Le cause del disastro di Chernobyl del 1986 sono state variamente attribuite al personale operativo, alla direzione dell'impianto, alla progettazione del reattore e alla mancanza di adeguate informazioni sulla sicurezza nell'industria nucleare sovietica. Questo articolo prende in considerazione una serie di errori di progettazione, carenze operative ed errori umani che si sono combinati nell'incidente. Esamina la sequenza degli eventi che hanno portato all'incidente, i problemi di progettazione nel reattore e nelle barre di raffreddamento e il corso dell'incidente stesso. Prende in considerazione gli aspetti ergonomici ed esprime l'opinione che la causa principale dell'incidente sia stata l'inadeguata interazione utente-macchina. Infine, sottolinea le continue inadeguatezze e sottolinea che, se non si apprendono appieno le lezioni di ergonomia, potrebbe ancora verificarsi un disastro simile.
La storia completa del disastro di Chernobyl deve ancora essere rivelata. A dire il vero, la verità è ancora velata da reticenze egoistiche, mezze verità, segretezza e persino falsità. Uno studio completo delle cause dell'incidente sembra essere un compito molto difficile. Il problema principale affrontato dall'investigatore è la necessità di ricostruire l'incidente e il ruolo dei fattori umani in esso sulla base delle minuscole informazioni che sono state messe a disposizione per lo studio. Il disastro di Chernobyl è più di un grave incidente tecnologico, parte delle ragioni del disastro risiedono anche nell'amministrazione e nella burocrazia. Tuttavia, lo scopo principale di questo articolo è considerare i difetti di progettazione, le carenze operative e gli errori umani che si sono combinati nell'incidente di Chernobyl.
Di chi è la colpa?
Il capo progettista dei reattori ad acqua bollente di grande potenza (RBMK) a tubi in pressione utilizzati presso la centrale nucleare di Chernobyl (NPP), nel 1989, ha presentato il suo punto di vista sulle cause dell'incidente di Chernobyl. Ha attribuito il disastro al fatto che il personale non ha rispettato le procedure corrette, o "disciplina di produzione". Ha sottolineato che gli avvocati che indagavano sull'incidente erano giunti alla stessa conclusione. Secondo il suo punto di vista, "la colpa è del personale piuttosto che di alcuni difetti di progettazione o produzione". Il supervisore della ricerca per lo sviluppo di RBMK ha sostenuto questo punto di vista. La possibilità di inadeguatezza ergonomica come fattore causale non è stata considerata.
Gli stessi operatori hanno espresso un parere diverso. Il capoturno della quarta unità, AF Akimov, morendo in ospedale a seguito di una dose di radiazioni superiore a 1,500 rad (R) ricevuta in un breve periodo di tempo durante l'incidente, continuava a dire ai suoi genitori che le sue azioni aveva avuto ragione e non riusciva a capire cosa fosse andato storto. La sua tenacia rifletteva l'assoluta fiducia in un reattore che si supponeva fosse completamente sicuro. Akimov ha anche detto che non aveva nulla di cui incolpare il suo equipaggio. Gli operatori erano sicuri che le loro azioni fossero in accordo con la normativa, e quest'ultima non accennò affatto all'eventualità di un'esplosione. (Sorprendentemente, la possibilità che il reattore diventi pericoloso in determinate condizioni è stata introdotta nelle norme di sicurezza solo dopo l'incidente di Chernobyl). Il nucleo ha causato un'esplosione così terribile invece di fermare istantaneamente la reazione nucleare come previsto. In altre parole, in questo caso hanno agito correttamente secondo le istruzioni di manutenzione e secondo il loro modello mentale del sistema reattore, ma il progetto del sistema non corrispondeva a quel modello.
