Si jusque-là, les ingénieurs avaient concentré leurs efforts sur la sûreté dans la conception et la qualité de la construction, l'une des grandes leçons tirées de l'accident de TMI concerne ce qu'on appellera la «sûreté en exploitation». Car une centrale, aussi bien conçue et fabriquée qu'elle soit, fonctionne entre les mains d'exploitants, qui n'ont pas la même relation à la machine que les gens des bureaux d'étude ou des usines. L'enseignement le plus important tiré de l'accident par les ingénieurs est qu'il faut désormais étudier la sûreté des installations en se mettant à la place des exploitants. L'essentiel des modifications s'oriente vers la conduite des installations et les interfaces homme-machine au niveau des salles de commande.
Ce changement d'optique n'est pas aussi aisé à mettre en œuvre qu'il y paraît, car cela remet en cause l'ensemble du processus de conception et les relations entre les différentes structures qui contribuent à la réalisation d'un objet technique. C'est l'une des conclusions tirée de l'analyse de l'accident de TMI par un spécialiste américain des facteurs humains dans la conception de systèmes techniques : «Cela peut nécessiter dix ans ou plus entre l'initiation de la conception d'une centrale et sa connexion au réseau. Au moins quatre catégories d'industries contribuent à la conception d'une usine : le propriétaire de l'usine, les concepteurs système, les constructeurs principaux, et les sous-fournisseurs et vendeurs. Ces différentes catégories industrielles ont des perspectives différentes sur les besoins de la conception, les exigences techniques, et les objectifs; à l'intérieur de ces groupes, il y a des attitudes opposées en ingénierie, management et commerce. Est-il vraiment important que les indications en salle de commande apparaissent imprimées en huit ou vingt-quatre points ? Est-ce que cela fait une vraie différence si le plan de travail est à 70 ou 82 cm de hauteur ? (...) L'importance de ces questions et les réponses qu'elles reçoivent dépendent de l'observateur. (...) Pendant plusieurs années, les quatre groupes de participants à ce réseau sont orientés vers la solution de leurs propres sous-problèmes, mais très peu, jusqu'au dernier moment, sont dirigés vers l'exploitation. Et même peu de ces participants sont au courant des activités humaines de l'exploitation, comme quelque chose de distinct de la fonction physique de l'exploitation. Bien que tous les efforts convergent vers la création d'une usine qui soit fonctionnelle, personne ne s'intéresse à l'opérateur qui la fera fonctionner. Ainsi, il y a une hiérarchie de la conception des systèmes du conceptuel au synthétique et du schéma de l'ingénieur au détail de la salle de commande (dans laquelle l'utilisateur de ce détail - son contenu informationnel, sa qualité, et l'utilité de son implantation - n'est pas représenté).» 807
Dans le cas français, la structure interne d'EDF incarne cette division des tâches ainsi que deux approches différentes de l'outil technique : la Direction de l'Equipement (DE) est chargée de la conception et de la construction des ouvrages, tandis que l'exploitation est confiée au Service de la Production Thermique (SPT). Un exemple rapporté par un ingénieur qui se considère comme un homme de l'exploitation met en lumière une tendance des hommes de la conception à nier le rôle de l'homme, en souhaitant automatiser les fonctions : «Il y a un débat permanent entre les concepteurs et les exploitants. Si vous laissez faire les concepteurs, ils rêvent de la machine parfaite, pure et parfaite, qui va se conduire toute seule. (…) Par exemple, toutes les pompes primaires d'un circuit primaire principal sont faites de la même façon, dans la même usine, avec les mêmes critères de fabrication. Et bien il n'y en a pas une qui démarre avec le même niveau vibratoire ! Pas une seule ! Elles se comportent TOUTES différemment ! Il y en a une qui ne vibre pas, l'autre d'à côté qui vibre, et les exploitants le savent et donc ils en tiennent compte dans la conduite, ils savent que lors d'un démarrage à froid telle pompe va vibrer, puis sitôt qu'on va monter en température et en pression la vibration va se calmer. Par contre celle d'à côté qui est faite pareil qu'elle, elle démarre avec strictement aucun problème ! Les matériels ont des comportements qui sont très légèrement différents les uns des autres. Et cela, allez l'expliquer à une machine !» 808
Les salles de commande vont subir un certain nombre de modifications, car les lacunes révélées aux Etats-Unis sont bien présentes en France également. Plusieurs études sont lancées auprès des équipes de conduite. Une étude du comportement des opérateurs sur simulateur révèle en particulier que dans huit cas sur dix, les opérateurs français testés avaient eu la même réaction que ceux de TMI. A la suite de ces études, les informations en salle de commande sont redisposées, les alarmes modifiées afin de permettre une meilleure conduite. Ce travail est mené en étroite liaison avec des ergonomes. Là encore, c'est une révélation pour les ingénieurs qui jusque-là pensaient qu'une salle de commande, «ça allait de soi». 809 C'est un aspect de la conception auquel les ingénieurs avaient peu réfléchi auparavant, en France comme aux Etats-Unis. Après TMI c'est devenu une évidence. Les ingénieurs étaient confortés dans leur sentiment puisque les centrales n'avaient jamais eu d'ennuis sérieux jusque-là.
