Sûreté du système électrique français : audit et reporting annuel

29/08/2017
Publication REE REE 2006-7
OAI : oai:www.see.asso.fr:1301:2006-7:19703
DOI :

Résumé

Sûreté du système électrique français : audit et reporting annuel

Métriques

31
9
7.38 Mo
 application/pdf
bitcache://273a2333d562b9fd563f87e7a308ed355d2e4206

Licence

Creative Commons Aucune (Tous droits réservés)
<resource  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                xmlns="http://datacite.org/schema/kernel-4"
                xsi:schemaLocation="http://datacite.org/schema/kernel-4 http://schema.datacite.org/meta/kernel-4/metadata.xsd">
        <identifier identifierType="DOI">10.23723/1301:2006-7/19703</identifier><creators><creator><creatorName>Jean-Michel Tesseron</creatorName></creator></creators><titles>
            <title>Sûreté du système électrique français : audit et reporting annuel</title></titles>
        <publisher>SEE</publisher>
        <publicationYear>2017</publicationYear>
        <resourceType resourceTypeGeneral="Text">Text</resourceType><dates>
	    <date dateType="Created">Tue 29 Aug 2017</date>
	    <date dateType="Updated">Tue 29 Aug 2017</date>
            <date dateType="Submitted">Tue 15 May 2018</date>
	</dates>
        <alternateIdentifiers>
	    <alternateIdentifier alternateIdentifierType="bitstream">273a2333d562b9fd563f87e7a308ed355d2e4206</alternateIdentifier>
	</alternateIdentifiers>
        <formats>
	    <format>application/pdf</format>
	</formats>
	<version>33474</version>
        <descriptions>
            <description descriptionType="Abstract"></description>
        </descriptions>
    </resource>
.

CD o o > Fait N marquant > Sûreté du système électrique français: audit et reporting annuel < Sûreté du système électrique français : audit et reporting annuel • Jean-Michel TESSERDN RTE (Gestionnaire du Réseau de Transport d'Electricité) Compte tenu de l'enjeu particulièrement important de la sûreté du système électri- que français, RTE a pris des dispositions pour mener des audits spécifiques et pour rapporter annuellement dans ce domaine. On présente ici l'expérience acquise après cinq ans dans ces activités. 1. Introduction La sûreté du système électrique est au cœur des respon- sabilités qui ont été confiées par la loi française à RTE, en tant que gestionnaire du réseau de transport, [1]-[2]. Le système électrique géré par RTE est un ensemble de plus de 100 000 MW de puissance installée, qui comprend des centaines de groupes de production (hydrauliques, ther- miques classiques ou nucléaires, etc), plusieurs dizaines de mjl\iers de kilomètres de lignes ou de câbles interconnectés via des postes THT et HT pour fOffiler un réseau très maillé, des milliers d'installations de clients raccordés directement au réseau de transport ou via des réseaux de distribution, huit centres de conduite (sept régionaux et un national). Ce système fait pattie de l'interconnexion synchrone européenne, qui regroupe les systèmes électriques des pays membres de l'UCTE (Union pour la Coordination du Transport de l'Electricité). Cette interconnexion synchrone alimente 450 millions de personnes, consommant 2 300 TWh. Les interconnexions avec les pays voisins sont assurées L'ESSENTIEL La sûreté du système électrique est au cœur des responsabilités confiées à RTE, gestionnaire du réseau de transport français. Compte tenu de l'enjeu particulièrement important de la sûreté, la direction de RTE a créé une entité pour lui rapporter directement sur ce sujet. Ses deux activités principales comprennent la réalisa- tion du bilan annuel de la sûreté du système, ainsi que la réalisa- tion d'audits consacrés à la sûreté. Après un rappel des principes régissant la maîtrise de la sûreté du système en France, le docu- ment présente l'expérience acquise depuis 2000. On expose d'abord les principes d'élaboration du bilan sûreté annuel et la méthode de programmation et de réalisation des audits sûreté. Enfin, on présente l'application des principes à deux audits sûreté effectués, l'un sur la maîtrise de la tension, l'autre sur la maîtrise des temps d'élimination des courts-circuits affectant le réseau 400 W par 16 lignes 400 kV, 12 lignes 225 kV,4 lignes ISO kV, 2 lignes 90 kV et 6 lignes 63 kV, auxquelles il faut ajouter les câbles qui relient la France à l'Angleterre en courant continu. Enfin, il est utile de préciser que RTE est organisé, pour ce qui concerne l'exploitation, en deux grandes Directions: la Direction Système est chargée de l'exploitation du sys- tème électrique, tandis que la Direction Transport est char- gée de l'exploitation des ouvrages de transport. Ces deux Directions sont organisées en centres de management appe- lés Unités. Outre le niveau national, RTE comporte sept régions, avec pour chacune une Unité Système (URSE) et une Unité Transport (UTE). Comme toute organisation responsable d'un domaine complexe, RTE doit contrôler en permanence son fonc- tionnement et vérifier l'atteinte de ses objectifs. Le pro- cessus de contrôle par le management comprend: .le contrôle par chaque Unité de management des domaines dans lesquelles elle exerce ses responsabi- lités : il s'agit du contrôle interne relevant de la ligne hiérarchique; SYNOPSIS Power system reliability is at the core of the responsibilities entrusted to RTE, the French transmission system operator. Considering the particularly important issue of reliability, RTE's management has set up an entity which reports to it directly on this subject. The two main activities of this entity involve drawing up the annual system reliability report and carrying out audits devoted to reliability. After going over the principles governing the control of system reliability in France, the document presents the experience acquired since 2000. The principles underlying the drafting of the annual reliability report and the method for schedu- ling and performing the reliability audits are fil'st set out. The author then goes on to present how these principles are applied to two reliability audits, one carried out on voltage control and the other on the control of the clearance time of short-circuits affecting the 400 kV grid. REE N°g Septembre 2006 marquant > Sûreté du système électrique français: audit et reporting annuel < • les audits que commande le Directoire de RTE, sur les thèmes pour lesquels il estime avoir besoin d'une vision complémentaire précise sur des points straté- giques. Dès la création du gestionnaire du réseau de transport en 2000, le directeur de RTE a décidé de créer une entité spéciale, la Mission Audit Sûreté, qui lui rapporte direc- tement en étant chargée spécifiquement de s'assurer de la prise en compte de l'enjeu "sûreté du système électrique". Sa mission consiste à mettre en évidence pour le compte de la direction de RTE les dysfonctionnements, et à pro- poser des axes d'amélioration portant sur les modes de fonctiolli1ement, le comportement des acteurs, les règles d'exploitation et les perfonnances des composants du système électrique, et, éventuellement, les exigences de sûreté applicables aux utilisateurs du réseau de transport. Pour ce faire, la Mission Audit Sûreté a la responsabi- lité de deux activités principales complémentaires: • la réalisation d'audits sur la sûreté du système élec- tlique; • la réalisation du bilan annuel de la sûreté du système électrique. Dans ce qui suit, nous présenterons successivement les principes sur lesquels la maîtrise de la sûreté du sys- tème est fondée, la conception du bilan annuel de la sûreté du système, les modalités d'élaboration du pro- gramme d'audits sûreté et les principes gouvernant la réa- lisation des audits sûreté, et enfin l'application de ces principes à deux thèmes d'audits. 