Études probabilistes de sûreté

par Jacques BRISBOIS

Assistant du Chef du Département d’Évaluation de Sûreté à l’Institut de Protection
et de Sûreté Nucléaire

1. Méthode d’évaluation de la fréquence de fusion du cœur

d’un réacteur nucléaire .......................................................................... B 3 831 - 3
1.1 Événements initiateurs................................................................................ — 3
1.2 Définition des séquences accidentelles. Arbres d’événements............... — 3
1.3 Fiabilité des systèmes ................................................................................. — 4
1.3.1 Données de fiabilité des composants. Défaillances
de mode commun .............................................................................. — 4
1.3.2 Fiabilité humaine ................................................................................ — 5
1.4 Méthode de quantification.......................................................................... — 6
1.5 Évaluation des incertitudes......................................................................... — 7
2. Conduite d’un projet ............................................................................... — 7
3. Applications des études probabilistes de sûreté............................ — 7
3.1 Résultats de l’étude probabiliste de sûreté des réacteurs nucléaires
du palier 900 MW......................................................................................... — 7
3.2 Amélioration du niveau de sûreté des installations existantes ............... — 8
3.3 Facteurs d’importance des équipements .................................................. — 8
3.4 Utilisation des études probabilistes pour les réacteurs futurs ................ — 8
Références bibliographiques ......................................................................... — 8

es installations nucléaires présentent des risques spécifiques dus aux rejets,

L en fonctionnement accidentel, de produits radioactifs dangereux dans l’envi-
ronnement. La prise en compte de ces risques, lors de leur conception, est faite
en s’appuyant sur le concept de défense en profondeur qui conduit à mettre en
œuvre une série de lignes de défense indépendantes, de telle façon que le rejet
de produits radioactifs ne puisse se produire que si l’on a une perte simultanée
de plusieurs d’entre elles. Les études probabilistes de sûreté visent à évaluer
la fréquence annuelle de destruction de ces barrières ainsi que les rejets de
produits radioactifs associés et leurs conséquences sur la population
environnante.
Bien que les premières études aient été effectuées en Grande-Bretagne dans
les années 60-70, le développement de cette technique a débuté avec l’étude
dirigée par le Professeur Rasmussen et publiée en 1975 [1]. Cette étude,
commandée par l’Atomic Energy Commission (AEC) américaine, visait à
comparer les risques encourus par la population du fait des réacteurs nucléaires
avec les risques industriels et naturels. En fait, il est apparu rapidement que les
domaines d’application de cette étude étaient beaucoup plus larges, car elle
permettait d’apprécier les composantes élémentaires du risque, et mettait donc
en évidence les points forts et les points faibles de la conception des réacteurs
8 - 1995

nucléaires étudiés.
Cette étude suscita à l’époque beaucoup de critiques, car elle remettait en cause
partiellement certaines méthodes déterministes de conception. Cela conduisit
la Nuclear Regulatory Commission (NRC) à demander au Professeur Lewis
d’effectuer une expertise de cette étude [2] qui conclut que la méthodologie
proposée était correcte, en estimant toutefois que les incertitudes étaient sous-
B 3 831

évaluées, mais qu’en tout état de cause ce type d’étude était susceptible d’appor-
ter des éléments importants d’appréciation de la sûreté.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire B 3 831 −1
ÉTUDES PROBABILISTES DE SÛRETÉ _______________________________________________________________________________________________________

