gestion des aléas lors des activités de maintenance

19e Congrès de Maîtrise des Risques et Sûreté de Fonctionnement - Dijon 21-23 octobre 2014

GESTION DES ALEAS LORS DES ACTIVITES DE MAINTENANCE : MAITRISER LES RISQUES MALGRE L’INCERTITUDE

MANAGEMENT OF UNEXPECTED SITUATIONS DURING MAINTENANCE ACTIVITIES: CONTROLLING RISKS DESPITE UNCERTAINTY

Dechy Nicolas, Thellier Sylvie, Rousseau Jean-Marie, Pansier Jacques, Jeffroy François Institut de Radioprotection et de Sûreté Nucléaire (IRSN) Fontenay-aux-Roses, 92262, France

Résumé Les activités de maintenance nécessitant un arrêt programmé d’une unité de production sont menées dans des conditions très variables et sont l’objet de multiples décisions prises pour gérer des aléas situationnels liés aux fortuits rencontrés. En dépit des incertitudes soulevées, l’analyse organisationnelle de ces situations permet de fonder une évaluation des facteurs contribuant à la maîtrise des risques. Cette analyse conduit à discuter des stratégies de recherche de stabilité et de flexibilité, des effets de la complexité sociotechnique, de l’optimisation et de l’usage des marges, et enfin, des ordres de grandeur en matière de criticité des aléas et d’adéquation des ressources compétentes à la charge de travail.

Summary Maintenance activities requiring a planned outage of a production unit are managed in quite variable conditions and are the framework of several decisions taken to deal with situations linked to unexpected events. Despite uncertainties raised, their organizational analysis enables to set the foundations for an assessment of factors contributing to risk management. This analysis leads to discuss the strategies for stability and flexibility, the effects of sociotechnical complexity, and finally some orders of magnitude of criticality of unexpected events and of the adequacy between the competent resources and the workload.

1. Objectif et contexte de la réflexion Afin d’aborder la problématique de la prise de décision dans un monde incertain, nous proposons d’initier notre réflexion par une étude de cas dans un contexte riche en situations de prise de décisions et dont on peut tirer des enseignements génériques : celui de la gestion des aléas lors d’interventions de maintenance dans des installations à hauts risques. Notamment, lorsque celles-ci nécessitent l’arrêt programmé d’une unité de production, de nombreuses décisions sont prises, des centaines de situations d’aléas sont traitées par plusieurs centaines d’intervenants à différents niveaux hiérarchiques (opérationnel, managérial, stratégique) et contraintes de temps. Ces décisions interviennent en temps réel (en réaction à la survenue de l’aléa) ou plusieurs semaines auparavant en anticipation. D’une certaine manière, il est possible de considérer que ces arrêts, préparés et gérés en mode projet, sont une vaste entreprise de réduction des incertitudes et de la variabilité, et de maîtrise des aléas. Dans des systèmes industriels bénéficiant d’une expérience d’exploitation riche et consolidée, la maîtrise des risques ne saurait se réduire à la maîtrise d’aléas non anticipés et d’incertitudes non caractérisées. En effet, de nombreux risques ont été identifiés à la conception, des incertitudes ont été caractérisées, des marges de sécurité retenues, des mesures correctrices suite à l’analyse et au traitement du retour d’expérience en exploitation ont été implantées, et de nombreuses parades, barrières ou lignes de défense de nature technique, humaine ou organisationnelle sont présentes. Certaines dispositions sont parfois prises spécifiquement pour faire face à un type d’enjeu (ex. un équipement important pour la sécurité industrielle) mais d’autres peuvent avoir des effets plus diffus (ex. une « bonne » préparation des activités ou un « pré-job briefing »). Ainsi située et après avoir rappelé les enjeux de maîtrise des risques des arrêts de réacteur nucléaire pour maintenance (§1.1), l’étude de cas réalisée vise à recenser un certain nombre de situations d’aléas qui caractérisent les contextes et les modalités de prises de décisions (§2.1). Les situations rencontrées permettent de poser les bases d’une première classification des aléas et d’une analyse des variables et des incertitudes associées (§2.2). Puis, la réflexion porte (§3) sur les dispositions de maîtrise des risques liées directement à cette gestion des aléas et de la variabilité, notamment en lien avec la prise de décisions. Cette analyse est associée aux enjeux de l’évaluation de la sûreté et de la radioprotection. Enfin, la discussion finale (§4) vise à aborder les principaux enseignements de cette réflexion.

1.1. Organisation des arrêts programmés de réacteurs nucléaires pour leur maintenance Dans le domaine de la production d’électricité, les arrêts de réacteur nucléaire, dit « arrêts de tranche » (AT) sont le cadre d’interventions de maintenance à réaliser dans des durées relativement courtes d’environ un mois pour les Arrêts pour Simple Rechargement (ASR) à des durées plus longues, doublées pour certains arrêts de type « Visite Partielle » (VP) voire quadruplées et plus pour les arrêts de type « Visite Décennale » (VD). La coordination de milliers d’activités et de centaines d’intervenants, notamment les sous-traitants, sur plusieurs semaines en arrêt et mois de préparation, est particulièrement complexe. Cette complexité temporelle (synchronisation d’activités) et spatiale (encombrement, accès…) génère des difficultés dans la maîtrise de l’avancement des travaux, des changements d’état de fonctionnement du réacteur, des circuits et des lignes de défense associées qui conduisent parfois à des événements significatifs pour la sûreté (ESS) et la radioprotection (ESR), voire à des expositions à des radiations au-delà du prévisionnel (IRSN, 2012). Malgré l’arrêt du réacteur, le combustible dégage une puissance résiduelle qu’il convient d’évacuer pour conserver son intégrité. En fonction des états du réacteur, des équipements contribuant à la sûreté sont rendus indisponibles et peuvent nécessiter la mise en œuvre de mesures compensatoires. Ces activités peuvent être source d’erreurs malgré les mesures de prévention et de fiabilisation des interventions. Certains défauts de qualité des interventions de maintenance peuvent défiabiliser des équipements et générer des défauts latents qui seront détectés parfois lorsque le réacteur sera à nouveau en production ou lors de l’arrêt suivant. Pour préparer et réaliser ces arrêts sur des durées aussi courtes que possible tout en maîtrisant les risques, une organisation en mode projet fédère les différents métiers pendant plusieurs mois. Les principales phases du projet d’arrêt de tranche dans lesquelles se prennent différents niveaux de décision sont décrites en figure 1 (puis au cours des §2.1 et §3).

Communication 6E-1 sur 10


Figure n°1 : Les différentes phases d’un projet d’arrêt de tranche (AT) et les niveaux de décision

