Si l'accident de Windscale a eu d'importantes répercussions en matière d'organisation de la santé et de la sûreté, la communication des spécialistes britanniques de la sûreté lors de la deuxième conférence des Nations-Unies de 1958 montre indiscutablement la maturité des conceptions de leurs auteurs en matière de sûreté.
F.R. Farmer, P.T. Fletcher (AEA, Industrial Group) et T.M. Fry(AEA, AERE, Harwell) proposent d'apporter quelques réflexions sur la sûreté des réacteurs thermiques au graphite et refroidis par gaz du type de ceux qui sont alors en construction à Calder Hall. 173 La communication de Farmer et de ses collègues 174 est d'autant plus riche qu'elle veut énoncer des principes généraux applicables à tous les types de réacteur, à une époque où se multiplient les prototypes et où l'on s'efforce de parvenir à des solutions qui rendent l'énergie atomique compétitive. Les Britanniques, en énonçant les principes qui devraient être à la base d'une bonne sûreté pour les réacteurs, parlent en véritables chefs de file et proposent une ligne de conduite pour tous les ingénieurs et scientifiques travaillant dans le domaine atomique. C'est bien le sentiment d'appartenir à une communauté qui les conduit à forger des outils qui soient une aide pour tous les acteurs du domaine atomique.
Le début du texte est un véritable manifeste à propos de la notion de risque, qui sera le cheval de bataille de Farmer pendant plusieurs décennies :
‘«Aucune activité humaine n'est sans risque, cependant, toutes les précautions possibles concrètement devraient être prises pour réduire les risques à un faible niveau de probabilité qui soit socialement et économiquement acceptable» 175 ’Cette introduction emploie le terme «risk» et non pas «hazard», ce qui témoigne d'une détermination scientifique plus précise, puisque le risque nécessite la mesure de deux aspects, la probabilité d'occurrence d'un événement et les conséquences associées. Et c'est la résultante du produit de ces deux facteurs qui doit être mesurée socialement et économiquement : le risque nucléaire n'est donc pas seulement un problème technique. Cette définition mathématique du risque fait rentrer la société dans l'évaluation de la sûreté nucléaire, car c'est elle qui doit juger de son acceptabilité sous l'angle social et économique. D'autre part, on reconnaît - cela semble un truisme aujourd'hui mais ne l'a pas toujours été - que la sécurité parfaite, «le risque zéro», n'existe pas. La question est de le diminuer, et cela se fait par un certain nombre de mesures, qui ont un coût.
‘«Ceci a été obtenu dans de nombreux domaines en promulguant des règles de l'art basées sur une importante expérience accumulée de fonctionnement, incluant l'étude des défaillances. L'adhésion à une telle règle devrait, sur des bases statistiques, laisser une marge de sûreté suffisante, mais non excessive.» 176 ’Autrefois, l'apprentissage dans le domaine technologique se faisait par essais-erreurs : grâce au fonctionnement on découvrait quelles étaient les marges de sécurité, puis on pouvait les codifier. Cette démarche n'est pas possible dans le cas de l'énergie atomique du fait de sa jeunesse. Il faut donc définir une démarche scientifique pour la prévision en situation de non connaissance. Pour cela, l'industrie classique peut servir de référence :
‘«L'expérience concernant les réacteurs nucléaires est encore insuffisante pour permettre la formulation de règles de l'art complètes sur une telle base. La réduction des risques est cependant de la plus haute importance, en particulier les risques d'endommagement du réacteur lui-même et les risques d'exposition des êtres humains aux radiations. Il est par conséquent nécessaire d'extrapoler à partir de l'expérience approfondie de l'ingénierie traditionnelle existante, avec l'aide d'une analyse théorique et d'une information scientifique générale et par analogie, tout en tenant compte de l'expérience croissante dans l'exploitation des réacteurs.» 177 ’Concluant cette introduction, les auteurs assignent à la sûreté des réacteurs un triple objectif :
‘«(a) minimiser l'exposition aux radiations résultant d'une exploitation continue du réacteur;Il s'agit bien de minimiser, et non pas de rendre nul car pour Farmer la sûreté absolue est une vue de l'esprit. Que les conséquences soient faibles (fonctionnement normal) ou importantes (situations accidentelles), le risque est toujours la résultante d'une probabilité multipliée par une conséquence; quelque soit la gravité de la conséquence, travailler à diminuer la probabilité permet de diminuer le risque; enfin, malgré toutes les précautions, l'accident peut survenir, il faut donc en limiter les conséquences.
