18.6.2 Evolution possible des méthodes d’évaluation de la sûreté (erreurs et limites dans les évaluations de probabilité) et des critères de sûreté
La probabilité d’un événement rare peut avoir été sous-évaluée à tort par manque d’informations. De plus, même si la probabilité d’un événement rare est correctement évaluée, et que le temps de retour de l’événement est long (par exemple, 1000 ans pour une probabilité d’une fois en 1000 ans), généralement la plupart des gens pensent qu’un long temps s’écoulera de toute façon avant que l’événement ne se produise. Il existe une sorte de phénomène psychologique, que l’on pourrait appeler « l’illusion du mirage inverse » (ce qui peut être très proche est perçu comme étant très loin), par lequel des événements de très long temps de retour sont perçus comme étant situés dans un futur lointain. En réalité, la définition de la probabilité (rapport entre un type d’événement et le total des événements possibles de tout type) ne comporte aucune référence à la distance en temps futur de l’événement dont la probabilité est calculée et la probabilité évaluée, encore une fois, est toujours une probabilité moyenne sur de nombreux temps de retour (Moroney, 1951). Ce n’est que dans un intervalle de temps très long par rapport au temps de retour évalué que l’intervalle entre deux événements successifs aura tendance à être « en moyenne » proche du temps de retour évalué. Cela signifie qu’un événement ayant un temps de retour de 1000 ans peut aussi se produire l’année prochaine. Quelque chose comme cela a dû se produire pour le tsunami de Fukushima.
De même, il est bien connu que dans le jeu du « pile ou face », une série, par exemple, de queues peut se produire au lieu d’une alternance régulière de « pile » et de « face ».
Le temps de retour évalué des événements rares est une valeur « moyenne » dans les temps très longs. Au contraire, le moment où l’événement se produira est un produit du hasard ou de la malchance/bonheur. Les événements occasionnels, produit du hasard, sont définis par de nombreux experts comme les événements dont on ne connaît pas les bases. Bien sûr, selon ce courant de pensée, des causes existent pour qu’un événement rare se produise tôt ou tard, mais ces causes sont fréquemment inconnues.
Si l’on considère l’action de choisir une pièce de monnaie dans une boîte à pièces, on peut considérer que, pour une extraction à l’aveugle d’une pièce, le résultat « pile ou face » sera fortuit. Cependant, si les conditions initiales de l’opération sont connues (par exemple, la position des pièces et la position de la main), ainsi que la vitesse et la direction du mouvement de la main et les règles suivies pour choisir la pièce dans la boîte (par exemple, la première pièce touchée par la main est prise sans la tourner), le résultat de l’extraction pourrait être évalué avec précision. Le fait est que dans l’opération que nous venons de décrire, dans la plupart des cas, toutes ces données ne sont pas connues et le résultat doit être considéré comme « fortuit » en raison de notre ignorance. « Le hasard » est le grand facteur mystérieux des événements futurs, ainsi que leur probabilité.
Le philosophe anglais John Locke disait que les hommes ne prennent pas leurs décisions au soleil de la pleine connaissance, mais dans le crépuscule de la probabilité. La présence du Hasard est la cause de cette croyance.
Cependant, en essayant de comprendre si un événement rare peut se produire dans un temps proche, il faut rechercher et surveiller la présence de toutes les indications disponibles d’un événement destructeur imminent. Dans cette recherche, l’intervalle de temps auquel s’applique le mot « imminent » est très important. Par exemple, il peut être possible de faire une prévision pour une période future de plusieurs années (période d’intérêt pour la conception d’une centrale nucléaire) et, au contraire, il peut ne pas être possible de faire une prévision pour une période future de quelques jours (comme il est d’intérêt pour l’évacuation préventive de la population). À cet égard, la bonne question doit être posée aux experts en phénomènes d’intérêt, à savoir avec la spécification correcte de la période d’intérêt dans le futur. Le problème est aussi que si les indications susmentionnées sont disponibles, souvent nous ne croyons pas en elles ou en leur gravité (voir le cas Vajont, à titre d’exemple).