Sei persone, in rappresentanza della sola direzione dell'impianto, sono state condannate, in considerazione delle perdite umane, per aver violato le norme di sicurezza per gli impianti potenzialmente esplosivi. Il presidente del tribunale ha pronunciato alcune parole al fine di procedere alle indagini nei confronti di “coloro che non hanno provveduto a migliorare l'impiantistica”. Ha anche menzionato la responsabilità dei funzionari del dipartimento, delle autorità locali e dei servizi medici. Ma, in effetti, era chiaro che il caso era chiuso. Nessun altro è stato ritenuto responsabile del più grande disastro nella storia della tecnologia nucleare.
Tuttavia, è necessario indagare su tutti i fattori causali che si sono combinati nel disastro per trarre lezioni importanti per un futuro funzionamento sicuro delle centrali nucleari.
Segretezza: il monopolio dell'informazione nella ricerca e nell'industria
Il fallimento del rapporto utente-macchina che ha portato a "Chernobyl-86" può essere attribuito in qualche misura alla politica di segretezza - l'imposizione di un monopolio dell'informazione - che governava la comunicazione tecnologica nell'establishment dell'energia nucleare sovietica. A un piccolo gruppo di scienziati e ricercatori è stato concesso il diritto esaustivo di definire i principi e le procedure di base dell'energia nucleare, un monopolio protetto in modo affidabile dalla politica della segretezza. Di conseguenza, le rassicurazioni degli scienziati sovietici sull'assoluta sicurezza delle centrali nucleari rimasero incontrastate per 35 anni e il segreto velava l'incompetenza dei leader nucleari civili. Per inciso, di recente si è saputo che tale segretezza è stata estesa anche alle informazioni relative all'incidente di Three Mile Island; il personale operativo delle centrali nucleari sovietiche non era pienamente informato di questo incidente: sono state rese note solo informazioni selezionate, che non contraddicevano il punto di vista ufficiale sulla sicurezza delle centrali nucleari. Un rapporto sugli aspetti di ingegneria umana dell'incidente di Three Mile Island, presentato dall'autore di questo documento nel 1985, non è stato distribuito a coloro che si occupano di sicurezza e affidabilità delle centrali nucleari.
Nessun incidente nucleare sovietico è mai stato reso pubblico, ad eccezione degli incidenti nelle centrali nucleari armena e di Chernobyl (1982), che sono stati casualmente menzionati nel giornale Pravda. Nascondendo il vero stato delle cose (mancando quindi di avvalersi delle lezioni basate sulle analisi degli incidenti) i leader dell'industria nucleare stavano avviando la strada verso Chernobyl-86, una strada ulteriormente spianata dal fatto che era stata impiantata un'idea semplificata delle attività dell'operatore e il rischio di gestione delle centrali nucleari era stato sottovalutato.
Come ha dichiarato nel 1990 un membro del Comitato di esperti di Stato sulle conseguenze dell'incidente di Chernobyl: “Per non sbagliare più, dobbiamo ammettere tutti i nostri errori e analizzarli. È essenziale determinare quali errori sono stati dovuti alla nostra inesperienza e quali invece sono stati un deliberato tentativo di nascondere la verità”.
L'incidente di Chernobyl del 1986
Pianificazione errata del test
Il 25 aprile 1986, la quarta unità della centrale nucleare di Chernobyl (Chernobyl 4) veniva preparata per la manutenzione ordinaria. Il piano era di spegnere l'unità ed eseguire un esperimento che coinvolgesse sistemi di sicurezza non funzionanti totalmente privi di alimentazione da fonti normali. Questo test avrebbe dovuto essere effettuato prima l'avvio iniziale di Chernobyl 4. Tuttavia, il Comitato di Stato aveva tanta fretta di avviare l'unità che decise di rinviare a tempo indeterminato alcuni test "insignificanti". Il certificato di accettazione è stato firmato alla fine del 1982. Quindi, il vicedirettore di macchina agiva secondo il piano precedente, che presupponeva un'unità del tutto inattiva; la sua pianificazione e la tempistica del test procedevano secondo questo presupposto implicito. Questo test non è stato in alcun modo effettuato di sua iniziativa.