Le corps de l'article comprend sept parties. La première («radiation exposure») définit le danger nucléaire comme étant l'exposition aux radiations. Les limites d'exposition aux radiations sont rappelées ainsi que les principes de contrôle des sources et des expositions aux radiations, toutes activités du domaine des «health physicists» et des médecins.
La deuxième partie présente l'élément combustible, et c'est nouveau, comme une enveloppe des produits de fission («The fuel element as a container for fission products»), constituant ainsi une première barrière entre les produits de fission et l'environnement extérieur. Si le terme de barrière n'est pas employé dans ce paragraphe, c'est bien le concept d'une barrière physique de l'élément combustible lui-même qui est introduit. Etant donné que le risque nucléaire est l'exposition aux rayonnements générés par les produits de fission, le but de la sûreté est d'interdire qu'ils s'échappent. Considérer l'élément combustible comme un obstacle à la dispersion des produits radioactifs impose alors certaines limitations des conditions d'exploitation :
‘«Dans les réacteurs du type de ceux de Calder Hall, l'élément combustible est un barreau d'uranium solidement gainé et on peut lui faire confiance pour contenir les produits de fission, à la fois gazeux et non gazeux, aussi longtemps qu'il est protégé de toute attaque chimique et qu'il n'est pas soumis à une température excessive. Un objectif premier dans la conception et l'exploitation doit par conséquent être de maintenir l'élément combustible dans des conditions adéquates de températures, de pureté du refroidissement, etc.» 179 ’Cette première barrière est donc composée de la gaine du combustible et de sa défense, à la fois barrière physique passive et mesures actives : on doit éviter que l'uranium ne surchauffe et que la température de fusion du métal de la gaine ne soit atteint, ce qui nécessite pour cela un certain nombre de contrôles de la température des éléments combustibles.
La troisième partie concerne les propriétés du modérateur dont on doit tout d'abord assurer la stabilité dimensionnelle : la sûreté du réacteur dépend de la capacité de l'opérateur à insérer des absorbants dans les canaux du modérateur, ce qui implique qu'il conserve sa forme et sa structure. Il faut prendre notamment en considération les dégâts dus à l'irradiation comme source d'énergie, l'effet Wigner sur le graphite. Les réactions graphite-CO2, graphite-air posent par contre peu de problème étant donné les caractéristiques des phénomènes physiques en jeu.
Le contrôle et l'instrumentation font l'objet de la quatrième partie : trois points sont abordés : les normes de fiabilité, les dispositifs de protection, le système de refroidissement.
A propos des normes de fiabilité, l'article énonce un principe qui se veut général, valable pour tous les types de réacteurs en cours de développement dans le monde. Les normes de fiabilité comme les moyens de les atteindre peuvent varier en fonction des différentes filières, mais le principe doit être observé.
‘«Tout réacteur devrait avoir un système de contrôle et d'instrumentation qui, tout en laissant une flexibilité d'exploitation, permette de garder le réacteur dans les limites du domaine sûr de fonctionnement, malgré les défaillances de matériel et d'énergie qui se produiront.» 180 ’Les Britanniques illustrent ce principe par les mesures retenues pour les réacteurs de Calder Hall : le contrôle de la réaction en chaîne est assuré par un grand nombre de barres de contrôle, séparées les unes des autres, retenues par des fixations électromagnétiques différentes à l'intérieur du circuit sous pression. L'insertion de 10% des barres de contrôle est suffisant pour empêcher toute élévation de la température des éléments combustibles. La redondance, les marges de sécurité, moyens traditionnels de l'ingénieur, doivent assurer le contrôle en toutes circonstances. Mais il faut aller plus loin. Un autre exemple concernant l'utilisation des instrument et des indicateurs montre que l'application de certains principes de fiabilité peut permettre à la fois d'obtenir une grande sûreté, mais également de satisfaire aux impératifs d'exploitation :
