Qualification de l’interface homme-machine
Procédures de conduite et interface homme-machine

’accident de Three Miles Island (TMI) aux États-Unis en 1979 a montré le rôle fondamental de l’homme dans la conduite d’une installation nucléaire. Depuis cette date, de très nombreuses études ont été menées pour trouver la meilleure organisation possible concernant les documents, les équipes et les moyens de conduite.

On rappelle qu’à Three Miles Island, tous les moyens nécessaires pour éviter l’accident étaient disponibles, mais que par suite d’informations ambiguës, erronées ou contradictoires, les opérateurs n’ont pas su quoi faire.

La démarche engagée consiste à assurer une défense en profondeur en utilisant l’ensemble des moyens à disposition. Vis-à-vis d’un accident, cette défense en profondeur permet de faire intervenir successivement :

• les systèmes de régulation associés aux spécifications d’exploitation et aux alarmes qui permettent de détecter la sortie du domaine normal de fonctionnement et de prendre les mesures correctives (automatiques et manuelles) permettant un retour rapide dans ce domaine ;

• le système de protection du réacteur qui permet de détecter toute sortie du domaine de protection des barrières successives (gaine du combustible, enveloppe du circuit primaire, enceinte confinement) et d’initier automatiquement les actions correctives pendant au moins trente minutes ;

• un diagnostic par les opérateurs de l’état des barrières, pendant cette période d’intervention automatique du système de protection ;

• les actions manuelles des opérateurs nécessaires au bout de ces trente minutes et qui permettent de ramener l’installation dans un état dit sûr c’est-à-dire dans lequel les barrières sont maintenues dans un état garantissant leur intégrité ; simultanément une tentative de diagnostic de la cause de l’accident est faite pour essayer d’annuler si c’est possible la cause de l’accident ;

• un contrôle par un ingénieur présent en salle de commande (ISR) permettant de confirmer le diagnostic des opérateurs et de surveiller pendant la période de conduite accidentelle les paramètres principaux des barrières afin de détecter une détérioration nécessitant un éventuel changement de stratégie de conduite ;

• la mise en place d’équipes de crise pour les accidents présentant un risque de non-maîtrise ; ces équipes comportent des experts d’origines différentes se réunissant dans les locaux de crise implantés dans les centrales mais également à Paris dans les bureaux d’EDF, d’IPSN, de la DSIN et de FRAMATOME.

Le choix fait par EDF consiste à favoriser les automatismes pour les actions à court terme, nécessitant un délai d’intervention inférieur à trente minutes environ, et les actions opérateurs à moyen et long terme.

Cette position permet de trouver un bon compromis entre les ordres intempestifs qui peuvent résulter d’un automatisme et les risques d’erreurs opérateurs qui sont d’autant plus fréquents que le délai laissé à l’opérateur pour réaliser les actions manuelles est court.

Dans le cadre de cette stratégie, l’organisation de la conduite est fondamentale. Cette organisation est basée sur :

• l’étude et l’élaboration de documents de conduites permettant de répondre à l’ensemble des situations accidentelles dans laquelle peut se trouver la tranche ;

• une organisation des équipes de conduite permettant de faire jouer au maximum la redondance humaine ;

• la mise en place de moyens de conduite permettant d’assurer une interface homme-machine la plus ergonomique et fiable possible et suffisamment diversifiés pour assurer une redondance matérielle et fonctionnelle permettant de couvrir les différentes agressions possibles ;

• un processus de qualification des moyens de conduite permettant de garantir le bien-fondé des choix fait à la conception.