En tant ordinaire, quand il y a un incident, un certain nombre de vérines s'allument. Pour donner une idée plus précise, sur une tranche comme Bugey 2, il y a 2000 indications sur le tableau de commande. Or sur 2000 vérines, il y en a toujours une ou deux qui ne fonctionnent pas, pour x ou y raison, ce qui n'est pas grave pour des dispositifs annexes. Qu'il y ait en fonctionnement normal quelques vérines qui s'allument n'a en général rien de dramatique. Mais ce à quoi les ingénieurs n'avaient pas réfléchi, de l'aveu d'un responsable du service électrique d'EDF, c'est qu'en cas d'accident, en l'espace de dix minutes, tout clignote ! Lors de son audition, l'opérateur de TMI avait déclaré qu'au moment de l'accident, les alarmes s'étaient toutes déclenchées au bout de quelques minutes : tout clignotait, et il ne savait plus où trouver les informations pertinentes. Noyé sous toutes ces indications, l'opérateur n'avait plus d'information du tout. L'accident de TMI a en ce sens mis en évidence qu'il fallait concevoir la salle de commande de telle sorte qu'il y ait une hiérarchisation de l'information et une aide au conducteur. Cela a représenté une énorme évolution, car l'ergonomie n'était pas du tout dans l'air du temps. Jusque-là, les ingénieurs avaient transposé ce qui avait été fait sur les centrales thermiques : l'usage avait sanctionné par exemple que l'on regroupe les commandes de la salle des machines, les commandes turboalternateur, qu'on les mette plutôt de telle façon, à tel endroit. Certes avec les centrales nucléaires on avait rajouté le réacteur, mais le principe restait le même.
Une anecdote racontée par Michel Dürr 810 relative aux premiers systèmes de contrôle-commande des centrales Westinghouse 811 , montre bien qu'à peu près partout dans le monde, la conception des salles de commande tenait assez peu compte du point de vue de l'exploitant et qu'il était très peu question à l'époque de parler d'ergonomie dans le milieu des ingénieurs-concepteurs. Au moins au départ dans les années soixante-dix, les Américains voulaient faire des choses très simples. Pour cela, ils regroupaient toutes les commandes d'une séquence sur un grand pistolet qui comprenait un empilement de galettes avec des contacts. En tournant le pistolet tous les contacts s'enclenchaient simultanément et cela suffisait pour mettre en service tous les auxiliaires nécessaires à la fonction correspondante. Un de ses collègues hostile à ce système a eu gain de cause en emmenant les tenants de cette solution dans la salle de commande d'une centrale étrangère qui l'avait adopté. Ils ont ainsi pu voir comment les exploitants faisaient pour se dépêtrer avec les systèmes Westinghouse : ils avaient forgé une grande barre de deux mètres de long, qui venait coiffer le pistolet, et quand il fallait manœuvrer le pistolet ils forçaient dessus pour réussir à mettre leurs contacts, compte tenu de la torsion dans la tige. Ils arrivaient bien à mettre les contacts en haut, mais ils n'arrivaient pas à les mettre en bas... Le système ne sera pas adopté en France, les Américains l'abandonneront très rapidement, mais cela illustre l'état d'indigence dans lequel était l'ergonomie à cette époque : «ça ne se faisait pas». Et d'ailleurs, sous un autre aspect, les ergonomes étaient très mal vus par les ingénieurs, qui avec une certaine morgue qui les caractérise parfois ne pouvaient s'empêcher de penser que les ergonomes «se mêlaient de ce qui ne les regardait pas», «qu'ils n'allaient pas leur apprendre leur métier», qu'ils «n'y connaissaient rien» etc. Cela a constitué un changement important : faire accepter aux ingénieurs la nécessité de travailler avec d'autres, disposant d'un savoir, différent, dont l'utilité ne leur apparaissait jusque-là pas du tout évidente.