En fait, ce n’est qu’après l’accident de Three Mile Island, en 1979, que le dévelop-
pement de cette technique a pris un essor considérable.
En 1994, une étude probabiliste de sûreté a été effectuée ou est en cours pour
chaque centrale nucléaire de puissance dans le monde. Dans les étapes de ce
développement, il convient de citer l’étude publiée par la NRC en 1990, portant
sur l’évaluation des risques de cinq réacteurs américains et qui représente l’état
de l’art de cette technique [3].
En France, Électricité de France et l’Institut de Protection et de Sûreté Nucléaire
ont effectué respectivement les études probabilistes de sûreté pour les réacteurs
à eau sous pression d’une puissance électrique de 1 300 MW et de 900 MW [4]
[5]. Compte tenu de la standardisation des réacteurs français, ces études couvrent
en fait l’ensemble du parc nucléaire.
Bien que, dans leur principe, les études probabilistes de sûreté soient envisa-
geables pour toutes les installations nucléaires ou chimiques, le développement
de cette technique a porté essentiellement sur les réacteurs nucléaires, et plus
particulièrement sur les réacteurs à eau ordinaire. On peut noter que des études
de ce type ont été réalisées à l’étranger sur des réacteurs à haute température
et à neutrons rapides.
Pour les réacteurs nucléaires, le relâchement des produits radioactifs ne peut
se produire en quantités significatives que si l’on a, d’une part, une fusion du
combustible et, d’autre part, une défaillance de la barrière de confinement. C’est
pour cette raison que l’on distingue différents niveaux de l’étude :
— niveau 1 : fusion du cœur ;
— niveau 2 : relâchement des produits de fission ;
— niveau 3 : dommages sur le public (exprimés le plus souvent en termes de
probabilité annuelle de mort ou de cancer par individu vivant à
proximité de l’installation).
La présentation faite ci-après porte uniquement sur la méthodologie utilisable
pour l’étude de niveau 1 qui fait l’objet d’un consensus international, alors que
l’état de l’art des études de niveau 2 et 3 ne semble pas encore consolidé.
C’est aux États-Unis que le développement de cette technique est le plus
avancé, notamment en ce qui concerne l’étude des agressions externes (incendie
et séisme) ainsi que les études de niveau 2 et niveau 3. La NRC a en effet demandé
à tous les exploitants nucléaires de réaliser des évaluations de risque incluant
les agressions internes et externes pour leurs installations afin d’estimer leur
vulnérabilité vis-à-vis des accidents graves et de proposer éventuellement des
améliorations de conception et d’exploitation pour porter remède aux points
faibles mis en évidence.
Ces études sont pratiquement terminées à l’heure actuelle et font l’objet d’une
analyse par la NRC qui doit en tirer des conclusions génériques sur l’amélioration
éventuelle du niveau de sûreté des réacteurs en exploitation.
Dans les autres pays industrialisés ayant un programme nucléaire, le dévelop-
pement de ces études se déroule en suivant le développement américain. Il est
aujourd’hui reconnu que les réévaluations de sûreté des réacteurs nucléaires
effectuées périodiquement devront s’appuyer sur des évaluations probabilistes.
Pour ce qui concerne les réacteurs nucléaires de la prochaine génération, les
autorités de sûreté de tous les pays exigent maintenant qu’une étude de niveau
1 et quelquefois de niveau 2 ou 3 soit effectuée lors de la conception du réacteur
avant le début de la construction. Cette étude doit être actualisée pendant la phase
de réalisation et intégrée au rapport de sûreté.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
B 3 831 −2 © Techniques de l’Ingénieur, traité Génie nucléaire
______________________________________________________________________________________________________ ÉTUDES PROBABILISTES DE SÛRETÉ
1. Méthode d’évaluation
de la fréquence de fusion
du cœur d’un réacteur
nucléaire
Dans un réacteur nucléaire, trois fonctions de sûreté doivent être
maintenues en permanence pour garantir l’intégrité du combustible
nucléaire :
— la fonction réactivité du cœur, qui permet d’assurer le contrôle
de la puissance du réacteur ;
— la fonction inventaire en eau du circuit primaire, qui permet
d’assurer le transport de la chaleur à l’eau du circuit de
refroidissement ;
— la fonction évacuation de la puissance résiduelle due aux
produits de fission, qui permet d’extraire la chaleur vers la source
froide.
À partir de la détermination des événements susceptibles de
perturber chacune des trois fonctions de sûreté, une liste d’accidents
de dimensionnement de l’installation est établie et des systèmes de
protection et de sauvegarde sont conçus pour maintenir ces fonc-
tions et permettre de ramener le réacteur à l’arrêt sûr.
Les études probabilistes de sûreté visent à déterminer la fré-
quence de fusion du cœur due à la perte d’une de ces fonctions.
Il est important de définir précisément l’événement de fusion du
cœur, sachant qu’il existe plusieurs modes de dégradation envisa-
geables. Pour les réacteurs à eau, on définit en pratique, selon les
séquences accidentelles, la fusion du cœur par les critères suivants :
— découvrement du cœur du réacteur sans moyen de renoyage ;
— rupture de la cuve du réacteur ;
— accident majeur de réactivité conduisant à une dispersion du
combustible.
L’événement dont on cherche à évaluer la probabilité est un événe-
ment rare pour lequel on ne dispose pas de statistiques expérimen-
tales. Le principe est alors de décomposer cet événement en
enchaînement d’événements de fréquence observable.
Les grandes étapes d’une étude probabiliste sont schématisées
sur la figure 1. Il faut noter que ces étapes sont fortement dépen-
dantes entre elles et que la démarche est essentiellement itérative.
Figure 1 – Démarche d’une étude probabiliste de sûreté de niveau 1
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire
Pour être complète, une étude probabiliste de sûreté doit intégrer
l’ensemble des connaissances issues des études de conception, des
règles générales d’exploitation, du retour d’expérience et des
analyses du comportement humain, en particulier sur les simula-
teurs de situations accidentelles.
1.1 Événements initiateurs
Ce sont des événements qui entraînent une évolution de l’état du
réacteur nécessitant l’intervention manuelle ou automatique des
systèmes de protection ou de sauvegarde.
La liste des événements initiateurs est établie à partir de la liste
des accidents de dimensionnement, des études probabilistes simi-
laires et du retour d’expérience. Bien qu’il ne soit pas possible d’en
prouver l’exhaustivité totale, l’utilisation de plusieurs méthodes
permet de recenser les événements les plus importants. Les événe-
ments initiateurs sont regroupés par familles, chaque famille étant
un ensemble d’événements conduisant à un même arbre
d’événements.
Il est important de définir ces événements pour tous les états du
réacteur rencontrés lors de l’exploitation, y compris les états à l’arrêt
pour lesquels les études montrent que le risque peut être significatif.
Une liste type d’événements initiateurs à considérer pour un réac-
teur à eau sous pression est donnée à la figure 2.
La détermination de la fréquence des événements initiateurs
repose en priorité sur l’analyse de l’expérience d’exploitation des
réacteurs étudiés ou de réacteurs similaires. Pour les événements
rares qui n’ont jamais été observés, tels que la rupture complète
du circuit primaire, on effectue généralement une estimation de la
fréquence à 50 % de confiance à partir du nombre d’années
cumulées de fonctionnement sans défaillance.
1.2 Définition des séquences
accidentelles. Arbres d’événements
Afin de construire tous les scénarios pouvant conduire à la
fusion du cœur, la méthode classiquement utilisée est celle des
arbres d’événements.
Figure 2 – Liste type d’événements initiateurs
B 3 831 −3
ÉTUDES PROBABILISTES DE SÛRETÉ _______________________________________________________________________________________________________