Il programma del test è stato approvato dall'ingegnere capo. La potenza durante il test doveva essere generata dall'energia di esaurimento del rotore della turbina (durante la sua rotazione indotta dall'inerzia). Quando è ancora in rotazione, il rotore fornisce la generazione di energia elettrica che potrebbe essere utilizzata in caso di emergenza. La totale perdita di potenza in una centrale nucleare provoca l'arresto di tutti i meccanismi, comprese le pompe che provvedono alla circolazione del refrigerante nel nocciolo, che a sua volta provoca la fusione del nocciolo, un grave incidente. L'esperimento di cui sopra aveva lo scopo di testare la possibilità di utilizzare qualche altro mezzo disponibile - la rotazione inerziale della turbina - per produrre energia. Non è vietato eseguire tali test negli impianti operativi a condizione che sia stata sviluppata una procedura adeguata e siano state elaborate ulteriori precauzioni di sicurezza. Il programma deve garantire che venga fornita un'alimentazione di riserva per l'intero periodo di prova. In altre parole, la perdita di potere è solo implicita ma mai realizzata. Il test può essere eseguito solo dopo lo spegnimento del reattore, cioè quando viene premuto il pulsante “scram” e le aste assorbenti vengono inserite nel nocciolo. Prima di ciò, il reattore deve trovarsi in una condizione stabile controllata con il margine di reattività specificato nella procedura operativa, con almeno 28-30 barre assorbenti inserite nel nocciolo.
Il programma approvato dall'ingegnere capo dell'impianto di Chernobyl non soddisfaceva nessuno dei requisiti di cui sopra. Inoltre, ha chiesto l'arresto del sistema di raffreddamento di emergenza del nocciolo (ECCS), mettendo così a rischio la sicurezza dell'impianto per l'intero periodo di prova (circa quattro ore). Durante lo sviluppo del programma, i promotori hanno tenuto conto della possibilità di attivare l'ECCS, eventualità che avrebbe impedito loro di completare il rundown test. Il metodo di spurgo non è stato specificato nel programma poiché la turbina non necessitava più di vapore. Chiaramente, le persone coinvolte ignoravano completamente la fisica dei reattori. Tra i vertici dell'energia nucleare c'erano ovviamente anche persone altrettanto non qualificate, il che spiegherebbe il fatto che quando il suddetto programma fu sottoposto all'approvazione delle autorità preposte nel gennaio 1986, non fu mai commentato da queste in alcun modo. Anche la sorda sensazione di pericolo ha dato il suo contributo. A causa della politica di segretezza che circonda la tecnologia nucleare, si era formata l'opinione che le centrali nucleari fossero sicure e affidabili e che il loro funzionamento fosse privo di incidenti. La mancanza di una risposta ufficiale al programma, tuttavia, non ha allertato il direttore della centrale di Chernobyl sulla possibilità del pericolo. Decise di procedere con il test utilizzando il programma non certificato, anche se non era consentito.
Modifica del programma di test
Durante l'esecuzione del test, il personale ha violato il programma stesso, creando così ulteriori possibilità di incidente. Il personale di Chernobyl ha commesso sei gravi errori e violazioni. Secondo il programma l'ECCS è stato reso inoperante, essendo questo uno degli errori più gravi e fatali. Le valvole di controllo dell'acqua di alimentazione erano state preventivamente tagliate e bloccate in modo che fosse impossibile anche aprirle manualmente. Il raffreddamento di emergenza è stato deliberatamente disattivato per evitare possibili shock termici derivanti dall'ingresso di acqua fredda nel nucleo caldo. Questa decisione era basata sulla ferma convinzione che il reattore avrebbe resistito. La "fiducia" nel reattore è stata rafforzata dai dieci anni di funzionamento relativamente senza problemi dell'impianto. Anche un grave avvertimento, la fusione parziale del nocciolo della prima unità di Chernobyl nel settembre 1982, è stato ignorato.