2. La sûreté du système électrique en France 2.1. Définition de la sûreté du système Le système électrique doit être exploité en maîtrisant sa sûreté de fonctionnement (sûreté du système), définie en France [3]-[5] depuis 1994 comme l'aptitude à : • assurer le fonctiolli1ement normal du système ; • limiter le nombre d'incidents et éviter les grands incidents; • limiter les conséquences des grands incidents lorsqu'ils surviennent. Cette définition est importante car elle comprend l'en- semble du champ du fonctionnement du système électri- que, en allant de l'état normal à celui le plus dégradé, y compris la reconstitution du réseau après un éventuel grand incident. 2.2. Aléas et modes de dégradation du système électrique L'exploitation en régime normal est caractérisée par le respect: • des plages normales définies pour les grandeurs caractéristiques du fonctionnement du système (ten- sion, fréquence, intensité dans les ouvrages de trans- port, puissance de court-circuit) ; • des règles d'exploitation relatives à la sûreté, notam- ment les règles relatives au dimensionnement des réserves et la règle dite du N-k (pour RTE, cette règle fixe une exploitation à risque constant face aux aléas les plus courants affectant les ouvrages de transpOli, le niveau de risque toléré étant évalué par le produit de la probabilité de l'événement et de la profondeur de coupure en MW). Les règles de dimensionnement des réserves et de la marge d'exploitation visent à assurer le respect des règles UCTE relatives aux réglages de la fréquence et de la puis- sance, et à limiter la probabilité d'appel aux moyens exceptionnels en dessous d'un seuil donné quelle que soit l'échéance visée. On ne peut pas se protéger contl-e n'importe quelle com- binaison d'aléas, car cela serait à la fois très complexe et très coûteux. Pour des combinaisons d'aléas très sévères mais peu probables, on accepte que se produisent des dégradations du fonctionnement du système qui peuvent conduire à des répercussions sur les utilisateurs du réseau_ Dans les cas les plus extrêmes, il est éventuellement nécessaire de sacrifier une partie réduite du système, si cela permet d'éviter des conséquences plus tragiques. 2.3. Dispositions de défense en profondeur En dépassant le cadre des aléas élémentaires et de leurs combinaisons potentielles multiples pour se placer à un niveau plus synthétique, on peut considérer que la genèse d'un incident de grande ampleur est toujours caractérisée par quelques phases de fonctionnement typiques liées à quatre grands phénomènes électroméca- niques, qui, indépendamment de leurs causes initiales pouvant être multiples et très variées, se succèdent, se superposent ou s'associent tout au long de l'incident. Ces phénomènes sont la cascade de surcharges, l'écroule- ment de fréquence, l'écroulement de tension, et la rupture de synchronisme [3]-[7]. La sûreté repose sur la mise en œuvre de dispositions multiples, adaptées à la dynamique de ces quatre phéno- mènes majeurs d'écroulement, pour prévenir, détecter et traiter les dysfonctionnements pouvant conduire à leur émergence. Ces dispositions, qui relèvent du domaine du matériel et du domaine organisationnel et humain, sont organisées en lignes de défense, suivant un concept de défense en profondeur. Les lignes de défense se rappOlient à trois aspects: • la prévention et la préparation • la surveillance et l'action ; • les parades ultimes. La prévention et la préparation consistent à faire en REE N°S Septembre 2006 CD ~ > Fa it N marquant > Sûreté du système électrique français: audit et reporting annuel < sorte que les phénomènes redoutés ne puissent s'enclen- cher, à garantir par une redondance matérielle et/ou fonc- tionnelle la permanence des fonctions vitales même en cas de défaillance des équipements qui les remplissent, à garantir les activités à risque par leur mise sous assurance qualité. Dans le domaine de la surveillance et de l'action, on regroupe les actions qui pem1ettent de détecter les écarts des grandeurs qui sont caractéristiques du bon fonction- nement du système, et de déclencher si nécessaire des actions correctives appropriées ; il peut s'agir d'actions automatiques (réglage automatique de la tension, de la fréquence, etc) ou d'actions manuelles. Leur but est d'éviter la dégénérescence d'incidents ou d'aléas en inci- dent de grande ampleur. Enfin, même si les précautions ont été prises en amont et en temps réel, il faut être conscient que des combinai- sons exceptionnelles peuvent entraîner l'initialisation d'un phénomène de grande ampleur. Il faut alors, à ce stade ultime, procéder à des actions de conduite excep- tioill1elles pour chercher à emayer l'écroulement, et pour faciliter la reconstitution du réseau si l'écroulement sur- vient malgré tout. Lorsque la rapidité d'apparition et d'évolution des phénomènes exclut toute possibilité d'intervention humaine, les actions curatives sont engagées par des dis- positifs automatiques, installés en différents points du réseau, qui constituent le « Plan de défense »du système électrique. Ce plan comprend la séparation automatique des zones du réseau ayant perdu le synchronisme, le délestage automatique de consommation sur baisse de fréquence, le blocage automatique des régleurs en charge des transformateurs THT/HT et HTB/HTA sur baisse de tension, et l'îlotage automatique des groupes de produc- tion sur leurs auxiliaires. Enfin, malgré les dispositions prises pour maîtriser la sûreté, aucun gestionnaire de réseau de transport ne peut totalement exclure l'occurrence d'un incident de grande ampleur, généralisé à l'ensemble d'une région, d'un pays, voire davantage, et la mise hors tension de tout ou partie du système électrique. Il appartient alors aux exploitants du système électrique d'entreprendre rapidement la reconstitution