Un arbre d’événements est un schéma logique permettant de
définir les séquences accidentelles à partir d’un événement initia-
teur, en considérant le succès ou l’échec des systèmes mis en
œuvre pour arrêter la progression de l’accident. La figure 3 donne
un exemple de construction d’arbre d’événements.
La construction des arbres prend en compte les dépendances
fonctionnelles entre les systèmes. De plus, compte tenu de l’impor-
tance des erreurs humaines dans la conduite accidentelle, il est
recommandé de considérer le succès ou l’échec des interventions
de l’opérateur, au même titre que ceux des systèmes.
Chaque branche de l’arbre, qui constitue une séquence acciden-
telle, doit faire l’objet d’une étude thermohydraulique pour déter-
miner si elle conduit ou non à la fusion du cœur. Cette étude permet
de définir la nature précise de la mission de chaque système (délai
maximal de mise en service, configuration minimale nécessaire).
La détermination des données de fiabilité doit se faire à partir de
l’analyse détaillée de l’expérience d’exploitation. Cela implique
qu’un système formalisé de recueil et d’analyse des pannes des
composants soit mis en place sur les installations.
La situation est particulièrement favorable en France, pour les
réacteurs à eau ordinaire qui constituent un parc standardisé. Si cela
n’est pas possible (cas d’installation unique), il est nécessaire
d’utiliser des banques génériques de fiabilité dont il est difficile
d’évaluer la représentativité pour l’installation étudiée. La figure 5
représente certaines données de fiabilité utilisées dans les études
probabilistes françaises pour les matériels électromécaniques.

1.3 Fiabilité des systèmes

Pour chaque système impliqué dans les séquences accidentelles,
il est nécessaire d’effectuer une analyse détaillée de son fonction-
nement et de ses modes de défaillances.
Les méthodes utilisées sont les méthodes classiques de fiabilité
(cf. article Fiabilité [E 1 420] dans le traité Électronique), la modéli-
sation la plus courante étant celle par arbre de défaillance (figure 4a).
Un arbre de défaillance est un schéma logique permettant de relier,
par une méthode déductive, la défaillance du système aux événe-
ments élémentaires susceptibles de l’entraîner.
Pour les systèmes subissant un changement d’état pendant la
durée de leur mission, et notamment les systèmes réparables, on
utilise généralement une représentation par graphe de Markov
(figure 4b).