2. Cas de gestion des aléas de maintenance en arrêt de tranche

2.1 Des exemples de situation d’aléas Les cas présentés ci-après visent à décrire un certain nombre de situations d’aléas qui caractérisent les phases du projet d’AT et les niveaux de décision (cf. figure n°1). Ces cas donnent quelques indications sur les causes de l’irruption des aléas ainsi que sur la résolution de ces situations d’aléas par les acteurs et l’organisation. Leur analyse est effectuée aux §2.2 et §3. 2.1.1. Des aléas en phase de programmation pluriannuelle La programmation pluriannuelle vise à définir des fenêtres temporelles de plusieurs semaines pour réaliser des arrêts de réacteur permettant le rechargement en combustible et la réalisation d’un programme d’interventions de maintenance. De temps en temps, un événement fortuit affecte la disponibilité d’un matériel important (ex. incendie d’un groupe motopompe du circuit primaire, perte d’un transformateur électrique consécutivement à un impact de la foudre) et oblige à anticiper l’arrêt de plusieurs mois (cf. aléa P1 ci-après). Dans ce cas, des milliers d’activités sont à préparer en urgence et des effets en cascade sont observés. De plus, certaines modifications tardives du programme de l’arrêt de tranche sont inévitables. Ces modifications peuvent dépendre de la disponibilité de ressources sur l’ensemble du parc de 58 réacteurs nucléaires (ressources en prestataires, en outils) et induire un « effet domino ». D’autres sont la conséquence de choix stratégiques au regard de la programmation des arrêts suivants comme illustré dans l’exemple ci-dessous. Aléa P1 : Quelques jours après le début d’une VP (avancée de plus de trois semaines suite à un événement fortuit important), les préparateurs apprennent que la VD qui suivra est reportée. En conséquence, les contrôles périodiques réglementaires qui étaient prévus lors de cette VD doivent être intégrés au programme de cette VP, et s’ajoutent alors aux retards initiaux de préparation. Par ailleurs, certains essais périodiques (EP) visant à vérifier la performance et la disponibilité d’équipements n’ont pas été réalisés lors de la mise à l’arrêt (anticipée suite au fortuit) et il faut les replanifier pour qu’ils soient réalisés lors du redémarrage du réacteur à la fin de l’arrêt. Le cadre technique de la conduite doit donc remettre à jour les essais périodiques avec leur gamme support « là on est dans un arrêt atypique, je n’ai rien pu anticiper et j’ai récupéré les essais périodiques prévus en exploitation des quatre dernières semaines ». 2.1.2. Des aléas en phase de préparation et de planification Aléa P2 : Quelques jours avant l’événement fortuit important qui impliquera d’avancer la VP de plus de trois semaines (aléa P1), la série de réunions de revue de l’avancement de la préparation du projet d’AT impliquant les services métiers (maintenance, conduite) et la direction du site, fait état d’indicateurs qui signalent a priori une dégradation macroscopique des conditions de préparation de l’ensemble des activités : il y a des retards, des nouveaux ordres d’intervention s’ajoutent, « le gel du programme est encore lointain », « avec des gens qui se disent trop sollicités, donc on ne sera pas serein pour attaquer l’arrêt ». Aléa P3 : Dans le cadre de la politique industrielle nationale et de la réglementation des achats, une nouvelle entreprise de logistique a été imposée par les services centraux au site, lors du renouvellement du contrat pluriannuel, ce qui a pour conséquence une perte de l’apprentissage organisationnel commun et un surcroit de travail dans un contexte de préparation de l’arrêt déjà dégradé. Aléa P4 : Un mois avant un ASR, les scénarios des activités de maintenance de la cuve du réacteur et des générateurs de vapeur sont présentés au comité ALARA (As Low As Reasonably Achievable) réunissant le projet d’arrêt de tranche et les métiers, afin de définir des actions d’optimisation de la radioprotection, de valider les activités à enjeu radiologique fort et de vérifier les interfaces entre activités. Il est retenu dans le bilan du comité ALARA « de vérifier l’analyse d’impact du nouvel entrant, ses compétences et outillages », car les préparateurs ne savent toujours pas quelle société va intervenir. (cf. aléa R2). Aléa P5 : Un Groupement momentané d’entreprises (GME) de robinetterie a été retenu pour intervenir sur deux sites ayant des arrêts simultanés, correspondant par ailleurs à une phase de pic de charge nationale. La répartition initiale du volume d’affaires de robinetterie attribuée au GME, qui représentait 70 % du volume sous-traité, doit ainsi être réduite à 50 % pour être compatible avec cette situation. Une réunion de lissage de la charge de travail avec les ressources du GME et de l’autre prestataire de robinetterie est organisée. Après deux heures de réunion de lissage, les participants considèrent qu’ils sont plutôt en réunion de « pré-lissage » car ils sont encore au stade de la prise d’information. Ils ont ainsi tendance à affecter les interventions au début

Pour l’AT n+1

Élaboration du programme pluriannuel

des AT du parc

Préparation de l’ATn (stratégie

et activités)

Planification des activités de l’ATn

Pilotage de l’ATn (coordination,

replanification…)

Exécution de l’ATn (réalisation des activités…)

Analyse du REX de l’ATn

Appropriation de

l’ATn

Programmation 10 ans à 6 mois avant

Préparation 8 mois avant l’ATn

Réalisation Début de l’ATn à la fin de l’ATn

REX Le mois après l’ATn

Décisions économico-stratégiques nationales sur la maintenance

Décisions techniques et tactiques locales sur le contenu des activités et leur ordonnancement

Décisions opérationnelles locales en temps réel pour la gestion des aléas techniques (défaillances matérielles…) et organisationnels (disponibilité des ressources, coopérations…)



des créneaux temporels d’activité de l’AT plutôt qu’à les étaler dans le temps et se demandent s’il faut élargir la fenêtre de travail au samedi pour tenir compte de la réduction de l’un de ces créneaux de trois à deux semaines. À ce stade de la préparation, l’impact des requalifications

1 des matériels ayant fait l’objet d’activités de robinetterie sur la durée globale de planification et la

gestion de l’interface avec la conduite a été peu instruit (hormis la définition des consignations de circuit). Pourtant, avant cette réunion, dans le couloir, le chef de service des arrêts de tranche avait demandé aux participants de la réunion d’intégrer les requalifications dans la programmation de la ressource et du planning, en y insérant un peu de marges pour absorber les fortuits. 2.1.3. Des aléas en phase de réalisation (pilotage et exécution) Aléa R1 : Un aléa est détecté sur une machine destinée à ouvrir la cuve du réacteur. La phase d’ouverture de la cuve est sensible et il faut donc garantir que la machine puisse être reposée sur le couvercle de la cuve en cas de besoin. Comme il n’est pas possible d’arrêter l’ouverture du circuit primaire, le projet d’AT doit, soit suspendre et réparer la machine, soit changer l’état du réacteur. Dans ce dernier cas, une solution est possible : changer d’état par l’ouverture du trou d’homme du pressuriseur. Une réunion réactive est organisée pour discuter de cette éventualité qui sera retenue. Elle est organisée en urgence et 12 personnes de différents services (conduite, projet d’AT, sûreté, planification, robinetterie, automaticiens) sont présentes. Aléa R2 : Un comité ALARA extraordinaire se tient pour gérer un dépassement de dosimétrie collective sur l’activité de nettoyage des Générateurs de Vapeur. Il est déclenché sur la base du suivi dosimétrique effectué par le Service prévention des risques (SPR). En effet, à la suite du comité ALARA tenu en préparation (cf aléa P4), aucun pilote n’a été défini pour le suivi des actions relatives au changement de prestataire en charge du nettoyage. Ce changement tardif de prestataire a favorisé un défaut de communication sur la pratique employée qui a perduré jusqu’à cette réunion. Des mesures pour limiter les dépassements dosimétriques des intervenants ont été décidées au comité extraordinaire ALARA. Aléa R3 : Dans le Bâtiment réacteur, un chantier est stoppé par un représentant radioprotection car une action d’optimisation de la radioprotection, validée en comité ALARA, n’est pas mise en place. Il s’agit de l’installation d’un mur de plomb en fond de piscine dont le but est de servir de zone de repli aux intervenants. En réalité, le prestataire veut bien descendre le mur de plomb mais ne veut pas réaliser l’élingage, car, ce faisant, il engage sa responsabilité. Le responsable de la prestation de logistique sera mobilisé pour que son entreprise s’en charge. Aléa R4 : Une pompe sur le circuit d’injection de sécurité n’était plus disponible (cristaux d’acide borique obstruant l’aspiration de la ligne). Le repli dans un état de réacteur plus sûr a été décidé par la conduite. Les astreintes métiers sont venues la nuit pour préparer le dossier d’intervention. Le pilote de l’aléa est alors le service de maintenance, avec une partie électrique pour faire un branchement et une partie mécanique pour le remplacement de la pompe. L’analyse de risques a été réalisée directement en salle de commande pour gagner du temps. Puis, le pilotage de l’aléa est pris en charge par le chef de projet d’arrêt de tranche. La pièce de rechange arrive à 11h. La réunion de traitement de l’aléa commence à 9h25 avec 14 personnes représentant les différents services concernés. Le remplacement de la pompe est décidé. Un responsable sollicite les intervenants présents pour prendre leur avis technique et connaître leur disponibilité. À 12h25, le directeur de projet d’arrêt de tranche annonce qu’il a sollicité les services centraux d’ingénierie suite aux difficultés rencontrées par les électriciens. Il s’interroge sur le pilotage successif de cet aléa par plusieurs acteurs et l’attribue à l’un des responsables de sous-projet de l’arrêt. Une succession d’aléas occasionnera un événement significatif pour la sûreté et plus de quinze jours de blocage au redémarrage du réacteur. Aléa R5 : Un responsable de prestation de logistique explique : « On a un problème de ressources car l’effectif est pris par d’autres sites ». Il est jeune (25 ans), dans l’entreprise depuis cinq ans et a été envoyé en renfort au début de l’arrêt. Il a 11 intervenants sous ses ordres : « je bosse avec des gens que je ne connais pas. Je dois composer avec des CDD, des CDI, des intérimaires, des expérimentés, des inexpérimentés. J’essaie de faire des binômes avec des gens qui connaissent et des gens qui ne connaissent pas. Avec les autres boîtes de logistique, on s’entraide ». Aléa R6 : Dès la mise à l’arrêt du réacteur, une tournée de robinetterie est réalisée pour diagnostiquer l’état des matériels. Plusieurs vannes fuient. L’une d’entre-elles a une fuite importante. En réunion, le chef de projet s’adresse au représentant du service métier (robinetterie) pour connaître sa position. Le sens des demandes au métier est de savoir si l’intervention sera intrusive et de connaître les conséquences pour le scénario de l’arrêt. Le préparateur propose de mettre en attente la décision, le temps d’obtenir le résultat d’une contre-expertise sur l’état de la fuite. Il expliquera que ces situations sont délicates car elles demandent aux préparateurs de devoir se positionner sur l’état de la vanne et son évolution potentielle pendant un cycle de production mais ceci sans avoir la possibilité d’ouvrir la vanne et de faire un diagnostic complet. Aléa R7 : Le projet d’arrêt de tranche privilégie la réalisation d’une activité à proximité de la cuve du réacteur sans la présence du faux couvercle (FOC) alors que le service radioprotection (SPR) souhaiterait une levée partielle du couvercle qui constitue une bonne protection biologique pour les intervenants qui requalifient la machine de chargement. De plus, le stockage du FOC à la place de l’outil de manutention des internes (OMI) fortement contaminé entrainerait un stockage peu adéquat de l’OMI, dans une zone où passent des intervenants. L’OMI a donc été placé dans le passage au niveau 20 m faute de pouvoir le placer sur le toit du pressuriseur, comme cela se fait habituellement. En effet, cette place est réservée au FOC quand celui-ci (pour le moment disposé sur la cuve) sera retiré lors de la montée en eau. La solution trouvée consiste alors à délimiter la zone localisée autour de l’OMI par une barrière de plexiglas et un ruban de signalisation. Aléa R8 : Le chargé d'affaires (CA) est appelé pour préparer une demande de consignation