du réseau. C'est une opération complexe et délicate qu'il convient d'avoir étudiée et préparée suffi- samment à l'avance, sinon la reprise de service peut être très longue. RTE considère qu'il est nécessaire d'adopter pour cela une conception stratégique, car les écroule- ments de réseau sont tous différents les uns les autres, et il est impossible de savoir à l'avance dans le détail les parties qui seront touchées et celles qui, restées sauves, pourront servir d'appui pour repartir. Les actions menées lors d'un incident généralisé sont la préparation du réseau et le diagnostic de la situation, la reconstitution du réseau à partir d'ossatures régionales, et, si nécessaire, le renvoi de tension vers les tranches nucléaires. Les différentes actions à mener lors de la reconstitution du réseau sont décrites dans un "plan de reconstitution du réseau", qui fixe la stratégie à suivre, les dispositions à mettre en œuvre, les matériels installés ou à configurer, les perfonnances attendues de ceux-ci et les responsabilités respectives des différents intervenants. 2.4. Retour d'expérience: la déclaration des Evénements Système Significatifs (ESS) Parmi les dispositions mises en place pour organiser le retour d'expérience, RTE s'appuie sur la détection des événements porteurs d'enseignements pour la sûreté du système électrique. Celle-ci est assmée sur la base de cri- tères préétablis, regroupés dans une "Grille de classifica- tion des Evénements Système Significatifs (ESS)" [3]- [5], [8]-[10]. Cette grille permet de positionner les événements à leur juste niveau d'importance vis-à-vis de la sûreté ellles situant sur une échelle comprenant sept niveaux. Un niveau 0 est affecté aux événements à enjeux plus fai- bles pour la sûreté mais qu'il convient de mémoriser; ils sont également précieux pour mener des analyses génériques. Les niveaux A à F correspondent à des inci- dents de gravité croissante allant jusqu'à un éventuel effondrement total du réseau. La méthodologie de classement repose sur l'apprécia- tion combinée de la gravité selon deux types d'entrée: • une entrée permettant d'enregistrer l'occurrence d'événements élémentaires concrets affectant une fonction d'exploitation, dans un certain nombre de domaines (transport, exploitation du système, pro- duction, distribution, moyens de conduite) ; • une entrée visant à marquer le niveau de dégradation du fonctionnement du système. 3. Bilan annuel de la sûreté du système élec- trique 3.1. Contenu du bilan annuel de la sûreté La publication du bilan annuel de la sûreté du système électrique, élaboré par la Mission Audit Sûreté, répond à la volonté de RTE de favoriser le suivi dans le temps de l'évolution de la sûreté dans ses différentes dimensions [8]-[10]. RTE vise ainsi à contribuer au développement de la culture de sûreté, en suscitant une meilleure appréciation par les différents acteurs (tant RTE qu'utilisateurs du réseau) de leur rôle dans la construction de la sûreté, et en favorisant la prise en compte de la sùreté et l'intercompa- raison dans les instances intemationales des gestiOlmaires de réseau de transport (UCTE, ETSO). Le bilan sûreté annuel est organisé par la Mission Audit Sùreté de façon à traiter de l'ensemble des aspects évoqués dans le chapitre précédent. A cette fin, il est REE N08 Septembre 2006 marquant > Sûreté du système électrique français: audit et reporting annuel < constitué des chapitres suivants: • un panorama de l'évolution de l'environnement interne et externe en lien avec la sûreté; • l'analyse des situations d'exploitation rencontrées dans l'année; la maîtrise de la sûreté d'un système électrique est bien sûr d'autant plus difficile que les situations d'exploitation rencontrées sont plus diffi- ciles, mais les situations d'exploitation rencontrées ne sont pas qu'un pur facteur externe, et elles dépen- dent aussi des dispositions que l'on a prises pour maîtriser la sûreté; on traite notamment dans ce cha- pitre des conditions climatiques, de la gestion de l'équilibre offre-demande, de la tenue de la fré- quence et de la tension, de la gestion des intercon- nexions, de la gestion des congestions internes, et des aléas ayant affecté les ouvrages du réseau de transport; • l'évolution pendant l'année des différentes compo- santes du référentiel traitant de la sûreté; on examine ici ce qui a un impact sur la sûreté dans les nouveaux éléments de référentiel parus dans l'année: directives européennes, lois et réglementation, documents issus des associations de GRT européennes (UCTE, ETSO), documents de contractualisation (en parti- culier contractualisation des engagements de perfor- mances vis-à-vis de la sûreté entre d'une part RTE, d'autre part les producteurs, les distributeurs, les opérateurs de télécommunications) ; • l'évolution des dispositions contribuant à la sûreté dans le domaine matériel; ce chapitre vise à favori- ser chez les acteurs du système électrique la conscience de la dimension système du système électrique, où les composants sont en interaction, l'évolution des caractéristiques d'un composant pouvant être de nature à modifier le comportement de l'ensemble; on examine donc dans ce chapitre l'impact sur la sûreté des évolutions des performances intrinsèques des composants qui constituent le système électrique (groupes de production, protections et automatis- mes, régulateurs locaux et centralisés, ouvrages de transpOlt, systèmes de conduite dans leurs aspects matériels et logiciels, charges et consommation), ainsi que l'évolution de la structure du système élec- trique et de ses règles de conception; à titre d'exemple, on indique pour les groupes de production existants le taux de réussite des essais périodiques d'îlotage ainsi que le taux de réussite des essais périodiques de renvoi de tension, compte tenu de l'importance de ces taux de réussite pour pouvoir faire face à une éventuelle reconstitution du réseau après un incident de grande ampleur ; on s'attache aussi à donner des indications sur les per- formances des nouveaux groupes de production décentralisée (production éolienne, cogénération, etc), même si leur part de puissance est encore fai- ble, de façon à éclairer l'impact que leur développe- ment aura à terme sur la sûreté [Il] ; • l'évolution des dispositions contribuant à la sûreté dans le domaine organisationnel et humain : culture de sûreté, management du facteur humain, fonna- tion, démarche d'assurance qualité, retour d'expé- rience, contrôle des performances, dispositions d'or- ganisation de crise; • les enseignements tirés des évènements de l'année, aussi bien en France (enseignements tirés des ESS et des autres événements) que dans les systèmes élec- triques gérés par les autres gestionnaires de réseau (notamment grands incidents survenus) ; • la présentation des indicateurs en lien avec la sûreté; • la boucle de régulation et de contrôle à RTE (pro- gramme d'audits sûreté, audits sûreté réalisés) ; • les actions de progrès et de R&D en cours. Le bilan sûreté est accessible sur le site internet de RTE [10]. Il existe aussi une version interne à RTE, où la Mission Audit Sûreté exprime dans un chapitre supplémen- taire ses recommandations à la Direction de RTE, pour ce qui concerne le gestionnaire du réseau de transport. 