1.3.1 Données de fiabilité des composants.

Défaillances de mode commun

■ Les paramètres de fiabilité nécessaires à la quantification d’un

composant sont :
• γ taux de défaillance à la sollicitation ;
• λ taux de défaillance en fonctionnement ;
• µ taux moyen de réparation.

Figure 4 – Méthodes classiques de fiabilité :

Figure 3 – Arbre d’événements dans le cas d’une perte totale modélisation par arbre de défaillance ou graphe de Markov
d’eau alimentaire des générateurs de vapeur

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
B 3 831 −4 © Techniques de l’Ingénieur, traité Génie nucléaire
______________________________________________________________________________________________________ ÉTUDES PROBABILISTES DE SÛRETÉ

■ Il est important de prendre en compte les défaillances, désignées

par le terme défaillances de mode commun, qui sont des
défaillances pouvant affecter plusieurs composants redondants
pendant la durée de la mission du système, et qui ont pour origine
des erreurs de conception, de fabrication, de montage ou de main-
tenance.
Plusieurs approches ont été proposées, l’approche utilisée dans
les études françaises reposant sur la méthode du facteur β mise au
point par Atwood. La probabilité de défaillance de k composants
parmi n est égale à :
n
( γ ou λ ) ⋅ β k

n
β k peut être déterminé à partir de la connaissance par le retour
i
d’expérience et le jugement d’expert des valeurs β i avec i  n .
2 3 4
Les valeurs β 2 , β 3 , β 4 pour différents composants sont données
dans le tableau ci-contre. On constate que l’augmentation de la
redondance améliore peu la fiabilité du système. (0)

2 3 4
Composant 2 3 4
Capteur 0,05 (1,3) 0,02 0,01
Groupe électrogène Diesel 0,03 (3)
Pompes 0,05 (1,3) 0,02 0,01
Vannes électriques 0,06 (1,5) 0,02 0,01
Vannes pneumatiques 0,07 (1,5) 0,02 0,01
Valeurs entre parenthèses : facteur d’erreur à 90 % de confiance

1.3.2 Fiabilité humaine

Les interventions humaines présentent des caractéristiques qui

rendent impossible un traitement systématique et logique, comme
dans le cas des matériels. On peut noter, en effet, que les possibilités
d’intervention humaine sont très importantes, que le succès d’une
action dépend fortement du contexte (information, stress), que les
Figure 5 – Données de fiabilité
erreurs humaines sont souvent récupérables, qu’elles dépendent
pour les matériels électromécaniques actifs
beaucoup les unes des autres.
Pour tenir compte de ces aspects très particuliers, la démarche
doit s’effectuer en plusieurs étapes : Dans les études françaises, la quantification des erreurs préacci-
dentelles s’effectue par la formule suivante :
— identification des interventions humaines potentielles ;
— estimation de l’impact et sélection des interventions P = P B × P NR
significatives ;
— analyse détaillée ; avec PB probabilité de base estimée à 3 × 10–2 par intervention
— quantification ; à partir du retour d’expérience,
— intégration dans l’étude probabiliste de sûreté. P NR probabilité de non-récupération estimée en classant
D’une manière générale, la plus large part possible doit être faite les situations en quatre catégories en fonction des
au retour d’expérience pour identifier les erreurs potentielles, pour éléments favorisant la récupération : (0)
quantifier leur fréquence par une statistique directe, pour élaborer
des modèles permettant d’extrapoler l’expérience à d’autres Classe Éléments favorisant la récupération P NR
situations.
1 Alarme de catégorie 1 sur verrine (alarme de 10–3
Les principales sources d’informations sont les incidents réels, les première importance).
enquêtes ou interviews spécifiques et les observations recueillies
lors des essais sur simulateur en situation accidentelle. Modification importante de la valeur d’un para-
2 mètre relevé à chaque quart. 10–2
■ Interventions humaines préaccidentelles Requalification après intervention.
Condamnation administrative.
Cette catégorie est constituée par les interventions humaines au
cours d’opérations de maintenance, de test ou de conduite normale, Test périodique de fréquence 1 mois.
qui peuvent contribuer soit à l’indisponibilité d’un système, soit à Anomalie détectable par les vérifications
l’occurrence d’un événement initiateur. L’identification s’effectue lors prévues lors des changements d’état de l’instal- 10–1
3 lation.
de l’étude de la fiabilité d’un système.
Indicateur de position en salle de commande.
Alarme de catégories autres que 1.
4 Aucun des facteurs ci-dessus 1