Un autre écueil possible dans l’utilisation pratique des évaluations de probabilité est décrit dans une publication récente de Nassim Nicholas Taleb, « The Black Swan » (Taleb, 2007). Un cygne noir est, en bref, un événement isolé de grand impact qui n’est pas inclus dans le domaine des attentes normales, car rien dans le passé ne peut indiquer, avec un bon degré de plausibilité, sa possibilité de se produire. Le nom de « cygne noir » a été choisi parce que, avant la découverte de l’Australie, les habitants de l’Ancien Monde étaient convaincus que tous les cygnes étaient blancs. Le professeur Taleb indique, en outre, l’existence, dans le monde des possibilités, de deux provinces : le Mediocristan et l’Extremistan. Le Mediocristan est la province dominée par des événements médiocres, où aucun événement unique ne peut avoir un impact significatif sur l’ensemble. La courbe de distribution de probabilité en forme de cloche, de Gauss, a son fondement dans le Médiocristan. L’Extremistan, au contraire, est le royaume des cygnes noirs. La Fig. 18.1 tente de montrer en image un exemple de ces deux types d’événements (intensité des événements différente par un facteur 100, LOG(100)=2).
Figure 18.1. Mediocristan et extremistan.
Les densités de probabilité maximales des deux provinces sont arbitraires. La variable pourrait être l’intensité d’un événement naturel dommageable ou d’un événement de crise financière (le professeur Taleb décrit divers cas de ce type, sa principale spécialisation étant la finance). Les probabilités intégrales approximatives (1 et 5e-11) des deux classes d’événements sont indiquées dans la figure.
Un des mauvais usages les plus courants des distributions de probabilité est de ne pas tenir compte de la présence d’événements d’Extrémistan en plus des événements distribués de manière plus ou moins régulière, comme le long d’une courbe gaussienne ou d’une courbe similaire de densité de probabilité.
Des exemples d’événements initialement (au moins partiellement) ignorés dans le domaine de la sûreté nucléaire sont ceux énumérés au début de la section 18.6.1.
En essayant d’imaginer de possibles événements catastrophiques futurs de très faible probabilité mais toujours possibles, les cas suivants pourraient être figurés à titre d’exemples :
–
Un autre tsunami destructeur. Ce phénomène est particulièrement dangereux car il peut être déclenché non seulement par un séisme de forte magnitude, mais aussi par un glissement de terrain sous-marin ou côtier ou une éruption volcanique sous-marine ou une explosion sous-marine d’une autre origine et parce qu’il se propage avec une intensité dommageable sur des centaines de kilomètres ou plus.
–
Un accident d’avion volontaire ou accidentel sur une centrale
–
Un sabotage des systèmes de protection du réacteur
–
Une explosion de la cuve sous pression d’un réacteur ou d’une autre grande cuve de la centrale
–
Une excursion de réactivité due à un bouchon nonboré dans un REP lors d’un APRP (possibilité bien connue, pour certains REP, par les spécialistes de la thermohydraulique)
–
Événement destructif de type tornade sur des centrales importantes pour la sûreté comme le Nouveau Confinement de Sécurité (Shelter) du Sarcophage de Tchernobyl 4 ; la structure telle qu’elle a été décrite publiquement il y a des années (Nuclear News, 2011 et communications ultérieures) est, en effet, une merveille d’ingénierie pour la taille et la construction « légère » (29 000 t sur une surface en plan de 42 000 m2), mais elle est conçue, pour autant qu’on le sache, pour une tornade plutôt petite, alors que, dans la région géographique d’intérêt, des tornades de plus forte intensité se sont déjà produites (Petrangeli, 2011). Cependant, il se pourrait bien que, ces derniers temps, l’ancrage de la structure au sol ait été renforcé et qu’un système amélioré de ventilation de l’intérieur de l’Abri ait été installé.
Dans cette section, les cygnes noirs sont censés inclure tous les événements « pratiquement impossibles », mais « physiquement possibles », également sur la base de l’expérience passée. Ces événements tombent, comme par exemple l’événement de Fukushima, en dehors du champ de protection des cinq niveaux actuels de Défense en profondeur. Des dispositions très exceptionnelles doivent être adoptées si l’on veut tenter d’éliminer davantage la possibilité que de tels événements se reproduisent. Si nous disons qu’un événement est « pratiquement impossible », nous ne pouvons pas en faire abstraction dans cette tentative.
La première exigence qui semble nécessaire est que, dès qu’un de ces événements s’est produit ou a été découvert dans l’histoire passée, des mesures soient prises sur toutes les autres centrales exposées afin d’y résister. Faut-il créer un « sixième niveau » de Défense en profondeur pour prendre en charge ces événements ?