2 (DC) en urgence pour remplacer un

régulateur électrique sur un diesel de secours. Il relève que, au titre du carnet de prescription, il est interdit d’enlever une pièce sans DC. La pose d’une consignation engendre une indisponibilité sur la voie (de secours) pourtant requise. Il est décidé par le projet d’arrêt de tranche de faire une demande d’intervention immédiate (D2I), réservé au mesurage alors que l’intervention demandée est un dépannage. Après avoir manifesté son mécontentement, le CA prépare la D2I. Les préparateurs préparent le dossier d’intervention et superviseront le pré-job-briefing des électriciens du service de maintenance du site et l’intervention sur le terrain. L’opération se termine sans difficulté majeure mais le débat continuera le lendemain sur l’acceptabilité de l’absence de requalification fonctionnelle du diesel.

1 Série d’opérations et d’essais destinés à valider le caractère opérationnel d’un matériel ou d’un système qui vient de subir une

intervention de maintenance 2 Document autorisant le travail en toute sécurité sur une portion d’un circuit



Aléa R9 : Un samedi soir, avant la mise à l’arrêt pour un ASR, il y a une opération rare (périodicité de 4 ans) à réaliser et c’est la « dernière chance » de la faire dans des conditions acceptables pour ne pas trop impacter la disponibilité du réacteur. L’équipe de quart a été spécialement entraînée (sur simulateur) pour cette activité. Suite à des aléas dans l’après-midi, l’activité est en retard et doit se poursuivre sur le quart suivant avec une équipe non entraînée. Il est décidé que l’équipe de quart descendante reste une heure de plus pour lancer l’opération avec l’équipe de nuit. Les équipes sont tendues malgré l’effort de préparation. Pour l’un des aléas sur un équipement électrique, le chef de projet d’arrêt de tranche va essayer de trouver des renforts d’électriciens doutant de leurs chances de succès : « ce sont des jeunes et c’est une opération qui demande beaucoup de savoir-faire ». L’opération a été réussie avec difficulté dans la nuit mais elle a occasionné un retard de 6h. Le chef de projet doit évaluer les impacts en cascade, même si un tampon temporel a été judicieusement placé et limite le retard à 2h. Les difficultés que l’équipe d’intervention a rencontrées sur l’équipement électrique étaient déjà arrivées en production mais ce retour d’expérience ne leur a pas été communiqué. Ils demandent à ce que ce défaut de communication soit analysé. Aléa R10 : Une équipe d’automaticiens s’impatiente car ils sont en limite d’horaires des électriciens prestataires « les automaticiens, c’est la petite touche finale, dépendant des autres métiers et cela joue sur le stress des lignes managériales, et derrière sur la sûreté ; c’est comme cela depuis février ; on cumule de la fatigue ». Les limites d’effectifs et le recours aux astreintes font débat car s’ils sont sollicités trop systématiquement, ils ne sont plus disponibles pour gérer les événements fortuits en raison des repos à prendre. Ils expliquent que les départs en retraite ces deux à trois dernières années ont réduit le nombre d’automaticiens habilités. Certaines habilitations s’obtiennent après trois à cinq ans de pratique. 2.1.4. Des aléas en phase de retour d’expérience Aléa R11 : Une fiche de retour d’expérience (REX) a été transmise par l’un des sites suite à un retard de quelques jours consécutivement à un défaut initial sur un capteur lors de la requalification de la chaine de la machine de transfert du combustible. Au cours de cette intervention, un second fortuit — une inétanchéité d’une vanne — est détecté. Les observations de l’IRSN montrent que s’ajoutent des enjeux opérationnels de vidange du compartiment combustible par une crépine partiellement colmatée, une partie basse du compartiment fortement irradiante (40 mSv/h à hauteur d’homme et 100 mSv/h en certains points) qui contraindra l’intervention de dépannage, ainsi que des enjeux de sûreté à l’approche d’un changement d’état, avec une indisponibilité d’équipements de sûreté et des difficultés d’interprétation des règles de sûreté. Cet aléa s’est déroulé autour d’un week-end ce qui a perturbé la continuité des opérations, sa traçabilité, et a malmené le collectif et le management de l’arrêt de tranche. Pourtant, dans la fiche REX, seules les dimensions techniques des aléas seront formalisées.

2.2. Premiers éléments de caractérisation de la gestion des aléas et de la variabilité 2.2.1. Classes d’aléa en lien avec la complexité de leur gestion Les équipes des projets d’AT réalisent des analyses de risque dont l’objectif est d’identifier certains aléas potentiels, d’évaluer leur impact sur les performances du projet (notamment en termes de délai) et de définir des parades. Si certaines préoccupations organisationnelles sont abordées lors de cet effort d’anticipation et de préparation aux aléas potentiels, une représentation technique des aléas domine. La classification suivante, que nous proposons, ne focalise pas sur la nature des aléas techniques en tant que telle, mais la complète par la prise en compte de leurs effets sur l’organisation, notamment ceux relatifs à la complexité de leur gestion. En première approche et de manière empirique, à partir des aléas survenus lors de la réalisation des arrêts, il est possible de distinguer cinq classes d’aléas (simple, intermédiaire, compliqué, complexe, événement fortuit important entraînant un « arrêt atypique »). Ils sont gérés par des acteurs différents, en fonction de trois paramètres principaux : leur criticité (fréquence, gravité), la complexité sociotechnique de leur traitement, et la disponibilité de parades. Tableau n°1 : Classes d’aléas en lien avec leur criticité et la complexité de leur gestion

Paramètre

Situation

Criticité de l’aléa (fréquence / gravité)

Complexité sociotechnique du traitement de l’aléa

Disponibilité préalable d’une solution

Aléa « simple »

R5, R7, R10, P4

Gravité faible, le cumul de ces aléas peut doubler le temps d’intervention ;

Fréquence élevée : quelques dizaines de % par intervention

Solution dans le périmètre technique et organisationnel du métier

Défaillance prévisible

Ressources prévues

Aléa « intermédiaire »

R1, R2, R3, R6, R8, R9, P2, P3, P5

Gravité modérée, retarde l’activité ; effet indirects sur la sûreté et la radioprotection par cascade mais impact limité

Fréquence modérée, de l’ordre du % par intervention

Solution dans un périmètre conjoint de plusieurs corps de métiers qui peuvent tenter de préserver leurs marges et leurs intérêts tant que l’impact sur le planning reste raisonnable ; cellule aléa non requise