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire B 3 831 −5
ÉTUDES PROBABILISTES DE SÛRETÉ _______________________________________________________________________________________________________
■ Interventions humaines en situations accidentelles
Cette catégorie comprend, d’une part, les interventions du type
diagnostic et prise de décision et, d’autre part, la réalisation des
actions. Il convient de prendre en compte, de manière détaillée,
l’organisation des équipes de conduite et l’intervention des différents
acteurs.
C’est ainsi que, pour les centrales françaises, il est nécessaire de
séparer les actions de l’équipe de conduite des actions de l’ingénieur
de sûreté qui est appelé par l’équipe de conduite en cas d’accident
et qui peut effectuer un diagnostic indépendant de l’équipe.
● Rôle de l’équipe de conduite
L’activité de l’équipe de conduite peut être divisée en deux phases :
une phase de diagnostic et une phase de conduite.
— La phase de diagnostic inclut la détection de l’accident, le
diagnostic et la prise de décision (choix d’une consigne accidentelle).
L’ensemble de ces opérations a été quantifié en constituant des
courbes donnant la probabilité d’échec en fonction du temps dont
disposent les opérateurs pour intervenir. La figure 6 donne ces
courbes, établies à partir de 200 essais sur simulateur représentatifs
de l’organisation de la conduite qui était en place en 1990. Pour des
changements significatifs de l’organisation de la conduite ou des
procédures de conduite, il est nécessaire d’effectuer de nouveaux
essais sur simulateur représentatifs de la situation réelle.
— La phase de conduite durant la situation accidentelle peut être
traduite par une liste d’actions clés. Il est nécessaire de quantifier
la probabilité d’échec de réalisation de ces actions. Dans les études
françaises, on utilise la formule :
P = P B K j P NR
avec PB probabilité de base estimée à 6 · 10 – 2 (essais
simulateurs),
Kj facteur de contexte valant 1/3, 1 ou 3, selon que les
circonstances sont favorables, moyennes ou
défavorables,
P NR probabilité de non-récupération estimée à partir des
éléments favorisant la récupération : (0)
P NR
Facteurs de récupération
delai < 30’
Alarme et redondance explicite (1)....... 10–1
Alarme..................................................... 3· 10–1
Redondance explicite (1) ....................... 3· 10–1
Pas de facteur de récupération ............. 6 · 10–1
(1) Redondance explicite : lorsque la consigne exige un contrôle de l’action
considérée par un second opérateur.
● Rôle de l’ingénieur de sûreté
L’objectif est de prendre en compte les possibilités de récupération
par l’ingénieur de sûreté qui établit un diagnostic indépendant de
l’équipe de conduite. Cela nécessite de quantifier la probabilité
d’absence de cet ingénieur (s’il n’est pas de quart), ainsi que la
probabilité d’échec dans l’application des procédures ultimes mises
en œuvre dans ces situations dégradées. L’analyse des essais sur
simulateur a conduit à proposer des valeurs de probabilité d’échec
relativement élevées (10–1 pour un délai > 30’, 3 × 10–1 pour un délai
< 30’), compte tenu des inévitables phénomènes de dépendance
entre l’équipe d’opérateurs et l’ingénieur de sûreté.
Il faut noter que la mise en œuvre des nouvelles procédures par
état, dites procédures APE, nécessitera ue requantification complète
de ces facteurs de récupération à l’aide d’essais sur simulateurs
adaptés.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
B 3 831 −6 © Techniques de l’Ingénieur, traité Génie nucléaire
Figure 6 – Modèle de diagnostic : courbes établies à partir de 200
essais sur simulateur (organisation de conduite de 1990)
1.4 Méthode de quantification
Un arbre d’événements est constitué de séquences accidentelles
issues d’un événement initiateur et représentant la défaillance de
certains systèmes de sûreté. Si ces événements sont indépendants,
la fréquence associée à chaque séquence est le produit des proba-
bilités de défaillance de systèmes par la fréquence de l’événement
initiateur. La fréquence de fusion du cœur associée à un événement
initiateur est alors la somme des fréquences associées à chacune
des séquences. Mais ces événements ne sont pas nécessairement
indépendants : il peut exister des interactions entre eux. Celles-ci
sont de deux types :
— interactions fonctionnelles : les événements génériques cor-
respondant à la défaillance de systèmes sont généralement modé-
lisés par des arbres de défaillance. Les événements de base