La mesure la plus spectaculaire dans le nouvel agencement des salles de commande est la création d'un pupitre spécifique, le «panneau de sûreté» qui regroupe toutes les informations importantes pour permettre aux équipes chargées de la conduite de visualiser l'état physique du réacteur en cas d'accident. Afin d'améliorer la perception que les exploitants peuvent avoir des phénomènes physiques qui se déroulent dans le cœur, un projet de simulateur est lancé tout de suite après l'accident. Les travaux engagés durent plus de dix ans en liaison avec les Etudes et Recherches de Thomson et débouchent sur l'installation SIPA (Simulateur d'études et de formation en situations post-accidentelles) : le simulateur doit permettre à l'homme qui conduit l'installation d'avoir la représentation mentale la plus juste possible de ce qui se passe dans l'installation, grâce à une représentation visuelle.
Pour aider les exploitants à établir le bon diagnostic en cas d'accident, un poste d'ingénieur Sûreté Radioprotection (ISR) est également rajouté au début de l'année 1980. En cas de problème, il établit son propre diagnostic, indépendamment de l'équipe de conduite et peut proposer des mesures correctives.
Brooks, Malcolm J., «Human Factors in Reactor Safety Systems», in : Sills, David L., Wolf, C. P., Shelanski, Vivien B. (eds), Accident a Three Mile Island: The Human Dimensions, Westview Press, Boulder, 1982, pp. 155-160. Traduit par nos soins.
Entretien avec Jean Fluchère. Sa carrière illustre parfaitement celle d'un homme de l'exploitation. Jean Fluchère est ingénieur de l'Ecole supérieure d'électricité (1966). Il entre à EDF en 1967 et travaille tout d'abord dans les centrales à charbon et à fuel. En 1971, à la demande d'EDF, il suit une année de génie atomique à l'Institut National des Sciences et Techniques Nucléaires (INSTN) de Saclay et à Cadarache sur le réacteur à neutrons rapides Rapsodie. En 1972, il est affecté au démarrage de la centrale nucléaire de Fessenheim. De 1976 à 1982, il démarre le centre de formation des opérateurs nucléaires à Bugey, avec notamment les simulateurs d'entraînement. En 1982 il est nommé directeur-adjoint du site du Bugey, puis directeur de 1988 à 1995. Depuis 1995, il est Délégué régional d'EDF pour la région Rhône-Alpes.
Le paragraphe qui suit s'inspire d'un entretien avec Michel Dürr.
Ancien élève de l'Ecole polytechnique, ingénieur Supélec (1961), Michel Dürr débute sa carrière sur les réacteurs graphite-gaz de Chinon, puis Bugey 1 où il s'occupe en particulier du caisson, des parties internes et des essais. Après avoir été responsable du service électrique pour les réacteurs à eau sous pression, il fait un bref passage sur le réacteur de Creys-Malville, avant de rejoindre des postes d'Etat-major.
Qu'on ne voie pas là une prise de position en faveur des technologies françaises face aux technologies américaines. Aux yeux des concepteurs américains, la simplicité était gage de fiabilité. L'anecdote est utilisée ici, comme elle l'était par Michel Dürr lors de notre entretien, pour montrer à quel point les problèmes d'ergonomie des salles de commande n'étaient pas dans l'air du temps avant TMI. Lors du passage aux réacteurs à eau et l'adoption du système Westinghouse, les ingénieurs français étaient favorables à poursuivre sur la voie du Tourner-Pousser-Lumineux (TPL) pour le contrôle-commande, qu'ils avaient développé sur les centrales UNGG. Ce système facilite beaucoup la conduite pour les exploitants. L'adoption de ce système fut l'objet d'un petit combat célèbre des ingénieurs français, concomitant à la déception due à l'abandon de la filière graphite-gaz. Le rejet du système Westinghouse put apparaître comme une sorte de revanche de la technologie française.