« Plan B » et solutions connues des métiers

Aléa « compliqué »

R11

Gravité importante sur le planning, impact significatif sur la sûreté et la radioprotection

Fréquence rare, de l’ordre du ‰, une dizaine par AT

Résolution requérant la mise en place d’un mode « projet », changement de statut de l’aléa ; délégation partielle du projet d’arrêt de tranche à une cellule aléa

Similarité avec un « plan B » transposable (du site ou du Parc)

Aléa « complexe »

R4

Gravité importante sur le planning, impact significatif sur la sûreté et la radioprotection

Fréquence plus rare, inférieure au ‰ par intervention, 2 par AT

Résolution requérant une organisation de type « gestion de crise » pilotée par le projet d’arrêt, avec intervention éventuelle d’entités extérieures au site (national, ingénierie, constructeur, autre site…)

Solution à inventer au cas par cas ; pas ou peu d’expérience similaire sur le Parc

Aléa/Arrêt de tranche « atypique »

P1

Gravité très importante (décalage d’un AT) suite à un événement fortuit sur un matériel important ;

Fréquence très rare, de l’ordre du % des arrêts/Parc/an

L’indisponibilité de certains matériels importants suite à l’événement fortuit nécessite un traitement particulier de type aléa complexe mais aussi pour l’ensemble du site car de nombreux acteurs doivent s’occuper alors essentiellement de l’AT

Parades connues mais leur déploiement est lourd et dimensionnant



2.2.2. Niveaux de variables et incertitudes associées impactant la gestion des opérations de maintenance en AT En première analyse, au-delà d’une sensibilité aux typologies d’aléas, la gestion des aléas semble dépendante de conditions très variables. Ainsi et de manière empirique, les observations et les analyses des incertitudes auxquelles sont confrontées les acteurs font ressortir le besoin d’une mise en correspondance avec quatre niveaux de variables sur le système sociotechnique d’organisation des opérations de maintenance en arrêt de tranche (cf figure n°2).

Figure n°2 : Les incertitudes et la variabilité à relier aux différents niveaux du système sociotechnique

Niveau microscopique, à l’échelle de l’intervention : les incertitudes portent sur la durée de réalisation d’une intervention qui peut doubler (incertitude statistique), sur le taux de non-qualités de maintenance (statistique) qui feront l’objet d’une reprise d’activité si elles sont détectées au moment des requalifications, sur les types d’équipements défaillants (qualitative et une part aléatoire) et leur nombre (statistique), sur l’ampleur de l’impact de l’état du matériel (faiblement dégradé, dégradé, défaillant) qui est dans la base d’expérience mais qui, sur le plan temporel, peut dépendre du contexte du planning (combinatoire). Ainsi, l’intervalle de variation est compris entre un aléa simple (changer un joint) et un aléa complexe, avec certains incidents très rares qui peuvent être dimensionnant. La plupart font partie des variations connues et leur impact global est diffus et modéré. Niveau mésoscopique à l’échelle de l’organisation du travail : l’adéquation de la charge de travail avec des ressources compétentes peut-être radicalement changée (glissements de plannings, repos, incidents du travail) et dégradée (incertitude aléatoire et statistique). Les moyens de compenser ponctuellement l’indisponibilité de ressources existent (dépassement de fonction, renforts, sous-traitance ponctuelle) mais les marges de manœuvres sont limitées. Des co-activités sont anticipées et évitées, d’autres sont manquées, et de nombreuses existeront en raison des glissements d’activités ce qui entraînera des effets en cascade (incertitude combinatoire) difficiles à anticiper de manière exhaustive en préparation. Le volume/taux des dossiers prêts, de pièces de rechange réservées, de commandes passées aux prestataires à temps varient (incertitude statistique). Niveau macroscopique à l’échelle du site : du côté charge de travail, le volume de maintenance peut varier du simple au quadruple selon les types d’AT, et du simple au double entre le gel du programme de maintenance six mois avant l’AT et sa fin. Les ressources compétentes peuvent être disponibles en interne, ou professionnalisées en quelques semaines (changement de poste), ou faire l’objet de contrats avec les sous-traitants quelques mois avant. Les choix d’organisation se font avec des marges faibles (rythme de déploiement des changements, affectation structurelle et pérenne des embauches, choix d’organisation et de sous-traitance pour les AT). Le type d’incertitude concerne les niveaux de variation (statistique) et le sens global de l’évolution de l’adéquation charge-ressources. Les retards de la campagne annuelle d’AT précédente d’un site (Centre Nucléaire de Production d’Électricité-CNPE) peuvent rendre caduque l’organisation retenue et diviser par deux le temps de préparation. Celle-ci est alors « atypique ». Des événements fortuits importants (incertitude aléatoire) peuvent engendrer un arrêt, voire une campagne « atypique » pour un CNPE. Les analyses de risque projet visent à les identifier. La maintenance préventive permet de réduire la fréquence de ces aléas mais leurs conséquences restent élevées (quelques semaines d’arrêt en plus). Niveau stratégique à l’échelle du Parc : plusieurs de ces variables fixent les contraintes et les marges de programmation de la charge de maintenance qui s’anticipent sur 3 à 10 ans (ex. vieillissement des équipements). D’autres se situent au niveau de l’organisation des ressources (compensation du « papy-boom »), de la politique industrielle de sous-traitance (tissu industriel, filières de formation), du rythme des changements organisationnels d’envergure sur l’ensemble des CNPE, et des évolutions culturelles (ex. privatisation, « génération Y »). De nouvelles contraintes et ressources à l’échelle du Parc nucléaire apparaissent (effets dominos, mutualisation). Le type d’incertitude concerne principalement l’ordre de grandeur de variation des variables, le faible caractère mécaniste des effets (facteur d’influence), leur retombée en « pluie fine » à moyen terme (sans retour immédiat).

Pour l’AT n+1

Élaboration du programme pluriannuel

des AT du parc

Préparation de l’ATn (stratégie

et activités)

Planification des activités de l’ATn

Analyse du REX de l’ATn

Appropriation de

l’ATn

Programmation Préparation Réalisation REX

Incertitude et variabilité « strato » - Préservation de l’outil industriel et volumes de maintenance - Pérennité des choix technologiques - Contextes politique, économique, démographique, sociétal…

Incertitude et variabilité « macro » - Maintien du gel du programme - Temps de montée en compétences - Gestion des changements organisationnels

Incertitude et variabilité « méso » - Exercice des responsabilités, rôles et dépassement de fonction - Pilotage des interventions (coordination, contrôle, communication, co-activité…) - Adéquation charge/ressource compétente

Incertitude et variabilité « micro » - Temps d’intervention - Environnement physique direct de l’intervention - Compétences et outillage pour l’intervention - Aspects logistiques (pièces de rechange…)

Exécution de l’ATn (réalisation des activités…)

Pilotage de l’ATn (coordination,

replanification…)



3. Maîtriser les risques malgré l’incertitude L’analyse empirique de premier niveau (§2) a permis de situer les besoins fonctionnels auxquels l’organisation devra répondre. Il s’agit bien, d’une part, de disposer de capacités à gérer plusieurs types d’aléas situationnels qu’ils proviennent d’événements fortuits affectant les matériels ou d’inadéquations entre l’organisation requise et celle disponible. D’autre part, un certain nombre de dispositions viseront à réduire la variabilité (ex. des charges de travaux de maintenance) et à la maîtriser en régulant les inadéquations entre le prévu et le réel. Ces dispositions sont décrites et analysées dans cette troisième partie. La maîtrise des aléas et de la variabilité des conditions d’intervention fait l’objet de plusieurs dispositions dont l’efficacité a été évaluée lors d’une instruction de l’IRSN (2014) de type analyse organisationnelle (Rousseau et Largier, 2008, Llory et Dien, 2010, Llory et Montmayeul, 2010, Dechy et al, 2011). Elle s’est appuyée, entres autres, sur les enseignements et les pratiques des précédentes instructions de l’IRSN sur le management de la sûreté et de la maintenance, sur l’analyse des événements et accidents industriels passés (Dechy et al, 2010), et sur une revue des pratiques nord-américaine en matière de pilotage des AT.