3.2. Objectivité et quantification Le premier bilan sûreté annuel réalisé sur les bases précédentes a pOlté sur l'exercice 200l. Auparavant, un bilan annuel était réalisé, mais sous une forme complètement différente, et en pratique, il por- tait essentiellement sur la présentation des ESS, en expo- sant l'évolution de leur nombre dans les différents domai- nes et en détaillant de façon poussée les ESS de niveau le plus haut survenus pendant l'année. Cette présentation antériem"e avait son intérêt, mais comportait deux incon- vénients majeurs : d'une part les ESS, s'ils sont précieux, ne présentent que l'aspect "dysfonctionnements" de la sûreté, et pas les progrès; d'autre part, on ne rendait compte ainsi que d'une faible pmtie du champ couvert par la sûreté. La nouvelle structure du bilan sûreté annuel a précisé- ment été travaillée de façon à couvrir l'ensemble du champ de la sûreté, et à aborder le rôle de tous les acteurs de la sûreté: non seulement RTE, mais les producteurs et distributeurs, et aussi les clients, les traders et autres acteurs financiers, le législateur, le régulateur du marché, les gestionnaires des réseaux de transport des pays voi- sins, les associations de gestionnaires de réseau, etc. Avant d'entreprendre la réalisation du premier bilan sûreté, relatif à l'exercice 2001, la Mission Audit Sûreté est venue présenter sa proposition de trame du bilan annuel à la direction du gestionnaire de réseau de trans- port. La direction a fortement approuvé cette trame, qui a fait l'objet d'une validation formelle officielle. A l'époque, certaines personnes s'interrogeaient cependant : si la trame paraissait effectivement intéres- REE N°S Septembre 2006 c:o ~ > Fait N marquant > Sûreté du système électrique français: audit et reporting annuel < sante, complète et de nature à favoriser chez tous les acteurs une mej1leure perception de leur rôle dans la sûreté, allait-on vraiment en pratique réussir à parler de façon pertinente de toutes les rubriques retenues? Ces interrogations ont été de fait balayées dès la pre- mière réaLisation du bilan. En effet, grâce à l'organisation de RTE, il y a beaucoup d'éléments disponibles et utilisa- bles, à condition d'être capable de les détecter et de les collecter, ce qui demande une veille permanente ainsi que l'entretien de très bonnes relations avec les équipes concernées. Les difficultés principales sont en réalité d'un autre ordre et concernent la peliinence de ce qui est rapporté. Tout d'abord, il est nécessaire d'être objectif et d'évi- ter la subjectivité. Pour cela, il faut pouvoir s'appuyer sur des éléments incontestables, et autant que possibles quan- tifiables, car cela permet de mieux apprécier l'évolution du niveau de sûreté au fil des années, pour chacune des rubriques. Celiains champs ne se prêtent pas facilement à l'ob- jectivité et à la quantification, par exemple quand il faut parler de la culture de la sûreté et de la contribution de la formation à la sûreté. Cependant, il est très important de savoir traiter ces aspects, et il faut arriver à parler de la culture de sûreté et de La formation non seulement pour les dispatchers des centres de conduite, mais aussi pour les personnes qui s'occupent de la gestion prévisionnelle, du développement du réseau, de l'instruction des deman- des de raccordement, des reLations avec la clientèle, et pour les exploitants de matériels (ouvrages de transport, protection et contrôle-commande, moyens de télécommu- nications, etc), sinon on ne fera pas bien percevoir que chacun dans son métier est acteur de la sûreté. D'autres champs du bilan sûreté annuel se prêtent plus facilement à l'objectivité et à la quantification, si l'on en fait une bonne analyse et si l'on peut s'appuyer sur une bonne organisation des activités. Nous illustrerons ce point en regardant cOlmnent l'aspect de l'équilibre offre - demande pour la puissance active est traité dans le bilan annuel. Ici, l'analyse des activités a permis de retenir la présentation de plusieurs facettes de façon très factuelle : • la consommation intérieure est appréciée en rapport avec les échanges avec les pays de l'interconnexion européenne; • la qualité des prévisions de consommation est jugée en examinant pendant quelle proportion du temps les écarts entre les réalisations aux pointes du matin et du soir et les prévisions vues de la veille restent inférieurs à 1 500 MW en hiver et à 750 MW en été ; en effet, le dispatching central de RTE suit cette proportion du temps, en regard d'un objectif mini- mum fixé à 78 % ; • les marges d'exploitation sont examinées en s'ap- puyant sur l'analyse du respect des règles de sûreté; celles-ci prescrivent une marge minimale mobilisa- ble en moins de 15 minutes supérieure à 1 500 MW, et une marge à échéance plus éloignée dont le volume requis va en croissant depuis l'échéance de quinze minutes jusqu'à l'échéance de huit heures; le retour d'expérience pennet de tracer le respect de ces marges à la pointe de consommation (moment de la journée estimé le plus sensible), et par ailleurs le non respect des marges donne lieu à l'élaboration d'ESS particuliers; le bilan sûreté indique le nom- bre de situations où les marges n'ont pas été respec- tées, en analysant les canses de ce non respect (indisponibilités fortuites de production, annulations de couplages de groupes au réseau, consommation plus forte que prévu, réserves communes entre ges- tionnaires de réseau indisponibles chez les pays voi- sins, limitations de production pour des contraintes de température, effet de mouvements de grèves, insuffisances d'offres de réserves) ; • le bilan sûreté présente le nombre de cas où il a fallu faire appel aux dispositions spéciales du Mécanisme d'Ajustement, par lequel les producteurs doivent remettre au gestionnaire du réseau de transport des propositions de puissance de réserve pour l'ajuste- ment de leurs programmes; • on présente aussi les cas éventuels où les réserves primaire et secondaire du réglage fréquence se sont situées en dessous des prescriptions de l'UCTE ; • enfin, on présente le retour d'expérience sur la tenue de la fréquence du réseau synchrone ouest-euro- péen, même si l'on sort ici du seul cadre de respon- sabilité de RTE du fait de l'interconnexion syn- chrone. 