Mis à part ces questions d'interface entre la conception et l'exploitation, entre les indications en salle de commande et la réalité physique, questions qui sont communes à de nombreux processus industriels, un aspect propre à la sûreté des installations nucléaires conduisait à désarmer les exploitants. Sur le plan des principes de la sûreté retenus à la conception, le concept d'accident de dimensionnement 812 comportait un aspect pernicieux pour l'exploitation.
En effet, du schéma de l'accident de dimensionnement découlait tout le système d'exploitation : les opérateurs étaient dotés de procédures qui répondaient à l'accident d'une rupture brutale primaire due à une grosse brèche. Or ce n'est pas du tout ce qui s'est passé à TMI, si bien que l'opérateur a été confronté à une situation où il ne disposait pas des procédures nécessaires pour faire face, car il ne connaissait pas le scénario de l'incident. Il était dans une situation d'inconnu total puisqu'il ne disposait pas de l'instrumentation qui lui aurait permis de connaître l'état physique réel du cœur. Par exemple, la mesure fondamentale de la distance à la saturation (le Tsat) - l'écart entre la température de saturation et la température réelle - n'était pas prévue, il n'y avait pas d'indicateur. Or avec une indication de température et de pression, les opérateurs auraient pu très facilement évaluer l'état du cœur, alors qu'ils ont passé plusieurs heures à essayer de reconstruire l'image physique du système avec de multiples autres indications. La mise au point de l'instrumentation pour connaître l'état physique de l'installation (niveau dans la cuve, pression de saturation…) sera l'un des grands enseignements de TMI en France, pour permettre à l'opérateur de piloter son installation à l'aide de procédures adaptées à la réalité physique de l'installation.
Cette instrumentation n'existait pas à Three Mile Island. Mais ce n'est pas uniquement parce que cela présentait des difficultés de mise au point (le milieu fortement radioactif est hostile non seulement pour l'homme, mais également pour les instruments, les zones pour les capteurs sont difficiles d'accès pour l'étalonnage ou la maintenance…). Cela provient également du fait que d'après le schéma de l'accident de dimensionnement, les concepteurs pensaient qu'il n'y en avait pas besoin. D'après ce scénario en effet, le problème est simple : une grosse rupture survient, toute l'eau se vidange, le problème est simplement de ramener l'eau dans la cuve. Le problème est simple et ne demande pas beaucoup de mesures. Or là où le raisonnement est pris en défaut, c'est que la grosse rupture, le gros LOCA, risque fort de ne jamais se produire car c'est un accident extrêmement peu probable, alors que les petites ruptures ont plus de chances de survenir. C'est cela l'aspect pernicieux du système : armé contre les gros accidents, l'exploitant ne l'était pas contre les plus petits, qui pouvaient alors dégénérer de façon inattendue. Une des modifications en salle de commande consistera à installer une instrumentation supplémentaire pour permettre de donner à l'opérateur une image directe de l'état du cœur et notamment de lui présenter la marge à l'ébullition et le niveau d'eau dans la cuve pour les REP 900 et 1300 MWe.
D'après un entretien avec François Cogné.