3.1. Déployer un nouveau référentiel d’organisation des arrêts pour fiabiliser et augmenter les performances Les CNPE ont chacun, des contraintes, des structures et une histoire différentes, ce qui les amène à absorber différemment les changements organisationnels. Cependant des similitudes apparaissent dans le déploiement du nouveau référentiel de pilotage en AT (COPAT). Le COPAT est un mode d’organisation du projet d’AT qui vise à augmenter sa plage horaire (2x8h), ce qui induit quelques risques et avantages. Le mode de pilotage en COPAT reste cependant minoritaire en 2012. La démarche nationale et locale de conception et de conduite du changement (De Beler et Le Guilcher, 2010) qui intègre une analyse des risques organisationnels (recommandée par l’Agence internationale de l’énergie atomique, INSAG 18), a favorisé les débats et l’appropriation du référentiel par les CNPE qui ont pu et su en faire bon usage. Cependant, devant le faisceau de contraintes pesant sur les CNPE, ces derniers n’ont pu déployer l’ensemble des éléments du nouveau référentiel d’organisation et sont restés dans une logique prudente et pragmatique face aux ambitions initiales des services centraux. Les services centraux se sont par ailleurs dotés de nouvelles capacités d’accompagnement du nouveau référentiel de management des arrêts de tranche.

3.2. Agir sur les contraintes de la programmation pluriannuelle des campagnes d’arrêts de tranche Une cinquantaine de réacteurs est mise à l’arrêt pour maintenance chaque année. En 2012 et en 2013, de nombreux arrêts de tranche ont connu des aléas techniques importants, des retards significatifs et un nombre conséquent d’ESS. Afin de prévenir ces difficultés, EDF agit sur trois leviers. Le premier est l’augmentation des ressources disponibles, en stimulant le tissu industriel et en donnant une visibilité pluriannuelle aux prestataires. Le second consiste à jouer sur l’espacement dans le temps des arrêts d’un même site, mais les impératifs technologiques et industriels (gestion de combustible, prescriptions réglementaires, demandes hivernales d’électricité…) limitent les marges de manœuvre. Le dernier levier consiste à maîtriser la durée des arrêts en limitant autant que faire se peut les retards. L’IRSN a étudié le déroulement de trois arrêts sur trois CNPE qui ont connu chacun des aléas et des retards importants. Il ressort des observations que le non-respect de la programmation des campagnes d’arrêts est très fréquent. Cette situation oblige les CNPE à opérer des renoncements sur les phases de préparation et de retour d’expérience des arrêts. Les contraintes sont nombreuses et fortes, les marges de manœuvre faibles. Cependant, une investigation sur ces leviers est en cours notamment dans la perspective du « grand carénage » (maintenance et modifications lourdes d’équipements envisagées pour prolonger la durée de fonctionnement des centrales).

3.3. Protéger la phase de préparation de l’arrêt de tranche Les deux variables principales sur lesquelles EDF agit en phase de préparation des arrêts de tranche sont : la maîtrise du gel du programme des interventions de maintenance et la maîtrise de la préparation modulaire. Le gel du programme de l’arrêt est un levier important pour réguler la charge des travaux de maintenance à réaliser. Il consiste entre 6 mois et 4 mois avant le début de travaux à figer le prescriptif (travaux de modifications de l’installation, nature et volume des opérations de maintenance préventive et curative,…). Un gel tardif déstabilise la préparation par les métiers des activités. Des dispositions préventives sont prises pour réguler les demandes justifiées de travaux mais elles présentent des fragilités (cf. aléa P2). Des demandes tardives sont émises par les services centraux d’EDF, l’Autorité de sûreté, et les métiers, chacun exerçant sa responsabilité pour améliorer la sûreté, mais l’effet d’entonnoir au niveau des CNPE reste trop élevé. Les dispositions réactives et préventives doivent encore être renforcées afin d’assurer une plus grande visibilité aux acteurs de la préparation qui permettra une stabilisation effective du programme d’arrêt suffisamment en amont de sa réalisation. La préparation modulaire est un levier central de la coordination des interventions de maintenance et de conduite pendant la réalisation de l’arrêt. Il s’agit de séquencer les différentes phases de préparation, qui débutent par le traitement de milliers de demandes d’intervention afin d’aboutir à des activités préparées et planifiées selon une trame prédéfinie. Au cours de cette phase de préparation modulaire, de nombreuses réunions de coordination sont organisées, dont certaines avec les prestataires, pour expliciter les enjeux et les critères de performance de chacun des acteurs. Le résultat des prises de décision intègre les enjeux et les règles de sûreté, de radioprotection et de disponibilité sous la forme de compromis entre les différentes exigences. L’instruction de l’IRSN a mis en évidence cette capacité de préparation (cf. aléas P2, P3, P4) mais aussi des déficits structurels et conjoncturels de ressources dans des campagnes d’arrêts impactées par des aléas qui amènent le management et les acteurs à réaliser des renoncements en phase de préparation et des réaménagements réactifs. L’enjeu principal est alors de protéger cette phase de préparation qui est essentielle afin de rendre les dispositions de préparation modulaire applicables.

3.4. Fiabiliser la planification initiale des activités de l’arrêt de tranche La planification des activités vise à livrer un planning des activités à réaliser ce qui constitue le second produit clé de la phase de préparation (après la préparation des activités). Il s’agit d’un enjeu majeur, car si le planning est bien préparé, son respect en phase de réalisation peut être considéré comme un gage de sûreté (en raison d’un placement de chaque intervention dans un bon créneau de sûreté qui est un créneau temporel dans lequel l’état du réacteur est compatible avec l’intervention, et d’une coordination avec des co-activités réduites) et d’optimisation de la radioprotection (co-activités réduites, limitation de l’exposition à des radiations). Les principales contraintes du planning des activités de l’arrêt sont identifiées dès la phase de définition du programme pluriannuel notamment la durée de l’arrêt et des activités (le scénario est préétabli). Des marges sont insérées dans le planning pour sécuriser des jalons intermédiaires (cf. aléa R9). Elles peuvent faire l’objet de négociation (avec un avenant à la durée initiale) entre le CNPE et les services centraux. De même, la mise en adéquation de la charge de travail avec les ressources, en terme d’effectifs et de compétences (« lissage de la charge ») permet de fiabiliser le planning (cf. aléa P5). Malgré la mise en œuvre de l’ensemble de ces dispositions, le caractère réaliste des durées cibles est fréquemment remis en cause par les retards des arrêts. L’instruction de l’IRSN révèle un écart important entre les estimations planifiées lors de la préparation et la réalité des durées observées lors de la réalisation. L’aléa à considérer est celui d’un excès d’optimisation qui risquerait de défiabiliser le planning et de créer des aléas en cascade liés à des glissements d’activités au planning.



3.5. Favoriser l’appropriation de la préparation d’arrêt par les nouveaux pilotes de l’arrêt L’appropriation de la préparation par les pilotes d’arrêt est une étape indispensable pour l’acceptation des objectifs et des enjeux de l’arrêt, la connaissance des interventions à réaliser, de leurs risques et des parades associées. Elle doit assurer la continuité entre les phases de préparation et de réalisation. Pour le projet d’arrêt, ce besoin est nouveau en raison de la « rupture » avec le mode projet introduit par l’organisation en mode COPAT qui doit assurer une continuité de pilotage sur une plus grande plage horaire (en 2x8h). Les pilotes « remplaçants » qui n’ont pas préparé l’arrêt sont donc informés lors des séminaires d’arrêt, et ultérieurement en phase de réalisation lors des relèves. Le temps consacré semble insuffisant par rapport à l’ampleur du besoin.