Secondo il programma di test, il rundown del rotore doveva essere eseguito a un livello di potenza compreso tra 700 e 1000 MWth (megawatt di potenza termica). Tale rundown avrebbe dovuto essere eseguito mentre il reattore veniva spento, ma si scelse l'altra, disastrosa, strada: procedere con il test con il reattore ancora in funzione. Ciò è stato fatto per garantire la "purezza" dell'esperimento.
In determinate condizioni operative si rende necessario modificare o disattivare un comando locale per gruppi di aste assorbenti. Quando si spegneva uno di questi sistemi locali (i mezzi per farlo sono specificati nella procedura per il funzionamento a bassa potenza), l'ingegnere senior di controllo del reattore era lento nel correggere lo squilibrio nel sistema di controllo. Di conseguenza, la potenza è scesa sotto i 30 MWth che ha portato all'avvelenamento del reattore da prodotti di fissione (con xeno e iodio). In tal caso, è quasi impossibile ripristinare le condizioni normali senza interrompere il test e attendere un giorno fino a quando l'avvelenamento non sarà superato. Il vicedirettore di macchina per le operazioni non ha voluto interrompere il test e, urlando contro di loro, ha costretto gli addetti alla sala di controllo a iniziare ad alzare il livello di potenza (che era stato stabilizzato a 200 MWth). L'avvelenamento del reattore è continuato, ma un ulteriore aumento di potenza non era ammissibile a causa del piccolo margine di reattività operativa di sole 30 barre per un reattore a tubi a pressione di grande potenza (RBMK). Il reattore divenne praticamente incontrollabile e potenzialmente esplosivo perché, nel tentativo di superare l'avvelenamento, gli operatori ritirarono diverse barre necessarie a mantenere il margine di sicurezza della reattività, rendendo così inefficace il sistema di scram. Tuttavia, si è deciso di procedere con il test. Il comportamento dell'operatore è stato evidentemente motivato principalmente dal desiderio di completare il test il prima possibile.
Problemi dovuti alla progettazione inadeguata del reattore e delle barre assorbenti
Per meglio comprendere le cause dell'incidente, è necessario evidenziare le principali carenze progettuali delle aste assorbenti del sistema di controllo e scram. L'altezza del nucleo è di 7 m, mentre la lunghezza assorbente delle aste è di 5 m con 1 m di parti cave sopra e sotto. Le estremità inferiori delle aste assorbenti, che vanno sotto l'anima quando sono completamente inserite, sono riempite di grafite. Data una tale progettazione, le barre di controllo entrano nel nucleo seguite da parti cave di un metro e, infine, arrivano le parti assorbenti.
A Chernobyl 4 c'erano un totale di 211 barre assorbenti, 205 delle quali sono state completamente ritirate. Il reinserimento simultaneo di così tante aste provoca inizialmente un superamento della reattività (un picco nell'attività di fissione), poiché all'inizio le estremità di grafite e le parti cave entrano nel nucleo. In un reattore controllato stabile un tale scoppio non è nulla di cui preoccuparsi, ma in caso di una combinazione di condizioni avverse, tale aggiunta può rivelarsi fatale poiché porta alla rapida fuga del reattore a neutroni. La causa immediata della crescita della reattività iniziale è stata l'inizio dell'ebollizione dell'acqua nel nucleo. Questa crescita di reattività iniziale rifletteva un particolare inconveniente: un coefficiente di vuoto di vapore positivo, che derivava dal design del nucleo. Questa carenza di progettazione è uno dei difetti che hanno causato errori dell'operatore.
Gravi difetti di progettazione nel reattore e nelle aste assorbenti hanno in realtà predeterminato l'incidente di Chernobyl. Nel 1975, dopo l'incidente nello stabilimento di Leningrado, e successivamente, gli specialisti hanno avvertito della possibilità di un altro incidente a causa delle carenze nella progettazione del nucleo. Sei mesi prima del disastro di Chernobyl, un ispettore della sicurezza dell'impianto di Kursk ha inviato una lettera a Mosca in cui segnalava al capo ricercatore e capo progettista alcune inadeguatezze progettuali del reattore e delle aste del sistema di controllo e protezione. Il Comitato statale di vigilanza per l'energia nucleare, tuttavia, ha definito la sua argomentazione infondata.
