était encore un domaine inconnu. Or, affirme-t-il, les études de sûreté ont progressé avec le développement des réacteurs, et la connaissance de ces marges s'est parallèlement accrue. If faut donc trouver une méthode logique de décision, sachant que toute construction de réacteur suppose l'acceptation d'un certain risque. L'introduction est particulièrement importante. Farmer n'avance pas masqué, puisqu'il l'intitule «introduction - the need for change». Il montre que si, à l'époque du lancement du programme nucléaire, l'on avait besoin d'un nombre de sites limité et l'on disposait d'une certaine liberté de choix, il n'en est plus de même, dans les pays où la densité de population est élevée, si l'on veut développer de nombreuses centrales nucléaires et tirer profit des économies que cette filière énergétique promet de réaliser. Il est donc nécessaire de formuler et d'adopter des critères de sûreté quantitatifs pour l'implantation de ces installations : mais on ne peut se contenter de l'approche américaine séparant les accidents jugés «croyables» de ceux jugés «incroyables».

‘«Il n'y a pas de manière logique de faire la différence entre les accidents «croyables» et les accidents «incroyables». «L'incroyable» est souvent fait de la combinaison d'événements très ordinaires - par exemple, la panne ou la détérioration qui se produit dans une usine normale et ses instruments de mesure; et le «croyable» peut s'avérer extrêmement improbable. La voie logique pour traiter cette situation est de rechercher à évaluer tout le spectre des risques d'une façon quantitative, et le but de ce papier est de montrer comment ceci peut influencer le choix des sites pour les centrales nucléaires de puissance.» ⁴⁵⁹ ’

L'approche probabiliste proposée par Farmer consiste à mesurer le risque, c'est à dire à évaluer à la fois la probabilité d'occurrence d'un incident et ses conséquences. Pour chaque événement initiateur on doit rechercher les voies qui pourraient mener à un accident et calculer à la fois les probabilités de défaillances des matériels successifs qui y conduiraient, mais aussi les conséquences ultimes, en termes de rejet d'iode 131, l'isotope radioactif le plus dangereux pour la santé. On peut alors placer ces points sur un graphique avec en ordonnées les probabilités sous la forme de l'intervalle de temps moyen entre deux événements (en années de fonctionnement de réacteur), et en abscisses les quantités de rejets d'iode correspondantes. A partir de ce graphique probabilités-conséquences, Farmer propose un critère de sûreté sous la forme d'une ligne définissant une limite maximale aux probabilités d'occurrence de chaque rejet : plus les conséquences d'une défaillance sont importantes, plus sa probabilité doit être faible. Il définit ainsi une zone de risque élevé et une zone de faible risque.

Farmerillustre ensuite sa méthode probabiliste avec une «étude de défaillance» (fault study) associée à la perte des sources de refroidissement : les différentes séquences possibles à partir de cet incident initial sont envisagées et sont représentées sous forme d'arbre; les probabilités de chacune sont calculées, ce qui amène à déterminer un chemin critique pour cet accident. Trois autres exemples sont ensuite traités. La fiabilité du système de protection, chargé d'émettre un signal ou une action déclenchant la chute des barres, est évaluée en fonction de la probabilité que chacun de ses composants effectue ou non sa tâche (résistances, capacités, transistors, diodes, valves, amplificateurs…). La fiabilité des sources d'énergie peut être estimée par une méthode analogue, en s'appuyant sur des données de l'industrie conventionnelle. La fiabilité des structures pose un problème plus ardu, car comment évaluer la probabilité de rupture d'une cuve en béton ou en acier, dont on peut penser qu'elle se situe aux environs de 1 sur 100 000 ou 1 sur 1 000 000 au cours de la vie d'une installation ? Farmer montre qu'on peut résoudre la question en tenant compte de l'expérience acquise dans les autres techniques, qui utilisent des dizaines de milliers de ces structures depuis des dizaines d'années de par le monde. D'autre part, par des mesures constructives appropriées (la multiplication des câbles de précontrainte pour une cuve en béton), il serait possible de suivre l'évolution des caractéristiques de ces structures et de déceler les signes avant-coureurs d'une rupture brutale. Farmer refuse donc d'exclure la possibilité de rupture brutale des caissons comme le font les spécialistes des autres pays, et il cherche un moyen de mesurer sa probabilité, faible, mais réelle.