constituant ces arbres peuvent être communs à plusieurs d’entre eux
(tableaux électriques alimentant des composants de systèmes
P NR différents, source froide refroidissant plusieurs systèmes) ;
délai > 30’ — interactions temporelles : l’instant de démarrage d’un système,
3 · 10–1 sa durée de fonctionnement, peuvent être fonction de la durée de
bon fonctionnement et de la durée d’indisponibilité d’un autre
3 · 10–1 système, dans le cas de système redondant fonctionnant en normal
10–1 secours. De plus, il peut y avoir un délai entre la défaillance d’un
système et l’atteinte de la fusion du cœur, qui peut être mis à profit
6 · 10–1
pour réparer le système défaillant. La non-prise en compte de défail-
lances temporelles peut conduire à des calculs exagérément
conservatifs.
Aucune méthode connue à l’heure actuelle ne permet de prendre
en compte simultanément et rigoureusement les deux types
d’interaction dans l’évaluation probabiliste. Aussi utilise-t-on des
méthodes approchées dans des conditions validées, pour certains
arbres d’événements. Deux grands types de méthodes sont en fait
employés :
— la méthode de traitement explicite des redondances fonction-
nelles (logiciels Lesseps) ;
— la méthode par fusion booléenne (codes Risk-Spectrum, Cafta,
SETS).
■ Logiciel Lesseps [6]
Développé par Électricité de France, il permet de quantifier les
séquences accidentelles d’une étude probabiliste. En fait, il assure
l’enchaînement des résultats de fiabilité des systèmes intervenant
dans chaque séquence évaluée, soit à l’aide d’une modélisation par
arbre de défaillance (code Phamiss [7]), soit par graphe de Markov
(code MARK-SMP développé par la société Elf-Aquitaine, code GSI
développé par Électricité de France).
______________________________________________________________________________________________________ ÉTUDES PROBABILISTES DE SÛRETÉ
Les dépendances fonctionnelles sont traitées en isolant, dans
l’arbre d’événements, les événements communs à plusieurs
systèmes. La fiabilité de chaque système est calculée à partir de la
recherche des coupes minimales (ensembles de composants dont
la défaillance conduit à la perte du système) à partir desquelles on
exprime la fiabilité en fonction du temps par un polynôme ; cela
permet de traiter les interactions temporelles entre systèmes telles
que celles décrites précédemment.
L’inconvénient majeur de cette méthode réside dans l’impossibilité
de déterminer les coupes minimales d’une séquence accidentelle
créée par la défaillance concomittante de plusieurs systèmes, infor-
mation qui peut s’avérer précieuse dans les utilisations des études.
■ Méthodes par fusion booléenne [8]
Pour chaque séquence accidentelle, on réalise la fusion d’un
certain nombre d’arbres de défaillance. La fusion est l’opération qui
consiste à mettre sous la même porte ET tous les événements de
tête des arbres de défaillance de la séquence, et à restructurer un
nouvel arbre dont on calcule ensuite les coupes minimales. Lorsque
la séquence accidentelle implique le bon fonctionnement d’un
système, il convient de ne retenir, parmi les coupes minimales, que
celles qui sont compatibles avec cette situation.
Cette méthode, qui traite convenablement les dépendances fonc-
tionnelles, ne permet de traiter les interactions temporelles qu’à
l’aide d’approximations. Cela étant, l’avantage majeur réside dans
sa facilité d’utilisation, notamment sur micro-ordinateur, et sa capa-
cité à effectuer des études paramétriques de sensibilité aux diffé-
rentes données du modèle.
1.5 Évaluation des incertitudes
L’objectif est d’évaluer les incertitudes sur les résultats finaux, à
partir des incertitudes affectant les données élémentaires. Il est très
difficile d’évaluer les incertitudes résultant de la modélisation de
fonctionnement des systèmes et du manque d’exhaustivité de la
démarche de détermination des événements initiateurs. Aussi, dans
la pratique, l’évaluation se fait en tenant compte uniquement des
incertitudes sur les données de fiabilité, la fréquence des évene-
ments initiateurs et la fiabilité humaine.
Pour ce qui concerne les données résultant d’une statistique
d’événements observés, on utilise généralement la loi du χ2.
Pour ce qui concerne la fiabilité humaine, les incertitudes sont
évaluées par jugement d’expert.
La propagation des incertitudes dans le calcul est généralement
effectuée par une méthode de Monte-Carlo, à partir d’un ensemble
simplifié de séquences accidentelles ou de coupes minimales.
