10.1. La conception déterministe de la sûreté. La défense en profondeur

Au cours des années soixante dix, en même temps que l'adoption de la filière PWR pour le programme nucléaire français, EDF s'adosse aux références américaines pour la conception des réacteurs et pour les règles de sûreté. Au cours de la décennie, la démarche générale de conception repose sur des règles dites déterministes, c'est-à-dire qu'elles prennent en compte des événements anormaux, incidents ou accidents, sans faire d'hypothèse sur leurs probabilités ou fréquences d'occurrence.

La démarche déterministe retient à la conception toute une liste d'incidents et d'accidents, considérés comme plausibles étant donné ce qu'on sait des défaillances des composants. Ce sont les événements de dimensionnement. Ces événements sont étudiés en appliquant des règles strictes comme le critère de défaillance unique, selon lequel les fonctions de sûreté doivent être efficaces malgré la défaillance d'un équipement quelconque. Une défaillance unique ne doit pas conduire à un accident. Selon la nomenclature américaine, les accidents susceptibles d'affecter une installation sont répartis en neuf classes ⁶²⁸ , de gravité croissante, et implicitement de probabilité décroissante. Les accidents de classe 9, comportant une succession de défaillances plus sévère que celle utilisée pour le dimensionnement des systèmes de protection et des dispositifs de sauvegarde, et dont les conséquences seraient «sévères», sont considérés comme non crédibles et ne sont pas pris en compte. Ce sont les accidents de classe 8 qui servent à l'évaluation de la sûreté faite dans les rapports.

Suivant la pratique américaine, EDF, lors du dépôt en 1970 du rapport préliminaire de sûreté de la première tranche de la centrale de Fessenheim, avait classé les différents incidents ou accidents possibles en trois groupes : les transitoires et incidents d’exploitation, les accidents mettant en œuvre les dispositifs de sûreté, les accidents de perte de réfrigérant primaire. Conformément à la liste d'accidents conventionnels, ces différents accidents étaient étudiés sans référence explicite à leur probabilité, mais en prenant des hypothèses systématiquement pessimistes. On supposait par exemple que la centrale fonctionnait à son régime le plus sévère et avec le combustible irradié au maximum, qu'un des composants du système de sauvegarde ne fonctionnait pas, que les conditions d'environnement étaient défavorables en cumulant un séisme simultané à l'accident. L'accident le plus sévère étudié, «l'accident de référence», était l'accident de perte du fluide caloporteur par rupture du circuit primaire. C'est lui qui servait à dimensionner les principaux systèmes de sécurité. Pour pessimiser l'étude, on supposait la rupture «guillotine» complète de la plus grosse conduite - diamètre 70 cm - débitant dans les deux sens, et aussi de tous les crayons combustibles.

Les règles déterministes utilisées aux Etats-Unis ont abouti au concept plus élaboré et formalisé dit de «défense en profondeur», assez voisin de la méthode des «barrières». La démarche de la défense en profondeur consiste à interposer de manière hiérarchique différents niveaux d’équipements et de procédures afin de maintenir l’efficacité des barrières physiques placées entre les produits radioactifs et l’environnement, en fonctionnement normal, lors d’incidents ou même d’accidents. La stratégie de la défense en profondeur telle qu’elle est pratiquée au début des années soixante-dix s’articule en trois niveaux : la prévention par la qualité, la surveillance et la protection, la sauvegarde :

• Le premier niveau de la défense en profondeur consiste à prendre toutes les précautions possibles pour que la centrale soit fondamentalement sûre. Par une qualité et une fiabilité élevées obtenues en appliquant à la conception et à la réalisation des technologies et des normes éprouvées, grâce à l'application de marges de sécurité convenables, la centrale doit pouvoir prévenir toutes les défaillances dans les conditions de fonctionnement normales.
• A un deuxième niveau, on suppose que malgré cette résistance intrinsèque, des incidents peuvent survenir. Des systèmes de sécurité ou de protection sont conçus pour minimiser leurs effets, et ramener la centrale dans des conditions de fonctionnement normales. Un tel système de protection est par exemple l'arrêt d'urgence.
• Dans un troisième niveau, les concepteurs postulent que malgré les précautions prises, des accidents peuvent se produire : des systèmes de sûreté ou de sauvegarde sont conçus pour les maîtriser. Pour dimensionner ces systèmes, les ingénieurs américains ont introduit la notion «d’accidents hypothétiques enveloppes». Il s'agit d'accidents qui, à l’intérieur d’une même famille d’événements, apparaissent les plus pénalisants. L'objectif est que l'installation soit robuste vis-à-vis de ces accidents, en postulant que si elle l'est pour les accidents enveloppes, elle le sera vis-à-vis de tous ceux de la famille.

Mais un certain nombre d'accidents, les «class 9 accidents», considérés comme non croyables par les concepteurs, sont rejetés. L'installation n'est pas conçue pour faire face à de tels accidents. C'est pour ôter l'impression d'arbitraire de ce jugement d'ingénieur qu'une nouvelle méthode d'évaluation de la sûreté va être élaborée, la méthode dite probabiliste, qui vise à chiffrer en particulier les probabilités d'occurrence des événements rares aux conséquences les plus catastrophiques. Après les travaux précurseurs du britannique Farmer, la contribution majeure à l'approche probabiliste de la sûreté est l'étude conduite aux Etats-Unis par le professeur Rasmussen.