‘«L'application du seul principe de «sécurité intrinsèque» est insuffisant ici, parce que des indications incorrectes fournies par des instruments défectueux interrompraient trop souvent l'exploitation à mauvais escient. Par conséquent, autant que faire se peut, des dispositions sont prises pour que l'erreur d'un seul instrument puisse se produire sans préjudice ni pour le programme d'exploitation ni pour la sécurité offerte. Ces objectifs sont atteints en pratique par le doublement ou le triplement des circuits de contrôle. On préfère l'utilisation de trois circuits parallèles, le contrôle du réacteur étant effectué par une indication correcte sur deux des trois circuits. Ceci autorise une fausse erreur sur n'importe lequel des circuits ou des instruments, et permet également la remise en état des instruments et circuits.» 181 ’Farmer et ses collègues remettent ici en cause un vieux principe de sécurité, le principe «fail-safe» que l'on traduit souvent en Français par «sécurité intrinsèque». Employé depuis des décennies par les ingénieurs, il consiste à concevoir un mécanisme de sécurité de telle façon qu'en cas de défaillance il amène le système dans un état sûr 182 . Ce principe de sécurité intrinsèque est remplacé par une sécurité probabiliste, consistant dans le doublement et ici le triplement des circuits affectés à une même fonction. Avec cette conception, il n'est plus nécessaire de développer des systèmes de plus en plus sophistiqués qui tendent à la perfection, c'est-à-dire vers une fiabilité parfaite, mais il suffit de disposer de systèmes de qualité certes correcte mais pas forcément aussi poussée, pour obtenir une bonne probabilité que la fonction demandée soit exécutée, par l'un ou l'autre des circuits en cas de défaillance de l'un d'entre eux. Le triplement des circuits et le déclenchement d'un arrêt automatique en cas de défaut sur deux des trois lignes, permet en outre de rendre indisponible l'une des trois voies pour la tester, tout en maintenant le fonctionnement de l'installation : il suffit alors de l'annonce d'une erreur sur l'un des deux circuits connectés pour provoquer l'arrêt. Ce principe va se généraliser dans le nucléaire à partir de cette époque, sous le nom de «critère de défaillance unique».
En ce qui concerne les systèmes de protection, même si en principe les réacteurs peuvent être contrôlés manuellement, les Britanniques estiment nécessaire que des systèmes automatiques empêchent le réacteur de sortir de la plage de fonctionnement sûr. Mais l'idéal est de laisser le temps à l'opérateur de prendre les mesures correctives nécessaires, avant que les limites de sûreté soient atteintes. C'est pourquoi la conception du réacteur doit être dans la mesure du possible telle que le réacteur ne puisse pas sortir de sa plage de sûreté en peu de temps. C'est pour respecter ce principe qu'il a notamment été choisi à Calder Hall d'imposer un taux de variation de température du combustible inférieur à 2°C par minute au voisinage de la plage de fonctionnement. Là encore, le but de ce principe est de combattre une tendance à l'arrêt automatique de l'installation, qui a de graves répercussions économiques, au profit d'un meilleur contrôle de ses plages de fonctionnement, dont l'opérateur, si on lui laisse le temps, sera meilleur juge que l'automatisme. Une conception selon ces principes doit permettre à la fois une meilleure sûreté et une meilleure rentabilité de l'installation.
Le flux réfrigérant est le troisième point abordé : c'est un aspect fondamental puisque la température de l'élément combustible dépend du bon équilibre entre le dégagement de la chaleur issue de la réaction en chaîne et son évacuation par le fluide de refroidissement. Un principe s'impose donc : il faut toujours disposer de moyens pour évacuer la chaleur. Les systèmes auxiliaires comme les moteurs de pompes chargés d'assurer une convection forcée doivent être alimentés de façon indépendante, les circuits de refroidissement subdivisés, mais il peut être également fait appel à des propriétés intrinsèques de la machine comme le pouvoir calorifique du modérateur.
La cinquième partie traite du circuit primaire, le présentant comme la «seconde barrière» : «L'utilisation d'un circuit de refroidissement fermé, hermétiquement séparé de l'atmosphère dans les réacteurs de type Calder Hall, offre une seconde barrière pour empêcher la dispersion des substances radioactives.» 183
Les produits de fission doivent donc franchir la barrière constituée du barreau d'uranium et de sa gaine, puis le circuit primaire avant de pouvoir s'échapper dans l'atmosphère. Cette conception de la sécurité en termes de barrières et de leur protection n'est pas présentée ici comme un principe, elle semble plus pressentie que réellement affirmée, mais elle a dû fortement influencer les responsables français, comme nous le verrons par la suite.