3.6. Piloter l’arrêt de tranche L’anticipation est une fonction qui est confiée à la tête du projet d’arrêt de tranche et qui consiste à construire et réactualiser au vu de l’avancement des travaux, une vision des activités sur 24h, 48h et 72h. L’analyse de l’IRSN montre que la prise de recul et l’anticipation sont dégradées par la densité des réunions et la réaction aux aléas. Le « zapping » des sujets est important et le mode de traitement des informations et micro-décisions au quotidien s’apparente au « butinage ». Par ailleurs, une préoccupation des acteurs du projet à résoudre les aléas au fil de l’eau afin de continuer à faire avancer le projet et une prédisposition au traitement d’aléas techniques amènent ces derniers à voir leur vigilance monopolisée par le temps réel (cf. aléas R1 et R4). Sur l’un des sites, une cellule aléa a été gréée mais elle a rencontré des difficultés de positionnement pour les aléas intermédiaires pilotés directement par les métiers et sa sollicitation a été moindre pour les aléas compliqués nécessitant par ailleurs de maintenir une responsabilisation des métiers qui en ont conservé l’instruction. La cellule aléa ne pilote donc pas et assure plutôt un appui au traitement. Les membres du projet d’AT ont tendance à traiter les aléas déstabilisateurs et les événements fortuits à la place de la cellule aléa ou d’un pilote dédié à cette tâche (cf. aléa R4). En l’absence de cellule aléa, des problèmes de continuité et de traçabilité sur un aléa long sur une fin de semaine ont été observés (cf. aléa R11). Un des défis majeurs d’un arrêt est d’assurer la coordination des activités et des acteurs. La coordination de l’ensemble des acteurs repose sur une dimension spatiale (entre le projet et le terrain) et une dimension temporelle (besoin de synchroniser les acteurs et les flux d’information). Des relais ont été mis en place sur le terrain pour remplir deux fonctions essentielles, l’extension du pilotage et la régulation sur le terrain. Cependant l’analyse de l’IRSN montre que la circulation de l’information est sinueuse et complexe. Si la redondance des canaux d’informations peut être source de fiabilité, il existe aussi certaines lourdeurs qui ont pour conséquence la recherche de raccourcis, ce qui affaiblit la structure prévue pour assurer la coordination et le contrôle. Ces fragilités sont accentuées par des difficultés d’ordre temporel en raison d’une désynchronisation des métiers de maintenance entre eux, entre les métiers et le projet d’arrêt, et avec les relais et la conduite (en 3 x 8h). Le planning des activités est un outil de pilotage essentiel au bon déroulement des arrêts. Le principe de respect du planning garant de la sûreté par l’affectation au bon créneau de sûreté et de la coordination avec les autres activités ne peut-être un principe généralisable à toutes les situations. En effet, dans certains cas, il peut être vecteur de pressions temporelles. Ainsi, une ambivalence permanente est associée à ce respect du planning et l’interprétation qu’il faut en faire est de l’ordre du cas par cas. Néanmoins, l’analyse de l’IRSN révèle que le planning est fréquemment redéfini au cours des arrêts du fait des événements fortuits, ce qui conduit à l’élaboration et à l’utilisation de plannings parallèles. Le statut fédérateur du planning est alors perdu. L’IRSN a observé, par ailleurs, des changements excessifs de stratégie et de planification. L’exercice des responsabilités lors des arbitrages de sûreté et de radioprotection : de nombreuses dispositions sont prévues pour mobiliser des représentants des métiers (maintenance, conduite, sûreté, radioprotection) que ce soit dans la structure du projet d’AT, et lors des réunions. Les décisions prises lors de la réalisation de l’arrêt peuvent conduire au maintien des compromis établis en préparation entre les enjeux de sûreté, de radioprotection et de disponibilité, ou à de nouveaux arbitrages au regard des aléas (cf. aléa R1). Si dans la majorité des cas ces dispositions sont favorables à la prise en compte des enjeux de sûreté et de radioprotection, les arbitrages initiaux peuvent être remis en cause, notamment au détriment de la radioprotection, en situation d’aléa et de tension du planning (cf. aléas R3 et R7). Les acteurs font part d’exigences croissantes de justification sur la nécessité de réaliser une intervention et sur sa faisabilité (cf. aléa R6). Elles sont également présentes pour « l’appui expert sûreté » lorsqu’il s’agit de lever une réserve bloquante : « la grosse difficulté, c’est toujours justifier. Et justifier la justification ». Cette logique concerne également la radioprotection : « Tant qu’on sait expliquer les mouvements ou dépassements de dose, ça va… » (technicien en radioprotection). Cette logique de la preuve s’inscrit dans une dynamique de traçabilité et d’exercice des responsabilités à tendance bureaucratique (Journé, 2001). Elle s’accentue avec la densification des activités, car les acteurs n’ont pas toujours le temps de vérifier les informations, ni d’échanger dans des collectifs de travail éclatés. Justifier de faire ou de ne pas faire consomme du temps, de l’énergie, des ressources et repose sur des gens « solides », capables de défendre leur point de vue, leur représentation de la fiabilité et de résister aux pressions du projet « Pour se positionner, il faut de l’expérience et de l’aplomb, quand tu as six personnes du projet qui te regardent… ». De plus, les acteurs issus des métiers qui sont intégrés dans la structure d’arrêt peuvent dans certaines situations plus porter les enjeux du projet que le point de vue qui relève de leur compétence, et favoriser de la part de la structure d’arrêt une posture d’inversion de la charge de la preuve (mis en exergue lors de la décision de lancement de la navette spatiale Challenger en 1986, cf CAIB, 2003). Les métiers (conduite, maintenance, filière indépendante de sûreté) se trouvent alors dans la situation de devoir prouver la non-sûreté du compromis arbitré par le projet d’arrêt (cf. aléa R6). En définitive, la présence des représentants des métiers dans les premiers cercles de décision favorise structurellement la prise en compte de la sûreté et les observations de l’IRSN montrent que les décisions importantes pour la sûreté (changements d’état) ne sont pas ou rarement remises en cause (cf. aléa R8). Toutefois la présence d’un représentant des métiers ne garantit pas systématiquement sa prise en compte pour les décisions courantes. L’inversion de la charge de la preuve et les difficultés à maintenir leur positionnement en sont deux explications. La problématique est différente pour la radioprotection, dans la mesure où celle-ci n’est pas systématiquement présente ou représentée au COPAT. L’enjeu est géré au niveau des chantiers (préparation, réalisation), et les observations de l’IRSN montrent que les acteurs dédiés peinent parfois à remplir leurs missions de prise en compte de la radioprotection. Au niveau de la prise de décision, les situations d’aléa, en particulier d’évolution de scénario (changement au planning, dans la disponibilité des parades) peuvent potentiellement engendrer un accroissement de l’exposition au risque ou une dégradation de la maîtrise des risques. Les observations de l’IRSN montrent que le poids de la radioprotection apparait encore trop faible dans un certain nombre de situations, à la fois dans la structure d’arrêt et sur le terrain, et que les arbitrages entre les enjeux de sûreté, de radioprotection et de disponibilité pourraient davantage considérer la radioprotection dans ces situations. Pour cela, il est nécessaire que ces acteurs soient suffisamment détachés du projet d’arrêt de tranche pour leur permettre de porter pleinement les enjeux de radioprotection. L’indépendance des acteurs est cependant parfois difficile à maintenir en situation.



3.7. Exécuter les activités de maintenance L’exécution des activités de maintenance au cours de l’arrêt est confiée à trois catégories d’acteurs : les équipes de conduite en quart, les métiers de maintenance et les prestataires. Plusieurs dispositions sont prévues pour assurer la transmission des enjeux des activités de maintenance aux intervenants et pour leur permettre de se les approprier (réunion de levée de préalables, visite de chantier, pré-job-briefing). L’instruction de l’IRSN a mis en évidence que les conditions requises pour mener à bien les interventions ne sont pas toujours réunies. Il en résulte pour les acteurs un effort d’adaptation permanent qui contribue à la réussite des activités de l’arrêt, mais induit des risques et des fragilités. Les interventions font l’objet notamment de nombreuses interruptions et reprises, ce qui multiplie les besoins de transmission d’information, de décisions et contrôles croisés. Ces situations à risques méritent d’être mieux caractérisées afin de compléter les dispositions existantes. Des dispositions existent pour favoriser l’intégration des prestataires, avec des contrats passés sur des durées pluriannuelles pour donner de la visibilité ainsi que des réunions d’analyse de risque sur des interventions importantes, intégrant des discussions sur la planification pour lisser la charge des travaux de maintenance en fonction des ressources. Cependant l’IRSN a constaté que les dispositions contractuelles génèrent des contraintes qui sont à la fois un levier et un frein pour le pilotage de l’exécution.

3.8. Constituer et utiliser le retour d’expérience d’arrêt de tranche (REX) La dernière grande phase de l’arrêt de tranche – la constitution du REX - est aussi la première de l’arrêt suivant - l’usage du REX. Un temps est donc réservé à cette phase mais il n’est pas assez protégé. L’analyse de l’IRSN fait état d’efforts et d’investissements dans la constitution du REX sur le plan quantitatif. Le plan qualitatif mérite encore d’être développé (analyses des causes profondes). L’usage du REX est stimulé et opérationnalisé par des outils et des bases de données mais l’ensemble reste fragmenté compliquant son usage. Il reste alors l’expérience, ce qui nécessite une pérennité des collectifs de travail.