3.3. Savoir parler juste La difficulté la plus grande est de savoir si la présen- tation du bilan sûreté est équilibrée entre ce qui va bien et ce qui ne va pas bien. Il est absolument essentieL de par- ler des deux faces, ce qui n'est pas toujours évident et demande parfois de résister à ceux qui préfèreraient par- Ler surtout de ce qui va bien. li est arrivé, au début, que la Mission Audit Sûreté se fasse dire par certains qu'il était difficilement envisageable d'évoquer teL ou tel dysfonc- tionnement dans un document à caractère public. Mais la direction de RTE a été d'lm soutien sans faille sur ce point, qui est absolument nécessaire pour que la crédibi- lité du biLan sûreté soit incontestable, et pour que la maî- trise de la süreté soit assurée dans le temps. 4. Principes de réalisation des audits sûreté 4.1. Programmation des audits sûreté Du fait que la Mission Audit Sûreté est en appui ultime de la direction de RTE, pour que celle-ci soit assu- rée de la prise en compte de l'enjeu "sûreté du système", le choix des audits süreté est extrêmement irnpOliant, et il REE W8 Septembre 2006 tO ~ > Fa it N marquant > Sûreté du système électrique français: audit et reporting annuel < doit être effectué de façon très rigoureuse, en se basant sur l'analyse de risques. Les audits sûreté sont donc réalisés selon une pro- grammation périodique. La proposition du programme d'audits est établie par la Mission Audit Sûreté, et fait l'objet d'une validation par le Directoire de RTE. Elle s'appuie sur : • le croisement entre les audits déjà effectués et les différentes composantes de la sûreté (selon la struc- ture du Bilan Sûreté annuel), pour bien couvrir le champ de la sûreté; .le retour d'expérience; • l'articulation avec les trois volets de la définition de la sûreté et les quatre phénomènes majeurs d'effon- drement du réseau; • les résultats des audits sûreté précédents; • les analyses de risques issues des macroprocessus décrivant le Système Qualité de RTE; • le rebouclage avec les Directions Transport et Système; • la volonté de favOliser l'articulation Transport - Système au sein du gestionnaire de réseau de trans- port ; • les actions, en cours ou au stade du lancement, déjà identifiées au sein des Directions Transport et Système. Dans certains cas, en complément du programme d'audits sûreté, le Directoire de RTE peut demander la réalisation d'un audit "flash" sur un événement particu- lier révélant des dysfonctionnements potentiels. A titre d'exemple sur le contenu d'un programme d'audits sûreté, la dernière proposition faite a conduit à retenir quatre thèmes pour la période allant de mi 2006 à fin 2007 : • services système relatifs aux réglages fréquence / puissance et tension / réactif et leur contrôle; • contrôle des engagements de performances (hors services système f/P et U/Q) ; • dispositions pour le débouclage sur rupture de syn- chronisme et le délestage; • automates spécifiques d'exploitation. 4.2. Réalisation d'un audit sûreté Chaque audit sûreté est conduit par une mission d'au- dit constituée de deux auditeurs, et réalisé en répondant aux orientations déontologiques et méthodologiques des normes internationales de l'audit interne qui sont appli- quées par l'IFACP. Il est défini par une lettre de mission signée par le Président du Directoire de RTE. Une première phase conduit, à pattir de méthodes d'analyse de risques, à préciser les champs principaux de l'audit, le référentiel d'audit, et les objectifs de contrôle. Cette phase d'étude aboutit à l'élaboration d'un rapport d'orientation de l'audit. Dans une deuxième phase, la mission d'audit procède à l'instruction des points à contrôler; cette phase com- porte de nombreux entretiens, tant au niveau national qu'au niveau régional, avec les personnes et les équipes concernées par le sujet d'audit. Elle s'appuie aussi sur des analyses documentaires. A partir de l'ensemble des éléments recueillis au cours de l'audit, la mission d'audit constitue le rapport final d'audit, où elle met en évidence les dysfonctionnements principaux, et propose ses recommandations pour des axes d'amélioration portant notamment sur les modes de fonctionnement, le comportement des acteurs, les règles d'exploitation et les performances des matériels, et, éven- tuellement, les exigences de sûreté applicables aux utili- sateurs du réseau. La base de l'élaboration du rapport d'audit est à nou- veau l'analyse de risques. Il s'agit d'identifier les champs d'analyse principaux, concrétisés sous la forme de quatre à six « feuilles de révélation et d'analyse de problème» (FRAP). Chacune des FRAP présente tout d'abord les faits d'audit majeurs constatés; une nouvelle analyse de risques identifie les conséquences des faits constatés, de façon à se concentrer sur les risques principaux ; à ce stade, une nouvelle analyse est menée pour identifier les causes profondes ayant conduit aux faits; cette dernière phrase est cruciale, car l'identification des causes profon- des permet de dégager les recommandations; si cette ana- lyse des causes profondes n'était pas menée, on risquerait de ne procéder par la suite qu'à des mesures correctives partielles, et de voir ultérieurement se reproduire des dys- fonctiOlmements. Le rapport final d'audit est présenté au Directoire de RTE dans une réunion ad hoc, en présence du manage- ment de toutes les entités concernées, pour prise de connaissance des constats recensés par les auditeurs et de leurs recommandations. Les plans d'actions en réponse aux recommandations sont déflDis et mis en œuvre par le management opéra- tionnel des Directions de RTE. La Mission Audit Sûreté est infonnée des suites données à ses propositions. A titre indicatif, la réalisation d'un audit sûreté repré- sente environ six mois de travail pour chacun des deux auditeurs. 