10.2.3. Le contenu, méthodologie

Selon Rasmussen ⁶³⁴ , l’équipe était confrontée à deux objectifs principaux. Un premier objectif consistait à identifier les séquences accidentelles pouvant conduire à des conséquences pour le public et estimer leur probabilité d’occurrence. Le second objectif était de calculer les conséquences de différents rejets de radioactivité provenant des séquences accidentelles précédemment identifiées.

La méthodologie retenue pour cette étude reposait principalement sur deux techniques de base : les arbres d’événements et les arbres de défaillance.

La méthode la plus couramment utilisée pour la quantification des défaillances des systèmes est l’analyse par arbre de défaillance. Cette technique postule la défaillance finale d’un composant et essaie de remonter à l’ensemble des causes qui en sont à l’origine. L'équipe de Rasmussen essaya tout d'abord de faire une étude de ce type pour les réacteurs nucléaires en commençant avec comme défaillance finale un rejet accidentel de radioactivité, mais ils durent renoncer car la complexité du système conduisait à la construction d’arbres avec des branches quasiment infinies. C’est pourquoi Rasmussen et son équipe s'inspirèrent du formalisme des arbres de décision, largement répandu dans le domaine des analyses économiques, pour diviser le problème en parties plus petites auxquelles ils puissent appliquer la méthode des arbres de défaillances.

L'élaboration des arbres d'événements, nom que l'on donne aux arbres de décisions lorsqu'ils sont appliqués à l'analyse des accidents, part d'un événement initiateur particulier, par exemple une rupture de canalisation, et déduit toutes les conséquences, les scénarios possibles qui peuvent se développer à la suite de cet initiateur. Les différentes conséquences possibles - la poursuite ou non de la séquence accidentelle - dépendent alors du fonctionnement ou du non-fonctionnement d'un certain nombre de systèmes. Dans un réacteur il s'agit des systèmes qui doivent empêcher la fusion du combustible, et si le combustible fond, des systèmes qui doivent limiter la quantité des rejets radioactifs. Concrètement, dans le cas des réacteurs la défaillance ultime dont il faut se prémunir est la fusion du cœur, il est donc nécessaire d'identifier les initiateurs qui pourraient éventuellement conduire à la fusion et construire un arbre d'événement pour chacun d'entre eux.

C'est ainsi que l'équipe Rasmussen a considéré deux grandes classes d'événements initiateurs : tout d'abord la perte de réfrigérant, un LOCA qui survient à la suite d'une dépressurisation brutale par rupture du circuit de refroidissement. La fusion ou non du cœur dépend alors du bon fonctionnement des systèmes de secours prévus à cet effet. La deuxième catégorie concerne les transitoires de puissance, c'est-à-dire des événements prévus (recharge du réacteur par exemple) ou non (perte d'alimentation électrique), qui conduisent à la délivrance du signal de mise à l'arrêt du réacteur. La fusion du cœur peut résulter soit du non-fonctionnement de l'arrêt d'urgence, soit d'une défaillance du système de refroidissement, ce qui ramène au cas précédent.

Dans l'exemple d'une rupture de canalisation, la connaissance des probabilités de succès de chacun des systèmes de sécurité pourrait théoriquement permettre de calculer la probabilité de chacune des séquences accidentelles. Mais ce calcul se heurte au problème de l'interdépendance de ces probabilités, ce qu'on appelle les défaillances de mode commun. L'un des gros efforts de l'équipe, explique Rasmussen, a consisté à rechercher ce type de dépendances. Pour des événements indépendants, la probabilité d'une séquence est le produit des probabilités des divers événements qui la composent. Pour des événements liés, le problème est beaucoup plus compliqué et la probabilité plus importante.

Arbre d’événement pour un accident de perte de réfrigérant (Source : Reactor Safety Study, US NRC, WASH 1400, NUREG 75/014, October 1974)

Pour déterminer les probabilités dans les différentes branches de l'arbre d'événements, les auteurs ont utilisé la technique des arbres de défaillance. Le point de départ est cette fois un événement indésirable donné (par exemple la perte des alimentations électriques) à partir duquel les analystes remontent aux combinaisons de défaillances qui peuvent conduire à ce type de panne. Les données de fiabilité des divers équipements (pompes, vannes, relais, mais aussi erreurs humaines) provenant de l'expérience permettent alors de prédire le taux de défaillance du système étudié.

Arbre de défaillance du système d'arrêt d'urgence (AU) d'un réacteur. Source : Carnino, Annick, «Applications des méthodes probabilistes en matière de sûreté nucléarie», RGN, 1976, N°5, p. 415.