Pour des raisons économiques, les concepteurs des réacteurs de Calder Hall ont choisi de porter le gaz sous une pression très au-dessus de la pression atmosphérique, et il faut donc éviter qu'une rupture du circuit primaire n'entraîne la rupture des éléments combustibles. Deux limitations empêchent de se fier pleinement aux règles de l'art de l'ingénierie conventionnelle pour les circuits sous pression. En premier lieu, il faut prendre en compte les effets de l'irradiation sur les propriétés mécaniques des matériaux de structure. Il semble que le seul effet significatif sur les aciers soit une augmentation de la température de transition ductile-fragile. La seconde limitation provient du fait que l'observation du circuit ne peut être visuelle à cause de la présence des radiations.
Très typique des conceptions anglo-saxonnes, la sixième partie traite des critères de sélection des sites d'implantation de réacteurs. Les auteurs estiment qu'étant donné les connaissances actuelles des caractéristiques atmosphériques, sachant que l'exposition aux radiations décroît rapidement avec la distance, il est préférable de choisir des sites dont l'environnement immédiat comporte une densité de population bien en dessous de la moyenne et qui n'augmente que lentement avec la distance. A titre d'exemple, en Grande-Bretagne l'usage est de retenir une densité de quelques centaines de personnes dans un rayon de 2 à 3 kilomètres, les villes plus grandes sont sensiblement plus éloignées (8 à 16 km). Notons d'ores et déjà que les impératifs d'implantation de nombreuses centrales nucléaires conduiront les spécialistes de sûreté britanniques à remettre en cause ces critères concernant l'éloignement moins de dix ans plus tard.
La dernière partie concerne l'évaluation («Assessment») de la sûreté. Le fait de présenter cette phase d'évaluation comme indépendante des mesures prises à la conception est en soi le signe d'une maturité de la part des Britanniques. C'est lors de ce travail que s'effectue la vérification des principes adoptés. Les autorités sont chargées de ce travail spécifiquement de contrôle pour juger de l'acceptabilité des dispositions retenues par les concepteurs. Cette évaluation impose la mise au point d'une méthode d'analyse particulière nécessitant de savoir quels types d'événements prendre en compte, jusqu'où aller dans l'étude des accidents «invraisemblables» si leurs conséquences peuvent être gigantesques, et c'est bien dans ce domaine que les Britanniques innovent. Les auteurs notent que les réacteurs connaissent un développement rapide et qu'il est impossible de passer en revue tous les aspects touchant la sûreté. Mais deux procédures d'évaluation s'avèrent valables :
‘«La première consiste en ce que concepteurs et exploitants soumettent leurs arguments détaillés sur la sûreté à un examen attentif et imaginatif par un groupe d'experts distinct. L'expérience montre qu'un tel examen révélera inévitablement les points faibles potentiels. Et la seconde est qu'il devrait être procédé à des estimations théoriques du déroulement de certaines défaillances extrêmement improbables, mais non complètement impossibles, d'origine humaine ou matérielle.» 184 ’Cette démarche va à l'encontre de celle développée aux Etats-Unis 185 et présentée lors de cette même conférence avec la notion d'accident maximum prévisible, qui considère qu'au-delà d'une certaine probabilité, rien ne sert d'étudier des scénarios d'accident : c'est une approche radicalement différente, mais qui nécessite les moyens de ses ambitions. Pour cela les auteurs proposent qu'à partir d'un modèle simplifié de la centrale, de ses opérateurs et de son environnement, on effectue des analyses théoriques sur les accidents susceptibles de se produire, par simulation des conditions accidentelles. C'est cette méthode révolutionnaire, initiée par les Britanniques dès cette époque, qui s'appuie sur des arbres d'erreurs et une analyse des probabilités ; mais cette analyse théorique des défaillances («theoretical fault analysis») ne peut être efficace que si elle repose sur un certain nombre de paramètres vérifiés par expérimentation. Une autre communication présentée à Genève illustre ce genre de travail. 186
‘«Toutes ces études peuvent révéler conjointement des facteurs qui pourraient influencer les conséquences et indiquer des changements auxquels il est nécessaire de procéder dans les techniques actuelles d'exploitation, dans l'instrumentation ou dans les projets futurs. Une codification basée sur des principes généraux pourrait émerger, mais on s'attend à ce que cela se produira lentement et en connexion avec un petit nombre de familles de réacteurs.» 187 ’Mais si cette méthode d'analyse théorique préalable comme l'expérimentation permettent d'accélérer le processus d'acquisition des connaissances, c'est réellement l'expérience de fonctionnement qui pourra apporter la confirmation de la sûreté de l'installation. C'est pourquoi la phase d'exploitation doit être examinée avec un souci particulier.