2. Conduite d’un projet
Une étude probabiliste de sûreté d’un réacteur nucléaire est une
étude lourde et complexe, nécessitant des moyens humains
importants pendant plusieurs années. Elle doit donc être conduite
avec les méthodes de gestion d’un projet.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire
■ Il est important de fixer précisément, dès le lancement du projet,
les spécifications détaillées de l’étude qui ont des conséquences
sur le type de modélisation retenue. Il convient de définir :
— la nature des résultats de base recherchés ;
— le besoin d’évaluer les incertitudes ;
— les utilisations envisagées, et en particulier les types d’études
de sensibilité aux données utilisées ;
— le niveau d’informatisation ;
— les possibilités de modification de la modélisation.
■ Il est important d’assurer une cohérence d’ensemble de l’étude, au
niveau des hypothèses et des méthodes générales. Cela conduit à
mener en parallèle les analyses des différentes séquences acciden-
telles. La solution qui semble la mieux adaptée consiste à
décomposer le projet en phases distinctes.
Dans la phase préliminaire, on modélise le fonctionnement de
l’installation (arbres d’événements, arbres de défaillance) et on effec-
tue une préquantification qui permet notamment d’éliminer des
séquences de probabilité trop faible.
À l’issue de cette phase, qui conduit à soulever des questions de
toute nature, on effectue dans une deuxième phase les études
nécessaires pour y répondre (études thermohydrauliques, analyse
spécifique de l’expérience d’exploitation, essais sur simulateur, etc.).
Enfin, la quantification définitive est effectuée dans la phase finale.
Il est important que l’étude soit complètement documentée, de
manière à conserver les approches qui ont été effectivement mises
en œuvre pour résoudre les problèmes.
■ Compte tenu de la complexité d’un tel projet, il est indispensable
de mettre en place une procédure d’assurance qualité spécifique
au projet. On peut distinguer trois niveaux d’assurance qualité :
— premier niveau : c’est l’équipe de projet qui diffuse des rapports
visés par le chef de projet ;
— deuxième niveau : un comité technique est responsable des
actions formalisées au titre de l’assurance qualité ;
— troisième niveau : vérification du bon respect de la procédure.
De plus, la pratique internationale conduit souvent à mettre en
place un contrôle externe indépendant de l’entreprise, afin d’obtenir
le meilleur consensus sur les hypothèses les plus importantes.
3. Applications des études
probabilistes de sûreté
3.1 Résultats de l’étude probabiliste
de sûreté des réacteurs nucléaires
du palier 900 MW
À partir de la méthodologie décrite précédemment, deux études
probabilistes de sûreté ont été réalisées en France et publiées en
1990 : l’une par l’Institut de Protection et de Sûreté Nucléaire sur les
réacteurs nucléaires du palier 900 MW, l’autre par Électricité de
France sur la tranche Paluel 3 du palier 1 300 MW.
Pour les réacteurs de 900 MW, les contributions de chaque famille
à la fréquence annuelle de fusion du cœur évaluée à 5 × 10–5/an sont
données ci-après. (0)
B 3 831 −7
ÉTUDES PROBABILISTES DE SÛRETÉ _______________________________________________________________________________________________________
Famille d’événements initiateurs
Petites brèches du circuit primaire ..........................
Perte de la source froide ultime ...............................
Brèches de taille intermédiaire
du circuit primaire .....................................................
Transitoires primaires et secondaires
(dont l’introduction d’eau non borée) .....................
Transitoires sans arrêt d’urgence ............................
Perte totale d’eau alimentaire
des générateurs de vapeur.......................................
Rupture de tubes de générateur
de vapeur ...................................................................
Grosse brèche du circuit primaire ...........................
Rupture des tuyauteries secondaires ......................
Perte totale des alimentations électriques ..............
Pour les réacteurs de 1 300 MW de conception plus récente, Élec-
tricité de France a évalué cette fréquence à 10–5/an. Les études
françaises ont mis en évidence, ce qui était nouveau, l’importance
des situations à l’arrêt dont la contribution à la fusion du cœur a
été évaluée à 1/3 pour les réacteurs de 900 MW et à la moitié pour
les réacteurs de 1 300 MW. Elles ont également mis en évidence les