Il corso dell'incidente stesso
Il corso degli eventi è stato il seguente. Con l'inizio della cavitazione della pompa del refrigerante del reattore, che ha portato a una riduzione della portata nel nocciolo, il refrigerante ha bollito nei tubi di pressione. Proprio in quel momento, il capoturno premette il pulsante del sistema di rimescolamento. In risposta, tutte le barre di controllo (che erano state ritirate) e le barre di rimescolamento sono cadute nel nucleo. Tuttavia, i primi ad entrare nel nucleo sono stati la grafite e le estremità cave delle aste, che provocano la crescita della reattività; e sono entrati nel nucleo proprio all'inizio della generazione intensiva di vapore. Anche l'aumento della temperatura interna ha prodotto lo stesso effetto. Così si sono combinate tre condizioni sfavorevoli per il nucleo. È iniziata l'immediata fuga del reattore. Ciò era dovuto principalmente a gravi carenze di progettazione dell'RBMK. Va qui ricordato che l'ECCS era stato reso inoperante, bloccato e sigillato.
Gli eventi successivi sono ben noti. Il reattore è stato danneggiato. La maggior parte del carburante, della grafite e di altri componenti interni è stata espulsa. I livelli di radiazione nelle vicinanze dell'unità danneggiata erano compresi tra 1,000 e 15,000 R/h, sebbene esistessero alcune aree più distanti o riparate dove i livelli di radiazione erano notevolmente inferiori.
All'inizio il personale non si è reso conto di cosa fosse successo e ha continuato a dire: “È impossibile! Tutto è stato fatto correttamente.”
Considerazioni di ergonomia in relazione al rapporto sovietico sull'incidente
Il rapporto presentato dalla delegazione sovietica alla riunione dell'Associazione Internazionale dell'Energia Atomica (IAEA) nell'estate 1986 dava evidentemente informazioni veritiere sull'esplosione di Chernobyl, ma continua a tornare il dubbio se l'accento fosse posto nei punti giusti e se il progetto le inadeguatezze non sono state trattate con troppa delicatezza. Il rapporto affermava che il comportamento del personale era causato dal desiderio di completare il test il prima possibile. A giudicare dal fatto che il personale ha violato la procedura per la preparazione e l'esecuzione dei test, ha violato il programma di test stesso ed è stato negligente durante l'esecuzione del controllo del reattore, sembrerebbe che gli operatori non fossero pienamente consapevoli dei processi che si svolgono nel reattore e aveva perso ogni sensazione di pericolo. Secondo il rapporto:
I progettisti del reattore non sono riusciti a fornire sistemi di sicurezza progettati per prevenire un incidente in caso di spegnimento deliberato dei mezzi di sicurezza ingegnerizzati combinati con violazioni delle procedure operative poiché consideravano improbabile tale combinazione. Pertanto, la causa iniziale dell'incidente è stata un'improbabile violazione delle procedure e delle condizioni operative da parte del personale dell'impianto.
Si è saputo che nel testo iniziale del rapporto le parole “personale dell'impianto” erano seguite dalla frase “che evidenziava i difetti di progettazione del reattore e delle aste del sistema di controllo e protezione”.
I progettisti hanno ritenuto improbabile l'interferenza di "stupidi intelligenti" nel controllo dell'impianto e quindi non sono riusciti a sviluppare i corrispondenti meccanismi di sicurezza ingegnerizzati. Data la frase contenuta nel rapporto in cui si afferma che i progettisti consideravano improbabile l'effettiva combinazione di eventi, sorgono alcune domande: i progettisti avevano considerato tutte le possibili situazioni associate all'attività umana nell'impianto? Se la risposta è positiva, allora come sono stati presi in considerazione nella progettazione dell'impianto? Sfortunatamente, la risposta alla prima domanda è negativa, lasciando indeterminate le aree di interazione utente-macchina. Di conseguenza, la formazione di emergenza in loco e la formazione teorica e pratica sono state svolte principalmente all'interno di un algoritmo di controllo primitivo.
