À l’occasion de la fermeture du réacteur numéro 1 de Fessenheim, plus vieille centrale nucléaire de France, Contexte a voulu vérifier s’il existait un lien entre l’âge d’un réacteur et sa dangerosité. Nous avons eu accès à la bible des « événements significatifs de sûreté (ESS) » déclarés par EDF aux régulateurs du nucléaire, recensés dans la base de données Sapide, de l’Institut de radioprotection et de sûreté nucléaire (IRSN). Hervé Bodineau, chef du service de sûreté des réacteurs à eau sous pression à l’IRSN, et Karine Herviou, directrice Systèmes, nouveaux réacteurs et démarches de sûreté, détaillent en quoi consiste la base de données Sapide, ainsi que les évolutions qu’ils attendent. Cet entretien accompagne notre enquête, en libre accès.

À quoi sert la base de données Sapide recensant tous les « événements significatifs de sûreté » déclarés par EDF ?

Hervé Bodineau : Tous les « événements » y sont recensés, ligne par ligne. Chacune indique le site sur lequel s’est produite l’anomalie, le numéro du réacteur, la date. Un titre est donné à l’événement, ses conséquences potentielles et réelles sont décrites.

*Elles sont au nombre de cinq : rigueur d’exploitation, conformité de l’installation, maîtrise des interventions de maintenance, gravité événementielle, analyse de sûreté. Pour éclairer la sûreté d’exploitation d’un réacteur, l’IRSN estime les écarts de performance de l’exploitant dans chacune de ces familles.

À l’origine, chaque ligne recensait une donnée brute. Au fil du temps, nous avons enrichi la base de données de nos propres analyses. Nous avons créé des indicateurs de sûreté, codé des événements par grande famille* (voir ci-contre).

C’est un travail de longue haleine, qui permet de rendre compte de la rigueur d’exploitation du parc nucléaire français – « se dégrade-t-elle ? s’améliore-t-elle ? » – en matière de sûreté, de radioprotection et d’environnement. À l’origine, la base de données ne s’intéressait qu’à la sûreté.

D’où vient cette base de données ?

Hervé Bodineau : Elle résulte d’un réflexe de nos prédécesseurs. Des anomalies sont apparues dès la construction de Fessenheim. La perspective qu’elles se reproduisent avec la construction de Bugey, deuxième centrale mise en service en France, a donné l’idée de capitaliser ce qu’il se passe sur un site, afin d’obtenir un retour d’expérience.

*Notre dataviz ne tient compte que des ESS liés à l’exploitation du parc.

Rien n’était informatisé. Il s’agissait de gros casiers, avec des fiches papiers. Nous nous retrouvons avec près de 30 000 événements dans notre base de données, sur l’ensemble de la construction du parc* (voir ci-contre) et son exploitation. Pour la première base informatique, il a fallu numériser ces fiches papiers, tous les comptes rendus de l’exploitant. Progressivement, notre base de données a été modernisée, et continue de l’être.

EDF dispose de sa propre base de données, qui doit recenser un bon million d’événements. Il s’agit bien plus de signaux faibles. Leur base est tellement grosse qu’EDF est en train de la restructurer, dans un projet intitulé « Caméléon ». L’IRSN a su trier les données dès le départ.

Quel est l’intérêt d’accumuler autant de données ?

Hervé Bodineau : Cela nous permet de disposer d’un retour d’expérience de l’exploitation réelle des installations nucléaires. C’est une sorte de porte qui donne accès à la réalité du terrain. Un tel dispositif permet de comprendre tout ce qui sous-tend l’événement et de partager ce qui est connu de ses conclusions, pour agir et améliorer la maîtrise des risques.

Le retour d’expérience est certainement la plus vieille pratique existant dans les industries à risque. Or, le nucléaire est une activité à risques, dont il faut assurer la maîtrise. Ce système permet de débusquer des choses, peut-être a priori « sans importance ». Mais si elles sont répétitives, des tendances pourront être repérées. Il peut s’agir d’une amélioration ou d’une dégradation de la sûreté.

Un très grand parc comme celui d’EDF est une vraie richesse. Il permet de capitaliser de nombreuses « années réacteurs ». La base de données contient les enseignements, les analyses, les causes profondes et les actions correctives mises en œuvre.

Qu’est-ce qu’un « événement significatif de sûreté » et comment est-il déclaré par EDF ?

*Exemples : arrêt automatique du réacteur, mise en service d’un système de sauvegarde, agression interne ou externe…

Hervé Bodineau : La réglementation impose à l’exploitant de tirer un retour d’expérience du fonctionnement de son installation. Lorsqu’une anomalie se produit sur un réacteur, l’exploitant doit la déclarer dans les 24 heures. L’événement significatif de sûreté est la donnée brute que transmet l’exploitant, sur la base d’un guide (PDF) de l’ASN datant d’octobre 2005, qui recense dix critères de déclaration* (voir ci-contre). Cette déclaration décrit succinctement l’événement, en quelques pages. Puis, dans les deux mois, l’exploitant fournit un « compte rendu d’événement significatif » (Cres) d’une vingtaine de pages ainsi que les actions correctrices mises en place.

Nous faisons une première analyse lors d’une réunion, tous les jeudis, en présence des 29 chargés de site de l’IRSN, qui suivent donc chacun deux réacteurs. Toutes les déclarations de la semaine sont passées en revue pour faire un pré-codage, ce qui permet d’enlever les événements non significatifs, et donc « taguer » ceux qui méritent notre attention.

*Le dernier, pour l’année 2018

L’IRSN établit désormais un avis* chaque année sur le retour d’expérience du parc de réacteurs d’EDF. Cet avis fait l’objet d’une information du Groupe permanent d’experts pour les réacteurs nucléaires, placés auprès de l’ASN.