3.9. Conclusions de l’évaluation sur les facteurs de performance de l’arrêt de tranche En synthèse, un AT « réussi » dépend de six catégories de facteurs d’influence qui interagissent (cf. figure n°3) et qui sont fortement dépendantes les unes des autres lorsque l’on considère les caractéristiques d’une situation particulière. Pour maîtriser ces facteurs d’influence, EDF prévoit des leviers d’action qui sont pertinents dans leur principe. Une mise en œuvre efficace de ces leviers peut faciliter la réussite de l’arrêt de tranche. Si l’analyse a été présentée facteur par facteur, il conviendrait d’agir de manière coordonnée sur ces différents leviers en caractérisant au préalable les mécanismes par lesquels ils agissent sur les facteurs de performance correspondants. Il faut noter que ce sont souvent ces mêmes facteurs qui agissent sur la performance économique de l’arrêt. Les leviers d’action portent ainsi de façon intégrée, indissociable mais également parfois contradictoire, les impératifs liés à la sûreté, à la radioprotection, à la sécurité, à l’environnement, à la dimension économique et sans doute également à la dimension sociale de la gestion des arrêts.

Figure n°3 : Le modèle d’évaluation de la maîtrise des risques en arrêt de tranche (AT)

Si de nombreuses dispositions de maîtrise des risques ont été prises pour constituer une défense en profondeur organisationnelle, les dysfonctionnements identifiés peuvent indiquer une érosion de celle-ci. Il devient dès lors nécessaire de retrouver des capacités d’amélioration continue de manière globale et spécifiquement dans les arrêts de tranche. Les contraintes actuelles de ressources liées aux départs en retraite doivent être prises en compte pour adapter la charge de travail liée aux cumuls de changements organisationnels et aux augmentations des volumes de travaux de maintenance. Ceci renvoie à une stratégie globale de conduite du changement tenant mieux compte des capacités opérationnelles et des difficultés de terrain. En effet, il s’agit de prioriser (par du renoncement parfois) pour prévenir les menaces de demain et protéger la robustesse des choix d’organisation et des équilibres sous-jacent qui les fondent (ex. adéquation charge-ressources).

Constitution et usage du

REX

Gestion des ressources (effectifs,

compétences, matériels)

Maîtrise des

risques en AT

Pilotage et processus de

décision

Disponibilité des compétences

(internes, externes) appropriées au bon

moment

Planification & coordination du

travail (métiers & sous-traitants)

Facteur

d’influence Cible

Levier d’action

Management du changement & des interactions entre les changements

Interfaces fluides, métiers coordonnés

(conduite, maintenance, logistique) &

prestataires intégrés

Activités préparées intégrant le REX

technique et organisationnel

Informations fiables, disponibles &

décisions légitimes, connues, suivies

Programmation pluriannuelle, gel

et préparation modulaire de l’AT

Boucle indépendante de

contrôle des risques

Organisations lisibles

&comprises



4. Discussion et axes de réflexion En premier lieu, plutôt qu’une problématique sur des décisions « ultimes » en univers incertain, l’étude des cas et la réflexion présentées font apparaître une problématique plus complexe, plus globale, relative à la continuité des décisions dans une chaine décisionnelle. La gestion opérationnelle des aléas dans un contexte très variable est alors très dépendante des effets d’antériorité de la gestion d’aléas macroscopiques et stratégiques. Auquel cas, nous pouvons faire l’hypothèse que c’est par la mise en œuvre efficace des dispositions organisationnelles évaluées (§3), qu’une réduction globale de la variabilité et des incertitudes sera obtenue ce qui aura pour conséquence de réduire nombre de situations risquées de décision dans l’incertain et devrait entraîner une amélioration substantielle de la maîtrise des risques. En second lieu, l’analyse des modalités de prévention et de gestion des aléas liés à la maintenance est une voie essentielle pour renforcer à terme la robustesse de la maîtrise des risques et des performances industrielles. Le cas particulier de milliers d’interventions de maintenance dans les centrales nucléaires, à coordonner dans un contexte très variable, pose directement la question de l’industrialisation des performances, notamment en matière de sûreté et de radioprotection. Quelques axes de réflexion (ayant des portées génériques pour les arrêts pour maintenance d’unités de production) sont proposés. Certaines réflexions initiées dans ce cadre font échos aux travaux de l’ingénierie de la résilience, des organisations à haute fiabilité et du management de l’incertitude (Weick et Sutcliffe, 2001, Hollnagel et al, 2006, Grote, 2012). Pour améliorer la situation, deux voies complémentaires sont couramment évoquées, l’une qui relève de la recherche de stabilité et l’autre du maintien d’une certaine flexibilité (cf. figure n°4). Sans être exhaustif, ces principes généraux permettent de situer quatre pistes de réflexion.

Figure n°4 : un équilibre nécessaire entre stabilité et flexibilité pour la maîtrise des risques

4.1. Réduire la complexité du système sociotechnique Avant d’avancer quelques réflexions plus organisationnelles sur la recherche de stabilisation, il convient de reconnaître un écueil qui relève de l’extrême complexité sociotechnique à laquelle font face les acteurs de la maintenance des réacteurs nucléaires. La présence de milliers d’équipements, entraîne des milliers d’opérations de maintenance qui s’accompagnent de leurs lots d’exigences documentaires et de contrôles pour assurer la qualité des interventions en toute sûreté. Il n’y a pas de paramètre unique voire « magique » pour solutionner une équation à une infinité de variables. Dans ces circonstances, la plupart des acteurs font preuve d’humilité et de prudence quant aux capacités à atteindre les objectifs. Cependant, il existe des marges pour réduire la complexité du système, comme en témoignent les réflexions portant sur la simplification documentaire et administrative. D’autres réflexions viseraient à ré-interroger certains choix qui ont tendance à complexifier l’organisation. L’ajout structurel de rôles aux interfaces pour arbitrer (comme le projet d’arrêt de tranche) entre des logiques métiers et territorialistes (comme celles de l’exploitation et de la maintenance, celles du contrat avec la sous-traitance) a contribué à complexifier progressivement l’organisation (Dechy et al, 2012). Il faut y ajouter l’effet de l’exploitation d’un parc de 58 réacteurs qui, s’il fournit aussi des ressources additionnelles, complexifie les effets en cascade dans le macro-système technique que ce soit au travers des outils ou de la disponibilité des prestataires de CNPE en CNPE. Plus conjoncturellement et de manière plus dynamique, le rythme et le cumul de changements organisationnels ont accentué les variations de certains paramètres, et ont généré des difficultés d’appropriation de l’organisation ce qui a fini par accroître les tensions dans le système. Ce risque a été matérialisé à la NASA où les « torrents de changements organisationnels » ont favorisé l’occurrence de l’accident de la navette spatiale Columbia (CAIB, 2003).

4.2. Diminuer l’optimisation pour augmenter les performances En seconde approche, il semblerait que certains des leviers de stabilisation afin d’industrialiser les arrêts de tranche ont déjà été largement exploités. Pourtant certains choix organisationnels, comme l’alternance entre les arrêts pour simple rechargement et les arrêts de type « visite partielle », la variabilité des modes d’organisation ou le turnover des équipes qui les gèrent illustrent un manque de standardisation. Un exploitant nord-américain a fait le choix de standardiser les arrêts de tranche, le mode d’organisation et la stabilité du personnel. La stratégie complémentaire, s’appuie sur une gestion délocalisée, sur des dispositions progressives pour gérer les aléas, protégeant la robustesse et favorisant la résilience, notamment avec l’introduction de nouvelles marges et d’une sous-optimisation. Ainsi, l’un des paradoxes auquel aboutit cette réflexion dans ce contexte est, qu’au moins pendant un certain temps, pour industrialiser, il faut sous-optimiser ! En effet, dans le cas contraire, un excès de recherche de l’optimisation des performances productives dans ce contexte nettement plus aléatoire qu’attendu (cf. §4.3) contribue à entraîner des dé-fiabilisations en cascade. L’usage limité de tampons temporel de sécurité, contribue à accentuer la complexité de la gestion du