Les idées pour la définition de ce « sixième niveau » sont les suivantes:
–
Tenter de découvrir les phénomènes précurseurs qui annoncent une catastrophe imminente et les garder sous observation (mais cette méthode n’est généralement pas assez précise concernant l’identification du temps dans lequel le phénomène se produira);
–
Etablir un système d’alerte qui peut détecter le phénomène naturel et non naturel déjà commencé (par ex, tsunami, tremblement de terre, vols d’avions suspects) et donner un certain temps (typiquement quelques minutes à 30 minutes) pour mettre la centrale dans des conditions sûres (si possible, compte tenu de ses caractéristiques de conception);
–
Concevoir la centrale contre « l’événement maximum possible » dont la magnitude peut généralement être mieux définie que la distance de l’événement dans le temps futur par rapport au présent (par exemple, le tremblement de terre maximum possible peut être identifié par l’histoire passée et par les caractéristiques tectoniques de la région). 10CFR Part 100, maintenant révisée en 2017 (critères d’implantation sismique et géologique des centrales nucléaires) a été le premier ensemble de critères qui a adopté cette position. Il est généralement admis que le séisme maximal absolu dans le monde a une magnitude de 8,5 à 9 sur l’échelle de Richter ; pour la zone de L’Aquila, en Italie, le séisme maximal possible pourrait être de l’ordre de M=7. Bien sûr, le coût peut être élevé. Cependant, les sites pour les centrales nucléaires sont généralement choisis dans des endroits à faible sismicité (ex, Annexe 16).
Le choix d’utiliser pour la conception de la centrale l’événement maximal possible, au lieu d’un événement dont la probabilité estimée est inférieure à un certain chiffre, pourrait être étendu à d’autres événements potentiellement dommageables comme les inondations.
En formulant de nouvelles exigences, cependant, il faut se rappeler que, sur la base de l’expérience passée, une aversion dominante pour les pertes d’investissement et pour les dépenses de réparation est parfois évidente dans le comportement de certains investisseurs, même en présence d’indications claires d’une catastrophe naturelle ou liée à une machine imminente. Cela a été évident, par exemple, dans le cas de Vajont (mouvement de glissement lent mesuré précédemment dans le Mont Toc qui s’est finalement transformé en une catastrophe rapide) et dans le cas de Fukushima (tsunamis précédents dans l’Océan Indien).
Une possibilité à discuter est de créer pour chaque centrale nucléaire ou pour un groupe d’entre elles un fonds spécial pour les modifications périodiques de la centrale ou des procédures à la suite de cygnes noirs dans une centrale. En outre, toujours à titre d’exemple, ce fonds pourrait être créé en économisant l’équivalent d’un ou deux jours de fonctionnement par année d’exploitation. Les chiffres utilisés ci-dessus tiennent compte du fait que l’on peut supposer, sur la base de l’expérience, qu’un cygne noir (liste à la section 18.6.1) se produit environ une fois tous les 10 ans (Gianni Petrangeli, 2013) et que les modifications d’amélioration d’une centrale peuvent nécessiter une dépense de plusieurs dizaines de millions d’euros ou équivalent. Cette proposition signifie une sorte d' »auto-assurance ». De nouvelles exigences inconditionnelles et un changement d’état d’esprit sont, en tout cas, nécessaires.
Certains exemples de dispositions très exceptionnelles éventuellement requises sont mentionnés ci-dessous. D’autres et meilleures dispositions peuvent être développées.
Je suis conscient que ces exemples peuvent être considérés comme excessifs et aussi contre-productifs par quelqu’un. De meilleures solutions existent certainement, mais mon expérience suggère que les nouvelles bonnes idées, surtout si elles sont coûteuses, prennent du temps (10-20 ans) pour refaire surface après une négligence initiale (j’espère que ce ne sera pas le cas en ce moment). Elles sont généralement intégrées dans la conception de nouvelles usines. En effet, un dicton courant dans l’industrie est que « Toute nouvelle exigence valable est acceptable à moins qu’elle ne modifie la conception établie actuelle » (intervention entendue dans un congrès international). Cette position est compréhensible, à moins qu’une mise à niveau exceptionnelle du niveau de sécurité ne soit demandée par les preuves disponibles, comme, je pense, dans le cas présent.
Le premier exemple est une création, même dans une centrale existante ou dans une centrale en construction, d’une nouvelle protection contre la chute d’un avion, d’autres impacts, une inondation ou la perte d’une autre énergie électrique de secours. Cette proposition de discussion est grossièrement esquissée dans la Fig. 18.2 et est traitée plus complètement dans (Petrangeli, 2013).