EDF déclare-t-elle plus d’événements aujourd’hui qu’au début de la base de données ?

*La fusion partielle du cœur d’un réacteur de la centrale nucléaire de Three Mile Island, en 1979, avait été précédée d’un incident « très semblable », « mais sans dommage pour le réacteur » sur un réacteur américain du même type en 1977, selon l’IRSN. « Les opérateurs avaient commis la même erreur d’analyse qu’à Three Mile Island, mais les enseignements apportés par cet incident n’avaient pas été traduits en instructions aux opérateurs. »

Hervé Bodineau : Non, car EDF a « dépénalisé » les déclarations. Cette approche consiste à dire : « J’ai fait une bêtise, voilà ce que j’ai fait. » C’est tout l’inverse d’un système où l’on rechercherait « sur qui va reposer la faute ». C’est ce qui fait notamment que la France « déclare » plus d’événements que d’autres pays.

C’est l’un des enseignements de l’accident nucléaire de Three Mile Island* (voir ci-contre). Ce dernier a été causé par une anomalie technique qui s’était déjà produite sur un autre réacteur. Mais elle avait été gérée localement et les exploitants de TMI n’en avaient pas été informés, faute de partage de manière collective d’une erreur individuelle.

Comment savoir si EDF sur ou sous-déclare ces événements ?

Hervé Bodineau : Parce que nous allons très souvent sur le terrain. Nous parvenons donc à voir, en fonction de l’état réel des installations et des échanges avec les agents EDF, si la rigueur d’exploitation est au bon niveau ou pas et si les bonnes décisions sont prises.

*Son rapport 2019

Par ailleurs, EDF dispose de sa propre filière indépendante de sûreté (FIS), à la tête de laquelle est placé un inspecteur général pour la sûreté nucléaire*. (voir ci-contre). Il y a toujours une personne d’astreinte pour scruter ce qu’il se passe sur le site, de manière indépendante de l’équipe de conduite. En cas de désaccord sur la déclaration d’un événement, le directeur du site organise une confrontation entre le chef d’exploitation et l’ingénieur sûreté. Nous regardons donc les statistiques d’écoute de la FIS, pour voir si elle est privilégiée ou non par rapport à la production d’électricité.

Enfin, tout site industriel passe par des hauts et des bas. Il est impossible qu’un réacteur ne déclare jamais d’événement. Donc un site en apparence « très bon » tout le temps éveillera nos soupçons. Cela dépend beaucoup de la culture du site et du management impulsé par la direction. On voit bien par exemple que la centrale de Fessenheim a surdéclaré, par effet de transparence irréprochable, pendant une période.

Nous faisons donc très attention à la déclaration d’ESS, mais aussi au contenu du Cres, qui donne une bonne perception de la maîtrise des activités à risque sur les sites. Mais l’exercice est forcément entaché de biais, conscients ou inconscients. Sachant que, ces dernières années, EDF a accéléré le mouvement pour homogénéiser ces déclarations entre sites.

Est-il possible d’améliorer encore l’usage de cette base de données ?

Karine Herviou : Aujourd’hui, les événements répertoriés sont exploités jusqu’à un certain point. On peut par exemple faire une comparaison sur les écarts de déclaration entre différents sites. Mais cette observation ne permet pas de trancher sur l’état d’un site. Fessenheim, par exemple, n’est pas un site sur lequel on peut identifier une problématique de vieillissement.

Nous voulons aller plus loin dans l’analyse des causes profondes des événements, et notamment dans le lien entre causes organisationnelles, humaines et les défaillances techniques. Installer ou non une pompe supplémentaire, renforcer ou pas une digue… L’ingénierie, on sait faire. Toucher les organisations ou les hommes, c’est plus complexe.

EDF a tendance à ne pas identifier ces causes liées à l’organisation dans ses comptes rendus. C’est à nous d’essayer de déceler ces faiblesses, mais également ce qui a bien marché et a permis d’éviter une dégradation de l’état de l’installation. Or, nous n’avons pas la souplesse que nous souhaiterions avoir avec l’actuelle base de données. En l’état, son codage contraint les croisements. Nous aimerions être plus libres dans la façon d’interroger la base.

Par ailleurs, la base de données Sapide n’est que l’une de celles à disposition de l’IRSN. Il y en a d’autres.

Comment comptez-vous procéder ?

Karine Herviou : La méthode d’analyse des événements a tout d’abord été revue et enrichie. La base de données est modernisée et les nouvelles technologies (traitement automatique du langage, intelligence artificielle…) sont utilisées pour permettre des analyses plus fines et plus précises des données brutes enregistrées dans la base. Comme vous l’avez par exemple fait avec l’éclairage sur le vieillissement, pour en tirer davantage d’enseignements et disposer d’une vision plus globale.

*Le détail du projet

Démarré en 2017 et développé par une vingtaine de personnes, le projet Pirex* (voir ci-contre) vise à mieux tirer profit de ce retour d’expérience et le rendre accessible à chaque expert de l’IRSN. Au-delà de ce que peut en tirer l’exploitant, les « événements » sont pleins d’enseignements divers.

L’enjeu est d’essayer de faire ressortir des sujets nouveaux, non identifiés jusqu’à présent. Il s’agit de l’une des stratégies pour « casser » le « plafond de verre » de la déclaration d’ESS, observé par tous les experts (notre infographie).

L’objectif est de croiser les données pour que ces bases de données évoluées soient mises à la disposition de tous nos chargés d’évaluation. Ces derniers pourront ainsi faire leurs propres recherches et affiner leur compréhension d’un sujet spécifique, comme l’effet du vieillissement sur les composants. Le projet doit être développé durant les quatre années à venir.