En ce qui concerne les aspects purement nucléaires, il faut noter que pour sa démonstration Farmer peut s'appuyer sur un travail mené depuis de nombreuses années de collecte de données statistiques et même d'un système de collationnement et de compte-rendu d'incidents (l'AHSB), mis en place dès 1959 en Grande-Bretagne. Les Français se rendront en mission en 1967 pour étudier ce système. La standardisation des réacteurs développés en Grande-Bretagne a sans aucun doute facilité la mise sur pied d'un tel système. L'AEC américaine, elle, renoncera à un système automatique de traitement des informations sur la fiabilité des réacteurs. Il lui aura alors coûté un million de dollars sans avoir abouti. En 1973, l'AEC limitera ce système par calculateur au stockage des informations sur les accidents (550 accidents auront été analysés à cette date).

Après ces trois exemples de calcul des probabilités associées à un risque, Farmer revient à la définition de son critère : le positionnement de cette courbe frontière entre risque acceptable et risque non acceptable. Or pour positionner cette droite, deux données sont nécessaires : sa pente, et un point référence (un couple probabilité-conséquence). Farmer expédie la question de la pente de la courbe en choisissant un coefficient de -1,5, de manière à réduire de trois ordres de grandeur la fréquence d'un événement dont la sévérité augmente de deux, considérant d'abord qu'un même risque en curie d'iode par an peut ne pas représenter un même nombre de cancers de la thyroïde; et ensuite, que la plupart des gens réagiraient plus négativement à un fort rejet qu'à un petit.

Quant à la position de sa courbe, Farmer estime que trois considérations principales doivent entrer en ligne de compte : la réaction possible du public après un accident, le nombre probable de cancers induits parmi la population par le rejet et le risque accru auquel est soumis un individu. Il choisit dans un premier temps de positionner un point référence, en prenant en compte ce que pourrait être la réaction du public en cas de rejet d'un millier de curies d'iode 131, ce qui ne serait pas un événement exceptionnel et n'aurait probablement pas de conséquences, comparé aux autres activités industrielles. Mais Farmer note qu'en cumulant les années de fonctionnement de tous les réacteurs, alors le produit probabilité par conséquence ne devient plus négligeable. Si dans les industries conventionnelles, aucun opérateur ou autorité ne prend de son plein gré des mesures pour anticiper ce genre de risque, pendant la durée de vie des installations soit trente ans, l'énergie nucléaire elle, cumulera avec les programmes de plusieurs pays pas loin de mille années x réacteurs, il est donc de son devoir d'envisager ce type d'événement. Pour simplifier la discussion sur les critères mathématiques, disons que Farmer fixe qu'un rejet de 1000 Curie d'iode ne doit pas survenir plus d'une fois sur ces 1000 ans, ce qui fixe le point de coordonnées (103 Ci, 103 reactor-years).

La courbe ainsi tracée, il calcule le nombre «probabiliste» de victimes pour chaque rejet en se donnant une distribution de population (4 millions de personnes autour du site) et en s'appuyant sur la relation linéaire proposée par la CIPR selon laquelle 1 rad génère 10 à 20 cancers par million de personnes. Estimant que seuls quelques points se situent près de la limite et donc contribuent au risque global, il tire de son critère un ordre de grandeur de 0.01 cancer par année de fonctionnement de réacteur pour un site urbain. Ceci conduit à une évaluation du risque individuel de 1 x 10-7 par an, qu'il compare aux risques couramment encourus : la probabilité de contracter naturellement un cancer de la thyroïde est de 10 à 100 fois plus élevée, tandis que celle de décéder d'un accident est 10 000 fois plus grande que celle due à l'existence de réacteurs nucléaires.

En conclusion de cette analyse qui se veut un moyen simple de définir un critère utilisable par les concepteurs et par ceux chargés de l'évaluation, Farmer tire un certain nombre de leçons. En premier lieu, il est vain d'essayer d'obtenir une plus grande précision dans l'estimation des rejets que la précision que l'on peut avoir de la probabilité du rejet; deuxièmement, tout système chargé de réduire les rejets de produits radioactifs d'un certain facteur doit avoir une fiabilité du même ordre de grandeur. Enfin, tout en admettant que la présentation faite ne représente le comportement d'un réacteur que de manière approximative, avec un facteur dix peut-être du fait des incertitudes dans les connaissances, il pose la question de savoir si, étant donné que les sites britanniques se distinguent au mieux par un facteur dix dans la densité de population, il est logique de faire correspondre un type de réacteur à un site donné. Question à laquelle il répond par la négative, concluant : «Il est d'ores et déjà clair en Grande-Bretagne que les réacteurs doivent atteindre un niveau de sûreté qui permettra une liberté complète dans le choix des sites et une situation semblable sera atteinte sous peu dans un certain nombre de pays. Quand cet objectif sera atteint, la catégorisation des sites disparaîtra et tous les réacteurs devront satisfaire à un niveau unique et élevé si ils doivent jouer un rôle significatif dans la production d'électricité. Des sites moins peuplés pourraient être réservés au développement de nouveaux types de réacteurs.» ⁴⁶⁰