4.3. Restitution des résultats d'audit aux personnes rencontrées au cours des entretiens Le rappOlt d'audit réalisé par la mission d'audit est destiné au Directoire de RTE. Il s'agit d'un document à diffusion restreinte qui n'a pas vocation à être diffusé directement aux personnes rencontrées lors des entretiens 1 IFACI : Institut Français de l'Audit et du Contrôle Internes, affilié à l'nA (The Inslitute ofInlemal Audilors) REE W8 Septembre 2006 marquant > Sûreté du système électrique français: audit et reporting annuel < d'audit. La responsabilité de la diffusion du rapport d'au- dit appartient aux membres de la direction et aux Directeurs d'Unité. II se pose donc la question de la prise de cOlmaissance des enseignements de l'audit par les per- sonnes rencontrées au cours des entretiens d'audit. Pom favoriser cette prise de connaissance, la Mission Audit Sûreté a déftni plusieurs dispositions, en accord avec le management opérationnel de RTE: • à l'issue de chacun des grands entretiens menés en région ou au niveau national, la mission d'audit pro- cède à une restitution de ses observations aux person- nes rencontrées et à la direction de l'Unité; sans pré- juger du contenu du rapport final d'audit, puisque celui-ci ne scra élaboré que plus tard au terme d'un long travail d'analyse, cette restitution permet de ren- dre compte aux perSOlmes rencontrées de ce qui les concerne ; elle permet aussi d'aborder des aspects spécifiques qui n'auront pas vocation à être repris dans le rapport final s'adressant à la direction, mais qui sont très précieux au niveau local ; aussi, l'expé- rience montre que ces restitutions sont très appréciées par les personnes et équipes rencontrées; • une fois le rapport fmal présenté à la direction de RTE, la mission d'audit se voit généralement demander d'en présenter le contenu dans le cadre des groupes d'ani- mation de métier qui existent au sein de RTE; ainsi, pom la Direction Système, il existe des groupes d'animation de métier qui concernent les métiers de la conduite en temps réel, de la gestion prévisionnelle, du retour d'expérience; d'autres groupes d'animation existent également côté Direction Transport. 4.4. Exemples de thèmes d'audits sûreté réalisé Les audits sûreté ont porté pour les dernières années en particulier sur les thèmes suivants: • caractérisation et analyse des fausses manœuvres; • formation à la sûreté des acteurs impliqués dans la conduite du système électrique et de ses installations; • gestion de l'interconnexion avec un pays voisin; • fonctionnement du retour d'expérience sur la sûreté, en incluant l'incidence des évolutions institutionnel- les smvenues ; • protections différentielles de barres; • maîtrise de la tension; • systèmes d'alerte et de sauvegarde; • temps d'élimination des courts-circuits survenant sur le réseau 400 kV ; • maîtrise des intensités admissibles en permanence et de la géométrie des lignes; • sûreté face au risque de perte d'ouvrage (règle N-k) ; • écarts de fréquence et réserves du réglage fréquence / puissance; • maîtrise des essais de renvoi de tension et d'îlotage des groupes qui sont prescrits dans le cadre des dis- positions adoptées pour pouvoir assurer la reconsti- tution du réseau en cas de grand incident; • impact de l'évolution récente de l'organisation des centres de conduite des distributeurs. 4.5. Retour d'expérience sur cinq ans d'audits sûreté La réalisation d'un audit sûreté est une activité à la fois passionnante et très exigeante. Elle permet de creuser à fond un sujet dans toutes ses dimensions, aussi bien sur les aspects teclmiques que sur ce qui relève du manage- ment. Par ailleurs, combien de personnes d'une entreprise ont-elles l'occasion de venir rapporter au plus haut niveau de la direction, pour lui exposer les points essentiels qui fonctionnent bien, les dysfonctionnements, et enfin des recommandations qui vont mettre en action de nombreu- ses personnes dans l'entreprise? Nous voulons souligner que la clef de la démarche d'audit est l'analyse des risques et des enjeux, démarche qui doit gouverner toutes les étapes de l'audit. Cette ana- lyse doit être effectuée sans a priori et sans tabou, en pre- nant tout le recul nécessaire, car l'audit au niveau de la direction est le dernier rempart du contrôle interne. Prenons par exemple la question de l'examen des docu- ments constituant le référentiel. II faut ici ne pas se limi- ter à expliciter les référentiels utilisés et à en vérifier l'ap- plication, même si cette démarche est, bien entendu, nécessaire. Dans une démarche d'audit sûreté, ceci est tout à fait insuffisant, et il faut se poser la question de la pertinence du référentiel utilisé, même si chacun dans l'entreprise se dit assuré le plus sincèrement du monde de cette pertinence. En effet, le contexte de l'exploitation d'un système électrique est complexe et n'est pas figé dans le temps, car sujet à de multiples évolutions. A titre d'exemple, il est déjà arrivé aux auditeurs de la Mission Audit Sûreté de s'étonner à la lecture de rapports sur des grands incidents survenus dans d'autres systèmes électri- ques, pour lesquels des groupes de production avaient connu des déclenchements puis des difficultés pour parti- ciper à la reconstitution du réseau, en lisant que les rap- ports se bornaient à constater que ces groupes s'étaient comportés confornlément à leurs spécifications. Dans un audit sûreté, la réflexion doit aussitôt monter d'un cran, et il faut analyser comment la conception des spécifications a été insuffisante pour répondre à la situation, et dans quelle mesme et comment il va falloir faire évoluer le référentiel. Encore est-on ici dans une simple démarche de retour d'expérience après incident. Dans une démarche d'audit sûreté, il faut s'attacher à évaluer les risques pour le futur, et en visant à le faire suffisamment tôt pour que des corrections puissent être prêtes à temps. Un autre exemple d'intérêt de l'audit porte sur la façon dont le management s'implique pour que la sûreté progresse, et la démarche d'audit permet d'avoir du recul sur la pertinence des actions du management. Dans l'au- dit sûreté qui a porté sur les erreurs humaines, la Mission Audit Sûreté avait détecté que les erreurs humaines REE 1°8 ~.~ ~~~ ~~__~~ s_e_Pte_m_b_'e_20_0_6 _2_9 -' c:.o ~ > Fait N marquant > Sûreté du système électrique français: audit et reporting annuel < 30 étaient sous-évaluées; parmi les facteurs explicatifs, elle a pu mettre en évidence que certains responsables avaient voulu marquer leur implication dans la réduction des erreurs humaines en mettant dans leur contrat de gestion un indicateur de contrôle indiquant qu'aucune elTeur humaine ne devait survenir dans l'année ; lorsque la Mission Audit Sûreté en a discuté avec les responsables concernés, la logique présentée était qu'il était impensa- ble d'afficher un indicateur avec un nombre non nul, parce que cela serait revenu pour le responsable à admet- tre que des erreurs humaines puissent survenir ; en prati- que, cela conduisait en fait à ne pas favoriser la transpa- rence sur la déclaration des erreurs humaines. De telles discussions ne sont pas toujours faciles, mais elles sont essentielles, et il faut SUliout se garder de la conduite d'évitement, qui ne ferait que conduire au renouvellement des dysfonctionnements à plus ou moins brève échéance. Dans de telles situations, la pratique de l'analyse de ris- ques est un atout irremplaçable pour objectiver les faits, les conséquences, les causes, et par conséquent les recommandations. Un point de retour d'expérience que nous voulons souligner concerne précisément le soin à apporter à l'éla- boration des recommandations d'audit. Dans le rapport d'audit, les recommandations sont capitales, puisque c'est par leur application que