L'application de ces principes de redondance met en évidence la nécessité de concevoir de nouveaux appareillages pour la commande et pose le problème de leur fiabilité. C'est d'ailleurs un mouvement général à l'échelle internationale, qui, dans le cadre de la recherche de la compétitivité de cette forme d'énergie, conduit à l'amélioration de l'électronique de contrôle. Mais après l'adoption de ces grands principes, restent à régler les modalités matérielles, techniques qui sont la cause de ces problèmes de déclenchement intempestif. Ce problème est plusieurs fois évoqué en séance de la commission : il est notamment lié à la confiance qu'on accorde aux systèmes électroniques, et ceux-ci ne semblent pas très fiables. A de nombreuses reprises les comptes-rendus évoquent les tableaux de commande vétustes, mais qu'on ne peut pas remplacer dans l'immédiat faute de mieux.
C'est le cas lors de l'examen d'Aquilon II, en décembre 1960, où les nouvelles chaînes de sécurité, mises au point en accord avec le Département d'Electronique, ne sont pas disponibles à cause d'un problème d'approvisionnement pour des amplificateurs logarithmiques de sécurité. Ce sont des appareils essentiels pour la sécurité puisque leur fonction est de fournir, avec un temps de réponse raisonnable, un signal d'arrêt basé sur la mesure de la période neutronique. La mise au point de ces appareils est considérée comme d'autant plus importante qu'ils doivent permettre, tout en préservant des conditions de sécurité satisfaisantes, une exploitation plus aisée de l'installation. L'appareil utilisé jusque-là, s'il donnait satisfaction du point de vue de la sûreté, grâce à des consignes d'exploitation strictes, limitait les facilités d'exploitation. 274
Or c'est par l'intermédiaire de ces dispositifs de contrôle que le conducteur d'une pile accède à la compréhension du comportement de sa machine. Les problèmes de fiabilité de l'électronique conduisent ainsi la commission à se poser la question de la relation homme-machine. Il faut souligner ce point si fondamental pour les systèmes techniques complexes où l'homme est dépendant de l'instrumentation pour le pilotage : les phénomènes qui se produisent sont souvent trop rapides, trop nombreux, pour être saisis par les sens humains, les phénomènes ne sont pas visibles ni palpables. Ils ne peuvent être appréhendés que de façon indirecte, ce qui explique l'importance du type et de la qualité de l'information fournie au pilote de l'installation.
Lors de l'examen 275 du réacteur d'étude Masurca 276 de Cadarache, en décembre 1966, la Commission envisage à nouveau un problème d'électronique : Bourgeois s'inquiète du fait que chaque fois qu'un incident survient, l'examen montre que les conducteurs de piles n'ont pas confiance dans l'électronique. Pour Bourgeois, il convient que la Commission prenne position sur ce point. Sa position personnelle est ferme : «en aucun cas, les conducteurs de pile ne doivent entraver une action de sécurité en pensant qu'il s'agit d'un défaut d'électronique : avant toute chose on doit laisser faire l'électronique, quitte à la réparer ensuite si l'on constate qu'elle est défectueuse.» Bourgeois préconise la rédaction de consignes claires en la matière. Le Haut-Commissaire affirme son plein accord avec cette manière de voir les choses, tandis que le responsable de la pile, Georges Vendryes, souligne qu'il a toute confiance dans l'électronique de Masurca, qui n'a donné lieu à aucun ennui.
Les problèmes d'exploitation et le rapport des opérateurs aux machines sont abordés plusieurs fois au cours de la séance de décembre 1966, ce qui montre les préoccupations accrues en matière de consignes d'exploitation. Les questions d'exploitation ne sont certes pas totalement nouvelles puisqu'elles avaient déjà été mises à l'ordre du jour par la SCSP en décembre 1961 à propos de la formation du personnel de conduite des piles. 277 M. Bourgeois avait alors insisté sur les lacunes existant dans la formation des conducteurs de pile, et plus particulièrement pour ceux du CEA. Son exposé avait amené la Commission à proposer que cette question soit examinée avec l'Institut National des Sciences et Techniques Nucléaires (INSTN) afin de définir les connaissances à exiger, créer les diplômes correspondants à l'acquisition desdites connaissances, et créer ou aménager les cours et stages nécessaires. La question d'un supplément éventuel de rémunération pour les titulaires des diplômes ou certificats devait être soumise à la Direction Administrative. Mais en 1966, s'ils ne sont pas totalement nouveaux, les problèmes d'exploitation prennent une importance accrue.