risques potentiels liés aux possibilités d’accident de réactivité induits
par l’injection d’eau non borée dans le cœur du réacteur.
Il faut noter que ces résultats ont conduit l’exploitant à mettre en
œuvre sans délai des modifications de conception visant à réduire
les risques mis ainsi en évidence, ce qui illustre l’intérêt de la réalisa-
tion de telles études.
3.2 Amélioration du niveau de sûreté
des installations existantes
L’étude probabiliste de sûreté intègre, comme on l’a vu, l’ensemble
des éléments ayant un rôle vis-à-vis de la prévention de la fusion
du cœur. L’analyse des résultats obtenus permet donc d’identifier
les points faibles de l’installation et de définir les améliorations
susceptibles de diminuer la fréquence calculée de fusion du cœur.
C’est pour cette raison que ce type d’étude est l’outil indispensable
pour effectuer les réévaluations de la sûreté des installations exis-
tantes et, dans la pratique, chaque réacteur nucléaire dans le monde
a fait ou fera l’objet d’une telle étude.
Références bibliographiques
[1] USNRC. – Reactor safety study : an
assessment of accident risks in US commer-
cial nuclear power plants. WASH 1400
(NUREG 75/014), oct. 1975.
[2] LEWIS (H.W.) et al. – Risk assessment review
group report to the US Nuclear Regulatory
Commission. NUREG 0400, sept. 1978.
[3] Severe accident risks : an assessment for five
US nuclear power plants. NUREG 1150.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
B 3 831 −8 © Techniques de l’Ingénieur, traité Génie nucléaire
Contribution 3.3 Facteurs d’importance
des familles des équipements
34,6 %
À partir de la modélisation de l’installation faite dans l’étude, il
19,1 %
est possible d’apprécier l’importance de chaque équipement ou de
chaque action humaine.
10,5 % On peut définir plusieurs types de facteurs d’importance. Dans la
pratique, deux d’entre eux sont utilisés :
9,1 % — le facteur d’importance par diminution de risque :
8,7 %
P1 – P2
F x = --------------------
5,1 % P1
avec P 1 fréquence initiale de fusion du cœur,
4,7 % P 2 fréquence de fusion du cœur en supposant que la fiabilité
4,7 % du composant x est de 1.
1,9 % Ce facteur permet d’apprécier les gains envisageables en cas
d’amélioration de la fiabilité des différents composants ;
1,6 %
— le facteur d’importance par augmentation de risque :
P3 – P1
G x = --------------------
P1
avec P 3 fréquence de fusion du cœur, en supposant que la fiabilité
du composant x est 0.
Ce facteur permet d’apprécier l’importance de l’indisponibilité de
composants. En particulier, il est utile pour déterminer la conduite
à tenir en cas d’indisponibilité survenant lors de l’exploitation du
réacteur.
3.4 Utilisation des études probabilistes
pour les réacteurs futurs
Il est apparu que les études probabilistes, utilisées essentiellement
pour améliorer le niveau de sûreté des réacteurs existants, pouvaient
également être mises en œuvre lors de la conception des nouveaux
réacteurs, surtout pour les projets qui dérivent des installations exis-
tantes. Cela nécessite de définir une modélisation évolutive du réac-
teur qui est complétée au fur et à mesure de l’avancement de la
conception. Les projets américains et le projet franco-allemand EPR
ont décidé d’inclure ce type d’étude dans leur processus de
conception.
Une telle approche permet alors de concevoir l’installation en
visant à respecter un objectif de fréquence de fusion du cœur. C’est
ainsi que les concepteurs des réacteurs futurs se sont fixés un objectif
de 10–6/réacteur/an, ce qui représente une diminution d’un facteur
10 par rapport aux réacteurs existants.
L’outil probabiliste, qui était originellement destiné à évaluer les
risques, devient donc maintenant un outil de conception qui devrait
permettre une meilleure optimisation des systèmes en éliminant les
points faibles de la conception.
[4] Étude probabiliste de sûreté d’une tranche [7] TERPSTRA (K.), DEKKER (N.H.) et Van DRIEL
du Centre de Production Nucléaire de Paluel (G.). – PHAMISS - A reliability computer
1 300 MWe. Électricité de France, mai 1990. program for phased mission analysis and risk
[5] Étude probabiliste de sûreté des réacteurs à analysis. ECN 83, Netherlands Energy
eau sous pression de 900 MWe. IPSN/CEA, Research Fondation.
avril 1990. [8] WORREL (R.B.) et STACK (D.W.). – A SETS
[6] MOLINÉRO (J.). – Produit logiciel Lesseps : user’s manual for the fault tree analyst Sandia
présentation générale. EPS, INFO 010 A, laboratories. NUREG/CR 0465.
avril 1989.