‘«A cause de l'expérience de fonctionnement limitée sur les réacteurs, l'attention que l'on doit porter à leur sûreté devrait se poursuivre même après avoir commencé l'exploitation normale. En premier lieu, l'expérience montrera dans quelle mesure le comportement de l'usine coïncide avec celui du modèle théorique estimé pendant la phase de conception. En second lieu, les défaillances mineures de matériel ou des opérateurs, avec des conséquences sans importance, donneront une indication sur le degré de risque de défaillances plus sérieuses et suggéreront des modifications pour les réduire.» 188 ’ ‘’Farmer et ses collègues reconnaissent ici que tout événement, même mineur, peut être révélateur d'un dysfonctionnement qui pourrait être la cause, cumulé avec d'autres dysfonctionnements mineurs, d'un accident beaucoup plus grave, et c'est pour se donner les moyens de les prendre en compte que les Britanniques lancent dès 1960 leur fichier de recueil et d'analyse des événements importants pour la sûreté.
‘«Certaines questions concernant les conséquences possibles des accidents ne peuvent pas recevoir de réponse seulement par l'expérience d'un fonctionnement sûr. Pour cette raison, il est essentiel de maintenir un programme de recherche convenable.» 189 ’L'article se conclue ainsi sur la nécessité de mener des recherches et indique les points qui font l'objet d'études suivies.
Cette longue référence à l'article présenté par les Britanniques en 1958 à la conférence de Genève montre sans ambiguïté l'avance Britannique dans la conceptualisation du risque. La méthodologie «des barrières», qui sera le credo des Français n'est pas affirmée comme telle, mais la démonstration de la sûreté est bel et bien effectuée en s'assurant de la résistance successive de l'élément combustible puis du circuit primaire. Le risque est défini, en termes de probabilités, poussant à étudier tous les accidents, aussi bien mineurs que majeurs, en s'appuyant sur des données de fiabilité des différents systèmes qui composent la machine. Outre ces principes, l'organisation de la sûreté se met en place au niveau de l'AEA, et du gouvernement. Une politique de formation et de recrutement de spécialistes a été opérée récemment qui va conforter cette avance.
Par rapport aux Etats-Unis, comme à la Grande-Bretagne, la France est bien en retard, mais elle va se mettre l'école de ses aînées.
F.R. Farmer, P.T. Fletcher, T.M. Fry, «Safety Considerations for Gas Cooled Thermal Reactors of the Calder Hall Type», Proceedings of The Second International Conference on Peaceful Uses of Atomic Energy, Geneva 1958, P/2331, Vol. 11, pp. 202-215, United Nations, New-York (1959).
Farmer était intervenu lors de la première conférence de Genève en 1955 dans la session intitulée «problèmes écologiques liés au fonctionnement des réacteurs». Sa communication, malgré son titre, était consacrée aux problèmes de contrôle des niveaux d'exposition des travailleurs et de la population aux radiations. Cf. F.R. Farmer, «Safety Criteria in Atomic Energy», Proceedings of the First United Nations Conference on Peaceful Uses of Atomic Energy, Geneva, 1955, Vol. XIII, P/543, pp. 315-318.
En 1955, T.M. Fry, associé à W.G. Marley, avait présenté une communication intitulée «Risques radiologiques causés par une fuite de produits de fission et incidence de ces risques sur le choix d'une génératrice nucléaire», Communication P/394 à la première conférence des Nations Unies sur l'utilisation pacifique de l'énergie atomique, Genève, 1955, pp. 119-123.
«No Human activity is without risk but, nevertheless, every practible precaution should be taken to reduce risks to a socially and economically acceptable low order of probability.»
«This has been achieved in many fields by promulgating codes of practice, based on the sum total of relevant working experience, including the study of failures. Adherence to such a code should, on statistical grounds, leave an ample, but not an excessive, margin of safety.»
«There is still inadequate experience of nuclear reactors to permit the formulation of comprehensive codes of practice on such a basis. The reduction of risks is, however, of the greatest importance, particularly those of serious damage to the reactor itself and exposure of human beings to radiation. It is necessary, therefore, to extrapolate from the existing and extensive background of conventional engineering, with the aid of theoretical analysis, general scientific information and analogy as well as to take account of the growing experience of reactor operation.»