L'ergonomia non è stata utilizzata durante la progettazione di sistemi di controllo assistiti da computer e sale di controllo per centrali nucleari. Come esempio particolarmente grave, un parametro essenziale indicativo dello stato del nocciolo, ovvero il numero delle aste del sistema di controllo e protezione nel nocciolo, è stato visualizzato sul quadro di controllo di Chernobyl 4 in modo inappropriato per la percezione e la comprensione. Questa inadeguatezza è stata superata solo dall'esperienza dell'operatore nell'interpretazione dei display.
Gli errori di calcolo del progetto e l'ignoranza dei fattori umani avevano creato una bomba ad azione ritardata. Va sottolineato che l'errore di progettazione del nucleo e del sistema di controllo è servito come base fatale per ulteriori azioni errate da parte degli operatori, e quindi la causa principale dell'incidente è stata la progettazione inadeguata dell'interazione utente-macchina. Gli investigatori del disastro hanno chiesto "rispetto all'ingegneria umana e all'interazione uomo-macchina, essendo questa la lezione che Chernobyl ci ha insegnato". Sfortunatamente, è difficile abbandonare i vecchi approcci e il pensiero stereotipato.
Già nel 1976, l'accademico PL Kapitza sembrava prevedere un disastro per ragioni che avrebbero potuto essere rilevanti per prevenire una Chernobyl, ma le sue preoccupazioni furono rese note solo nel 1989. Nel febbraio 1976, US News e World Report, un settimanale di notizie, ha pubblicato un rapporto sull'incendio all'impianto nucleare di Browns Ferry in California. Kapitza era così preoccupato per questo incidente che lo menzionò nel suo rapporto, "Problemi globali ed energia", consegnato a Stoccolma nel maggio 1976. Kapitza disse in particolare:
L'incidente ha evidenziato l'inadeguatezza dei metodi matematici utilizzati per calcolare la probabilità di tali eventi, in quanto tali metodi non tengono conto della probabilità dovuta ad errori umani. Per risolvere questo problema, è necessario adottare misure per evitare che qualsiasi incidente nucleare prenda un corso disastroso.
Kapitza ha cercato di pubblicare il suo articolo sulla rivista Nauka i Zhizn (Science and Life), ma il documento è stato respinto perché non era consigliabile “spaventare il pubblico”. La rivista svedese ambio aveva chiesto a Kapitza il suo articolo ma alla lunga non lo pubblicò neanche.
L'Accademia delle scienze ha assicurato a Kapitza che non potevano esserci incidenti del genere in URSS e come "prova" definitiva gli ha fornito le Regole di sicurezza per le centrali nucleari appena pubblicate. Queste regole contenevano, ad esempio, articoli come “8.1. Le azioni del personale in caso di incidente nucleare sono determinate dalla procedura per affrontare le conseguenze dell'incidente”!
Dopo Chernobyl
Come conseguenza diretta o indiretta dell'incidente di Chernobyl, sono in fase di sviluppo e attuazione misure per garantire il funzionamento sicuro delle attuali centrali nucleari e per migliorare la progettazione e la costruzione di quelle future. In particolare, sono state adottate misure per rendere più rapido il funzionamento del sistema scram ed escludere ogni possibilità che venga deliberatamente disattivato dal personale. Il disegno delle aste assorbenti è stato modificato e sono state rese più numerose.
Inoltre, la procedura pre-Chernobyl per condizioni anomale imponeva agli operatori di mantenere in funzione il reattore, mentre secondo quella attuale il reattore deve essere spento. Si stanno sviluppando nuovi reattori che, sostanzialmente parlando, sono di fatto intrinsecamente sicuri. Sono apparse nuove aree di ricerca che erano ignorate o inesistenti prima di Chernobyl, comprese l'analisi probabilistica della sicurezza e i test sperimentali al banco di sicurezza.