Figure 18.2. Protection très exceptionnelle contre le tsunami, l’impact d’un avion ou autre et la perte d’alimentation de secours.
Cette protection supplémentaire consiste en un cylindre de béton armé ou précontraint entourant les parties essentielles à la sécurité d’une centrale. En tant que protection contre un tsunami destructeur, le cylindre pourrait avoir une hauteur de 20 à 50 m (voir le guide SSG-18 de l’AIEA, qui recommande une élévation de référence des vagues au-dessus du niveau normal de la mer de 50 m, en l’absence de preuves de sécurité dominantes). La figure 18.2 montre un cylindre de 120 m de haut (autant que la cheminée d’une centrale nucléaire ou à combustible fossile) qui sert également de protection contre l’impact d’un avion (si les bâtiments de la centrale étaient plus enfoncés dans le sol, la hauteur du cylindre pourrait être inférieure à 120 m). L’avion qui s’impacte est supposé toucher l’usine avec un angle maximum avec l’horizon de 30 degrés (plus que l’angle exceptionnel d’environ 24 degrés atteint par l’avion qui a heurté le bâtiment du Pentagone en 2001) (Ritter, 2002) et beaucoup plus que l’angle d’atterrissage habituel de 3 degrés.
La partie supérieure du cylindre est couverte par une grille de câbles en acier et par un filet plus fin, afin d’offrir une protection contre une variété de projectiles pensables (drones, etc.).
Dans la partie supérieure du cylindre, se trouve un réservoir annulaire segmenté résistant aux impacts : il peut alimenter le cœur en eau de refroidissement, en cas d’accident, pendant plus de 4 jours en utilisant comme force motrice la pression hydrostatique due à la hauteur (système passif).
Le volume du cylindre de 120 m de haut est d’environ 120 000 m2, pour un coût de plus de 15 millions d’euros.
Des cloisons étanches mobiles doivent être prévues dans la paroi du cylindre pour le déplacement des composants dans et hors du cylindre. On estime que la surface externe du cylindre, si elle est recouverte de cellules solaires, pourrait fournir plusieurs Mw d’énergie électrique à la lumière du jour. D’autres systèmes auxiliaires seront nécessaires (accumulateurs de puissance, etc.).
La forme en plan du cylindre peut ne pas être circulaire afin d’adapter la structure à d’autres bâtiments d’usine non essentiels pour la sécurité.
Si une solution comme celle illustrée est adoptée, les caractéristiques de protection anti-aérienne de la centrale actuellement adoptées (montrées dans la Fig. 18.2) pourraient être simplifiées pour les centrales en phase de conception avec un avantage conomique. Si un confinement en acier est, alors, utilisé, également le refroidissement du confinement pourrait être plus facile.
Cette solution, proposée à titre d’exemple, peut, encore une fois, sembler excessive, comme les premiers confinements étanches et résistants à la pression des années 1960 semblaient à de nombreux ingénieurs de bon sens. L’opinion de ceux-ci, cependant, a radicalement changé après Three Mile Island.
D’autres exemples de solutions sont énumérés dans (Petrangeli, 2013) : les centrales construites sur un remblai (contre le tsunami) et les systèmes de refroidissement d’urgence passifs (contre la perte des systèmes de refroidissement d’urgence actifs habituels).
Les codes informatiques de dynamique des fluides maintenant disponibles peuvent aider à simuler avec une bonne précision un run-up de vague de tsunami sur une situation terrain- centrale donnée (par ex, l’effet d’un remblai comme emplacement élevé de la centrale par rapport au sol environnant).
Concernant l’efficacité globale des évaluations de probabilité dans l’analyse de la sûreté nucléaire, il faut rappeler le fait bien connu que ces évaluations sont essentielles dans la détection, dans des systèmes complexes, de parties ou de phénomènes d’importance cruciale. A titre d’exemple, il est bien connu qu’une évaluation de probabilité d’une centrale indique généralement que les systèmes de conditionnement des salles d’équipement sont cruciaux pour le fonctionnement de plusieurs systèmes de sûreté et, par conséquent, leur fonctionnement correct doit être assuré avec une probabilité élevée par les moyens habituels de niveau de qualité, de redondance et de diversification (voir également la section 11.3).
En outre, à la lumière de la discussion ci-dessus, une faible probabilité d’événements intolérables peut être considérée comme une condition nécessaire mais non suffisante pour la protection contre de tels événements.