Maîtrise des variabilités et des situations d’incertitude

Stabilité Flexibilité

Décisions efficaces

en temps réel Réduction des

incertitudes

Leviers de stabilité

Planification,

anticipation, contrôle

Standardisation, procéduralisation

Pérennité des organisations

Automatisation

…

Leviers de flexibilité

Délégation locale

(décentralisation du « macro »)

Autonomie du pilotage des ressources

Préservation des

marges (sous-optimisation)

…



planning par un couplage excessif qui entraîne des effets en cascades, avec un caractère excessivement dynamique (ex. des histogrammes d’activités avec des pics plus forts et plus dynamiques) et des effets potentiels sur la sécurité industrielle (cf. l’accident de Columbia (CAIB, 2003), avec les effets sur le report de traitement d’écarts ou d’anomalies en raison du respect du planning de lancement des navettes spatiales prévu pour livrer les modules de la station spatiale internationale). Le manque de marges de sécurité, de temps de respiration, de capacités à écrêter les pics d’activité se retourne contre les pilotes du système qui ne peuvent sortir d’un cercle vicieux sans renoncements. Dans certains cas, et sans marges pour accepter de nouveaux fortuits ayant un impact sur la sûreté, cette posture peut conduire à basculer dans l’inversion de la charge la preuve. Enfin, cette absence de marges pour garantir la fiabilité des performances, peut contribuer à saper le niveau de confiance et d’engagement des acteurs dans l’atteinte de ceux-ci.

4.3. Réduire les taux de criticité des aléas La recherche de l’industrialisation fait cependant face à une criticité des aléas bien plus importante qu’attendue. Des incidents techniques, des aléas naturels, des mouvements sociaux, des exigences du régulateur, peuvent conduire à décaler de plusieurs semaines des arrêts de tranche programmés. Au-delà de l’impact direct sur la disponibilité, il existe un impact indirect et potentiel sur la sûreté avec des conséquences sur l’organisation du travail, qu’il est nécessaire de maîtriser. Si ces aléas sont sources de désorganisation, les boucles de contrôle de sûreté amèneront à prendre, dans la plupart des cas, le temps nécessaire pour que le niveau de sûreté soit acceptable. De tels aléas affectent quelques réacteurs par an. Il ne s’agit pas de « cygnes noirs » mais d’événements fortuits importants pouvant entrainer des arrêts de tranche « atypiques » (cf tableau n°1). Par conséquent, des capacités progressives de réponse sur les CNPE et à l’échelle nationale ou entre sites aux USA (comme pour la gestion de crise), seraient tout à fait opportunes pour les traiter et prévenir les effets en cascade. De plus, l’exposition à des aléas d’une gravité moindre reste nettement au-dessus de seuils critiques pour une organisation visant l’industrialisation. En effet, les taux d’aléas courants (simples à compliqués) à chaque arrêt dans l’organisation de milliers d’activités de maintenance sont très élevés (de plusieurs dizaines de pourcents pour les aléas simples). Ils perturbent le déroulement de nombreuses activités sur le terrain ce qui entraîne directement des glissements de planning qui peuvent impacter d’autres activités ce qui est favorable à des non-qualités de maintenance et ponctuellement à des effets indirects sur la sûreté et la radioprotection. Une part majoritaire de ces événements fortuits semble évitable et souligne des défauts de fiabilisation organisationnelle (résilience et marges de manœuvres pour les régler) et technique (défaut de maintenance pour des équipements qui vieillissent) ainsi que de retour d’expérience. Ils soulignent un besoin de résolution de problèmes à remplir sur les « terrains opérationnels » (au niveau microscopique cf. figure n°2, Hayes, 2013,), ce qui est pris en charge, par exemple pour les activités de logistique de chantiers de maintenance, par un département d’une centrale américaine.

4.4. Maîtriser les volumes de maintenance sans renoncer à la sûreté Les principes généraux (évoqués dans la figure n°4) se heurtent à un autre défi qui est celui de la gestion de l’équilibre de l’adéquation de la charge de travail de maintenance avec les ressources compétentes. Du côté de la charge de travail, certaines variations du volume du programme de maintenance sont connues à l’avance selon le degré de maintenance à réaliser par type d’AT (ASR, VP à VD) où le volume peut varier de près de 1 à 4. Ainsi certaines campagnes d’AT sont connues pour être plus difficiles pour les organisations et le personnel. À cela s’ajoute, d’une part, de manière plus structurelle en terme de tendance longue à la hausse, le vieillissement du matériel et l’augmentation de la maintenance préventive visant à éviter des événements fortuits (ou pannes) prévisibles, et ce avant les opérations envisagées pour prolonger la durée d’exploitation des centrales nucléaires, et d’autre part, jusqu’à la fin de l’AT s’ajoutent pour plusieurs dizaines de pourcent des activités à préparer malgré les efforts engagés pour figer le programme des interventions. Du côté des ressources, le temps disponible pour conduire la préparation modulaire peut être réduit de plusieurs dizaines de pourcent (notamment suite à des retards). Enfin, des variations importantes ont été constatées dans la disponibilité de volumes de ressources compétentes (ratios expérimentés-nouveaux fortement réduits en raison du papy-boom, d’anciennes réductions d’effectifs et de longs délais de professionnalisation). En cas de déséquilibre et en l’absence de ressources compétentes rapidement disponibles, une baisse « maîtrisée » des volumes de maintenance apparait être nécessaire. Cette décision stratégique induit alors des situations d’arbitrages entre la sûreté d’un point de vue technique (représentée par une demande d’intervention de maintenance) et la sûreté d’un point de vue organisationnel (représentée par l’organisation requise pour préparer et obtenir une intervention de maintenance de qualité). Elle nécessite alors de développer certaines capacités techniques et organisationnelles (aux niveaux macroscopique et mésoscopique) pour mener à bien les investigations préparatoires aux décisions dans un contexte aussi incertain et ambigu.

5. Remerciements N. Lot (Dédale puis EDF R&D) pour sa contribution à l’évaluation. F. Ménage et F. Pichereau (IRSN) pour leurs relectures.

6 . Référenc es AIEA (2003), INSAG 18, Managing change in the nuclear industry: the effects on safety CAIB (2003) - Columbia Accident Investigation Board, Vol. 1. NASA and the Government Printing Office, Washington, DC De Beler N., Le Guilcher B. (2010), Application d’une approche SOH pour concevoir une organisation innovante, actes du 17 Dechy, N., Dien, Y., Llory M. (2010), Pour une culture des accidents au service de la sécurité industrielle, actes 17 Dechy N., Rousseau J.-M., Llory M. (2011) Le diagnostic organisationnel de sûreté/sécurité en prévention est-il si différent de celui réalisé pour une analyse d’accident? In F. Jeffroy & A. Garrigou (Ed). L’ergonomie à la croisée des risques. SELF’2011 Dechy, N., et al. (2012), La complexité des systèmes sociotechniques à risques rend-t-elle les accidents inévitables ? actes 18 Grote G. (2012) Safety management in different high-risk domains – All the same?, Safety Science 50 (2012) 1983–1992 Hayes J. (2013) Operational decision-making in high-hazard organizations, drawing a line in the sand, Edited by Ashgate Hollnagel, E., Woods D. D., Leveson N. G., (2006), Resilience Engineering: Concepts and Precepts. Ashgate Publishing. IRSN (2012), rapport public sur l’état de la sûreté et de la radioprotection sur le parc nucléaire. www.irsn.fr IRSN (2014), résumé de l’instruction sur le management de la sûreté et de la radioprotection en arrêt de tranche pour le Groupe Permanent Réacteur du 13 Juin 2013 et Lettre de suites de l’ASN, www.irsn.fr et www.asn.fr Journé B. (2001), La prise de décision dans les organisations à haute fiabilité : entre risque d’accident et risque bureaucratique, in Cahiers de l’Artémis, Organisation et stratégies industrielles, n°3, 2001. Llory M. et Dien Y., (2010), Analyse organisationnelle de la sécurité, Technique de l’Ingénieur (TI), AG 1577 Llory M. et Montmayeul R. (2010) L’accident et l’organisation, Editions Préventique Rousseau J-M., Largier A. (2008) Conduire un diagnostic organisationnel par la recherche de facteurs pathogènes, TI AG 1576 Weick K., Sutcliffe K. (2007), Managing the unexpected in an age of uncertainty, San Francisco, CA: Jossey Bass


http://www.irsn.fr/

http://www.irsn.fr/

http://www.asn.fr/

gestion des aléas lors des activités de maintenance

Documents