«(a) to minimise the radiation exposure resulting from continuous operation of the reactor;
(b) to minimise the probability that the reactor gets accidentally into a condition outside its safe operating range; and
(c) to minimise the effects to the reactor and the radiation exposure resulting from any such accidental excursions.»
«In the Calder Hall type of reactor, the fuel element is a sheathed solid uranium bar and reliance can be placed upon it to contain the fission products, both gaseous and non gaseous, so long as it is protected from chemical attack and is not overheated. A prime object in design and operation must therefore be to maintain the fuel element under suitable conditions of temperature, coolant purity, etc.»
«Any power reactor should have a system of control and instrumentation that, allowing operational flexibility, can be relied upon to keep the reactor within its safe operating range, despite failures of equipment and supplies that will occur.»
Traduit par nos soins, l'original est le suivant : «The application of the «fail safe» principle alone is insufficient here, because incorrect indications from defective instruments would too frequently interrupt operations unnecessarily. So far as possible, therefore, arrangements are made that failure replacement of single instruments can occur without prejudice either to the operational programme or to the protection afforded. These objectives are achieved in practice by the duplication or triplication of control circuits. The use of three parallel circuits is preferred with the control of the reactor exercised by the appropriate signal indication on two out of three circuits. This allows for spurious error in any one circuit, or instrument, and also permits testing and replacement of the instruments and circuits.»
Depuis les débuts du chemin de fer, les systèmes de sécurité et en premier lieu la signalisation, reposaient sur le principe de «sécurité intrinsèque». Ce principe, d'abord mis au point pour les systèmes mécaniques puis électromécaniques, est resté à la base de toutes les installations de sécurité de la SNCF jusqu'à la fin des années 70. Dans le cas très simple d'un signal actionné de façon mécanique par un levier de manœuvre au moyen d'un fil de transmission, le système était conçu de telle sorte qu'en cas de rupture du fil de commande, le signal passe au rouge sous l'action du poids d'une masse reliée au signal par une chaîne. Plus tard, les relais électromécaniques furent dotés d'une masselotte dont le poids devait ouvrir les contacts si le courant venait à manquer dans la bobine. Mais toutes ces forces de secours (basées sur la gravité dans les exemples précédents) ne pouvaient agir que si l'installation présentait des qualités constructives et de maintenance exceptionnelles, une fiabilité tendant à la perfection. En effet, d'après le principe de la sécurité intrinsèque, c'était la structure de l'élément qui assurait la sécurité, sans aucun dispositif additionnel.
«The use of a closed coolant circuit, sealed off from the atmosphere, in the Calder Hall type of reactor, affords a second barrier to prevent the dispersal of radioactive substances.»
«The first is that designers and operators should submit their detailed safety arguments to careful and imaginative scrutiny by a separate body of experts. Experience shows that such scrutiny will invariably bring to light points of potential weakness. The second is that theoretical estimates should be made of the course of events following certain extremely improbable, but not completely impossible, failures of staff and equipment.»
Cf. C.K. Beck, M.M. Mann, P.A. Morris, «Reactor Safety, Hazards Evaluation and Inspection», Proceedings of The Second International Conference on Peaceful Uses of Atomic Energy, Geneva 1958, P/267, Vol. 11, United Nations, New York (1959), pp. 17-20.
G. Brown, H. Kronberger, F.M. Leslie, J. Moore, P.W. Mummery, «Safety Aspects of the Calder Hall Reactor in Theory and Experiment», Proceedings of The Second International Conference on Peaceful Uses of Atomic Energy, Geneva 1958, P/267, Vol. 11, United Nations, New York (1959).
«All these studies jointly can reveal factors that could influence the consequences, and can indicate changes that are worth making in current operational techniques, instrumentation, or future design. Some codification based on broad principles may emerge, but it is anticipated that this will take place slowly and will be related to small families of reactors.»
«Because of limited operating experience with reactors, consideration of their safety should continue even after they have commenced normal operation. In the first place, experience will show to what extent the behaviour of the plant coincides with that of the theoretical model assessed during the design stage. In the second place, minor failures of equipment and staff, having trivial consequences, will throw light on the degree of risk of more serious failures and suggest modifications to reduce it.»
«There are some questions relating to the possible consequences of accidents that cannot be answered solely from experience of safe operation. For this reason it is essential to maintain a suitable research programme.»