seront corrigés les dysfonc- tionnements et les insuffisances. Outre leur contenu à caractère technique et organisationnel, les recommanda- tions doivent être élaborées de façon à utiliser au mieux les différents leviers d'action disponibles; à titre d'exem- ple, l'identification d'améliorations du référentiel d'ex- ploitation est un levier très puissant, car elle se prête ensuite à une déclinaison générale et rigoureuse appuyée par les dispositions de l'assurance qualité; l'utilisation des indicateurs utilisés par le management de direction est puissante aussi, puisqu'elle implique fortement ce management au plus haut niveau, mais on ne peut pas augmenter inconsidérément les indicateurs de contrôle, et il faut faire attention au biais évoqué plus haut; l'appui du retour d'expérience, ainsi que des animations de métier, est également précieux mais il est moins facile d'être assuré que toutes les personnes concernées pounont être touchées de façon durable, compte tenu du renouvellement des personnes. Sous un autre angle, il faut veiller à prendre à compte dans chaque recommandation le délai d'action nécessaire à sa mise en oeuvre, et le niveau d'expertise des personnes qui pourront l'appliquer; certaines des recom- mandations demandent d'engager un travail de réflexion complexe dans la durée, et les experts de très haut niveau constituent une ressource rare. Le dernier point que nous évoquerons concerne le périmètre des équipes rencontrées lors des entretiens d'audit. Dans l'organisation actuelle, la Mission Audit Sûreté examine le comportement des autres acteurs (pro- ducteurs, distributeurs...) à travers leur interface avec RTE. Jusqu'ici, ceci n'a pas posé de problème pour la pertinence des audits sûreté qui ont été menés, mais les grands incidents survenus dans le monde en 2003 amè- nent à s'interroger sur une telle limitation lorsque l'on est confronté à des dysfonctionnements très importants. 5. Audit sûreté "maîtrise de la tension" A titre d'illustration des principes qui viennent d'être exposés, nous allons présenter succinctement la réalisa- tion de l'audit süreté qui a été mené sur la maîtrise de la tension. Bien entendu, pour cet audit comme pour celui sur la maîtrise des temps d'élimination des courts-circuits 400 kY, cette présentation restera générale, d'une part parce que le contenu précis du rapport relève d'une diffu- sion restreinte à usage de la direction du gestionnaire du réseau de transport, d'autre part, parce que la compréhen- sion du contenu plus détaillé du rapport d'audit demande- rait d'entrer h'ès en profondeur dans la description des activités et de leur organisation, ce qui sortirait du cadre d'une telle publication. 5.1. Contexte de l'audit La tension est avec la fréquence et l'intensité l'tme des grandeurs physiques fondamentales caractérisant l'état d'un réseau ; le référentiel prescrit que des plages de tension bien définies doivent être respectées en fonc- tionnement permanent ainsi qu'en régimes à durée limi- tée. L'écroulement de tension est l'un des quatre phéno- mènes électrotechniques fondamentaux pouvant conduire à l'effondrement d'un réseau. La France en a vécu un le 12 janvier 1987 [3]-[5], [12]. La maîtrise de la sûreté en tension repose sur des lignes de défense qui concernent les trois domaines sui- vants: • prévention / préparation (dimensionnement des moyens de compensation et des ouvrages, disposi- tion de sources d'énergie réactive et de moyens per- mettant de mobiliser le réactif) ; • surveillance / action (contrôler et maîhiser le plan de tension en régime normal) ; • parades ultimes (maîtriser la tension en régime inci- dentel). Dans tous ces aspects, les utilisateurs (producteurs, distributeurs, clients) représentent une composante sensi- ble du fonctionnement du système électrique, d'autant que les évolutions institutionnelles ont modifié les inter- faces entre le réseau et ces utilisateurs. 5.2. Champ de l'audit La mission d'audit a examiné plus particulièrement: • la caractérisation des plages de tension et la disposi- tion des sources de réactif; • les moyens permettant de mobiliser le réactif et de marquant > Sûreté du système électrique français: audit et reporting annuel < maîtriser la tension; • la surveillance et l'action en régime nomlal et en régime incidentel ; • la f011l1ation ; • le pilotage des activités relevant de la tenue et du réglage de la tension. 5.3. Recommandations de la mission d'audit Les recommandations ont porté sur les points suivants: • accentuer la f011l1ation des exploitants système, en développant les études de sùreté en tension s'ap- puyant sur les nouveaux outils, et en introduisant dans les stages de f011l1ation des exercices pOltant sur la maîtrise en situation courante de la tension et du réactif ainsi que sur le bon usage du réglage secondaire de tension; • développer les instruments de pilotage de la maîtrise de la tension de façon à accentuer l'impoltance de la gestion du réactif ; • mettre en place une animation fonctiOlmelle portant sur la maîtrise de la tension et du réactif en exploita- tion; • mettre en œuvre aux niveaux central et régional un suivi strict et exhaustif de chacun des engagements de perf011l1anCeS vis-à-vis de la sûreté lors des réu- nions avec les Utilisateurs; • consolider le référentiel d'exploitation système por- tant sur la tension. 6. Audit sûreté "maîtrise des temps d'élimina- tion des courts-circuits 400 kV" 6.1. Contexte de l'audit La maîtrise du temps d'élimination de ces courts-cir- cuits est déterminante du point de vue de la tenue des ouvrages de transport et de la sûreté du système électri- que. Les défauts doivent notamment être suffLsamment brefs pour assurer la tenue des matériels de transpOlt aux courants de courts-circuits, et pour prévenir les pertes de synchronisme, ce phénomène constituant l'un des quatre modes majeurs d'effondrement d'un réseau. Les temps d'élimination à respecter sont fondés sur des études, remontant au début des années 1980, qui fLXent les temps limite évitant l'occurrence de phénomè- nes redoutés. Sur cette base fonctionnelle s'est greffée une appro- che technologique intégrant les perfomlances des maté- riels (protections, télécommunications, disjoncteurs) et la correction de dysfonctionnements. Ceci a conduit à met- tre en place des plans de protection successifs, à partir du plan 75 initial: plan 83, puis plan 86 (dont la del1lière version date de 1997). 6.2. Champ de l'audit La mission d'audit a examiné plus particulièrement: • la caractérisation des temps d'élimination limite; • le référentiel utilisé par les Directions Système et Transport; • les matériels et les organisations mis en place; • la relation avec les fournisseurs de matériels; • la prise en compte du nouveau cadre institutionnel avec les producteurs; • la formation, le retour d'expérience, le pilotage des activités. 