L'examen d'Osiris, pile piscine de forte puissance construite à Saclay 278 , montre à nouveau un problème de matériel qui débouche sur des problèmes d'exploitation. La pile est équipée d'une chaîne de sécurité d'un type nouveau, transistorisée, offrant des possibilités de pannes non sûres, c'est à dire des pannes non détectées et qui rendent inefficace la chaîne de sécurité. Pour remédier à ce problème, la chaîne a été munie d'un système de tests par impulsions. La Sous-Commission estime nécessaire que ce système de tests soit en état de marche : elle a accepté que, en cas de panne, on n'arrête pas immédiatement la pile, et qu'on accorde un délai de réparation de 48 heures. Mais passé ce délai, elle juge qu'il faut arrêter la pile. Il y a eu désaccord à ce sujet entre la SCSP et l'exploitant : Bourgeois estime que l'ensemble «test plus logique de sécurité» forme un tout «cohérent et complet» et que les deux parties doivent fonctionner ensemble. Mais Bourgeois, qui ne veut pas apparaître comme le défenseur de «ce» système, avance qu'un système de remplacement aux tests pourrait être mis en service en cas de panne, qui permettrait de suivre certains paramètres caractéristiques. La Commission se rallie finalement à son point de vue : la pile doit être arrêtée si la réparation n'a pu être faite dans un délai de 48 heures. Le Haut-Commissaire demande qu'il soit précisé dans les consignes d'exploitation qu'en cas de panne du système de test, le personnel de quart devra porter une attention toute particulière aux indications concernant la sécurité de la pile. La Commission insiste donc sur les consignes données aux exploitants, dans la mesure où la conception est défaillante, et la difficulté technique n'est pas résolue : c'est l'homme qui doit en définitive palier les défaillances de la machine ou des concepteurs. La commission précise que le Département de Construction des Piles devra entreprendre aussitôt l'étude d'un dispositif de sécurité correct, fonctionnant sans passer par la logique transistorisée du réacteur, à utiliser en cas de panne des tests. La Commission adopte finalement le projet d'autorisation présenté par la Sous-Commission de Sûreté des Piles, mais le Haut-Commissaire insiste pour que, conformément au texte adopté, tout incident sérieux «ayant entraîné ou ayant pu entraîner» des conséquences pour la sûreté des installations soit signalé au Président de la Sous-Commission dans les délais les plus courts. Un compte rendu succinct doit lui être rapidement adressé.
Cette nouvelle exigence est soulignée à nouveau quelques minutes plus tard lors de l'examen concernant EL4 à Brennilis. 279 M. Bourgeois signale la nécessité pour la Sous-Commission d'être informée rapidement de tout incident sérieux. Il note que les Directions se préoccupent en général, en cas d'incident, des conséquences administratives, que ce soit la question des responsabilités ou des sanctions. Mais du point de vue de la sûreté, la Sous-Commission de sûreté des piles veut pouvoir tirer, sur le plan de l'exploitation, les conséquences techniques de chaque incident. M. Bourgeois prépare une note à ce sujet qu'il entend proposer à toutes les Directions intéressées, rappelant la nécessité de comptes rendus sur les incidents, adressés à la CSIA.
Il est frappant de constater comment, en quelques années seulement, l'essentiel des problèmes qui constituent la sûreté aujourd'hui sont appréhendés et résolus par les spécialistes de sûreté du CEA. Entre 1960 et 1967, on assiste comme en accéléré à la prise de conscience des différents aspects de la sûreté : en moins de dix ans, on passe du questionnement sur la conception aux problèmes d'exploitation. On est amené à découvrir avec les piles du CEA, ce qu'en utilisant un vocabulaire moderne on appelle les problèmes d'interface homme-machine, ou encore le retour d'expérience c'est-à-dire l'analyse des incidents pour faire progresser la sûreté.
PV CSIA, Séance du 21 décembre 1960.
PV CSIA, Séance du 20 décembre 1966, p. 4.
Le contrat d'association signé en 1962 entre le CEA et Euratom pour financer la fin des études, la construction et l'exploitation de Rapsodie comprenait également la construction de deux réacteurs à neutrons rapides de puissance nulle destinés à des études de physique : Harmonie et Masurca. Réalisés par Belgonucléaire, ils entreront en service respectivement à l'été 65 et fin 66.
PV CSIA, Séance du 5 décembre 1961.
Ibid.
Ibid.