6.3. Recommandations de la mission d'audit Les recommandations ont porté sur les points suivants: • instaurer pour le référentiel un tronc commun amont Transport / Système, en précisant le lien entre les phénomènes contre lesquels on veut se protéger et les temps limite, et en statuant sur les temps limite à respecter vu d'aujourd'hui dans la déclinaison pour les études de stabilité et pour la protection des lignes et des postes ; • procéder à un toilettage documentaire des référen- tiels Transport et Système ; • améliorer la complétude du référentiel, en précisant la prise en compte des régimes dégradés et les exi- gences vis-à-vis des moyens de transmission (besoins pour les protections, besoins pour l'action des exploitants) ; • améliorer le retour d'expérience sur la protection des lignes et des postes ; • conforter l'action des équipes sur le terrain, notam- ment en améliorant la formation sur les interactions entre protections et télécommunications. 7. Conclusion L'élaboration du bilan sûreté annuel et la réalisation des audits sûreté sont, pour RTE, des supports majeurs de la sûreté, comme l'atteste l'engagement de son Directeur à mettre en œuvre la "Politique de sûreté du système élec- trique" [5]. Mais le système électrique géré par RTE s'insère dans le cadre plus vaste de l'interconnexion synchrone euro- péenne. On peut donc se poser la question de réalisations équivalentes chez les autres membres de l'interconnexion européenne, voire au niveau de l'ensemble de l'intercon- nexion. Cette perspective apparaît naturellement très inté- ressante à terme. Elle ne peut cependant sans doute pas être reconduite à l'identique, et demande un travail de réflexion et d'adaptation. Ainsi, concernant le bilan sûreté annuel, sa réalisation n'est possible que parce que RTE bénéficie de toute une organisation qui permet d'en alimenter les différentes rubriques; on peut penser en particulier à la déclaration REE 0g Septembre 2006 CD ~ > Fa it N marquant > Sûreté du système électrique français: audit et reporting annuel < des Evénements Système Significatifs, qui est un support précieux, et qui est effective depuis 1992. Du côté des audits sûreté, on a pu voir aussi que le succès d'une telle démarche repose d'une palt sur une méthodologie précise d'analyse des risques (en particu- lier pour l'identification du programme d'audits sûreté), d'autre part sur un mandat clairement et explicitement donné par la direction à la Mission Audit Sûreté, ainsi que sur une relation de confiance entre auditeurs et personnes rencontrées au cours des entretiens d'audit. Une telle transposition au niveau européen ne sera sans doute pas immédiate. Néanmoins, on peut souligner d'ores et déjà l'intérêt de la démarche qui est engagée par l'UCTE pour s'assurer de l'application par les partenaires intercollllec- tés du référentiel d'exploitation UCTE (Compliance Enforcement Monitoring Process). Cette démarche constitue d'ores et déjà un pas important dans la maîtrise des dispositions de sûreté au niveau européen [13]. Remerciements L'auteur remercie chaleureusement Derek Diamant pour l'aide précieuse appOltée à la traduction en anglais de ses articles au cours des dernières années. Il remercie André Cayol, lean-Maurice Sevestre, Guy Bonnard, Jean-Claude Virleux et Reinhold Liers, qui ont été ou sont auditeurs à la Mission Audit Sûreté, ainsi que François Hemmer, responsable des activités d'audit au sein du Comité Executif de RTE. Références [1] A. MERLIN, "la sûreté du réseau de transport d'électricité et l'ouverture des marchés': Revue de l'Energie, n0552, décembre 2003. [2] J.M. TESSERON, P. BORNARD, "Sûreté du système élec trique: prévenir les grands incidents ': Congrès Electrotech- nique du Futur EF'2003, Gif sur Yvette (France), 9 & 10 décembre 2003. (3) J. M. TESSERON, G. TESTUD, D HOFFMANN, Y. HARMAND, "les dispositions de défense contre les écroulements du réseau électrique français:' Revue de l'Electricité et de l'Electronique (REE), n° 9, octobre 2002. [4J D. HOFFMANN, A. CAYOl, y. HARMAND, J.M. TESSERON, "Mémento de la sûreté du système électrique" (1«· édi- tion), ISBN n02 -9513605-0-9, Ed. VBD, Montrouge, 1999. [5] RTE," Mémento de la sûreté du système électrique': (3ème édition), librement accessible en français et en anglais, site internet de RTE (http://www.rte-france.com). [61 A. CHEIMANOFF, l. FEIGNIER, J.C. GOUGEUll, "Analyse des incidents d'exploitation conduisant à un fonctionnement dégradé: 1) Facteurs propices à un fonctionnement dégradé et mécanismes correspondants, 2) Analyse de quatre pro- cessus de dégradation': Revue Générale de l'Electricité (RGE), tome 87, n° 3, mars 1978. [71 J.P. BARRET A. CHEIMANOFF, F. MAURY, "Conditions générales de conception et d'exploitation d'un système de production et de transport d'électricité: rappel sur les cau- ses générales des incidents graves'; Revue Générale de l'Electricité (RGE), tome 89, n° 4, avril 1980. [81 J. M. TESSERON, "Bilan 2002 de la sûreté du système électrique français" Revue de l'Electricité et de l'Electronique (REf), n° 11, décembre 2003. [9J J. M. TESSERON, "Bilan 2004 de la sûreté du système électrique français" Revue de l'Electricité et de l'Electronique (REEl, n° 9, octobre 2005. (10) J.M. TESSERON, "Bilan annuel de la sûreté du système électrique français': librement accessible en français et en anglais pour les années 2002, 2003 et 2004, site internet de RTE (http://www.rte-france.com) [11] P. EVEllLARD, J.M. TESSERON, "la production décentrali- sée vue de l'exploitation des réseaux de transport et de dis- tribution': Journée d'Etudes de la SEE, 29 mai 1997 [12J H. TANAKA, M. KAMINAGA, M. KORMOS, y. MAKAROV, T BAFFA SCIROCCO, J.M. TESSERON, 1. WElCH, "Cascading events and how to prevent them': Very large Power Grid Operators Working Group, White Paper, Oct. 25, 2005 [131 UCTE, "UCTE 2006 Compliance Monitoring Program': Final Draft, 20 décembre 2005. L ' a u t e u r Jean-Michel Tesseron, né en 1950, ingénieur ESE (1972), est entré en 1973 à la Direction des Etudes et Recherches d'EDF où il a mené des travaux sur la protection, les réglages, la conduite et la sûreté des réseaux électriques de transport et de distribution. Il a rejoint en 1992 EDF Production Transport, où il a été chargé de défi- nir des évolutions stratégiques en matière de conduite et de sûreté du système électrique, et a piloté la définition d'évolutions institu- tionnelles du secteur électrique. Il travaille à RTE, gestionnaire du réseau de transport de l'électricité français, où il est responsable depuis 2001 de la Mission Audit Sûreté. Jean-Michel Tesseron est Membre Emérite SEE, et Membre du comité de Publication de la REE. 32 REE N°g Septembre 2006