Tuttavia, secondo l'ex ministro dell'energia nucleare e dell'industria dell'URSS, V. Konovalov, il numero di guasti, arresti e incidenti nelle centrali nucleari è ancora elevato. Gli studi dimostrano che ciò è dovuto principalmente alla scarsa qualità dei componenti forniti, all'errore umano e alle soluzioni inadeguate degli enti di progettazione e ingegneria. Anche la qualità dei lavori di costruzione e installazione lascia molto a desiderare.
Varie modifiche e modifiche al design sono diventate una pratica comune. Di conseguenza, e in combinazione con una formazione inadeguata, le qualifiche del personale operativo sono basse. Il personale deve migliorare le proprie conoscenze e competenze nel corso del proprio lavoro, in base alla propria esperienza nel funzionamento dell'impianto.
Le lezioni di ergonomia devono ancora essere apprese
Anche il più efficace e sofisticato sistema di controllo della sicurezza non è in grado di garantire l'affidabilità dell'impianto se non si tiene conto dei fattori umani. Si sta preparando il lavoro per la formazione professionale del personale nell'Istituto scientifico e di ricerca delle centrali nucleari di tutta l'Unione e si prevede di ampliare notevolmente questo sforzo. Bisogna ammettere, tuttavia, che l'ingegneria umana non è ancora parte integrante della progettazione, costruzione, collaudo e funzionamento dell'impianto.
L'ex Ministero dell'energia nucleare dell'URSS ha risposto nel 1988 a un'inchiesta ufficiale secondo cui nel periodo 1990-2000 non c'era bisogno di specialisti in ingegneria umana con istruzione secondaria e superiore in quanto non vi erano richieste corrispondenti per tale personale da centrali e imprese nucleari.
Per risolvere molti dei problemi menzionati in questo articolo è necessario svolgere ricerca e sviluppo combinati coinvolgendo fisici, progettisti, ingegneri industriali, personale operativo, specialisti in ingegneria umana, psicologia e altri campi. L'organizzazione di tale lavoro congiunto comporta grandi difficoltà, una difficoltà particolare essendo il restante monopolio di alcuni scienziati e gruppi di scienziati sulla "verità" nel campo dell'energia nucleare e il monopolio del personale operativo sulle informazioni riguardanti il funzionamento della centrale nucleare. Senza informazioni complete disponibili, è impossibile fornire una diagnosi di ingegneria umana di una centrale nucleare e, se necessario, proporre modi per eliminare le sue carenze, nonché sviluppare un sistema di misure per prevenire gli incidenti.
Nelle centrali nucleari dell'ex Unione Sovietica gli attuali mezzi di diagnosi, controllo e informatizzazione sono lontani dagli standard internazionali accettati; i metodi di controllo delle piante sono inutilmente complicati e confusi; non sono previsti programmi avanzati di formazione del personale; c'è uno scarso supporto del funzionamento dell'impianto da parte dei progettisti e formati molto obsoleti per i manuali operativi.
Conclusioni
Nel settembre 1990, dopo ulteriori indagini, due ex dipendenti di Chernobyl furono scarcerati prima della fine della loro pena. Qualche tempo dopo tutto il personale operativo detenuto è stato liberato prima del tempo stabilito. Molte persone coinvolte nell'affidabilità e nella sicurezza delle centrali nucleari ora credono che il personale abbia agito correttamente, anche se queste azioni corrette hanno provocato l'esplosione. Il personale di Chernobyl non può essere ritenuto responsabile per l'entità imprevista dell'incidente.
Nel tentativo di identificare i responsabili del disastro, la corte si è basata principalmente sul parere di tecnici specialisti che, in questo caso, erano i progettisti della centrale nucleare di Chernobyl. Come risultato di questa lezione più importante di Chernobyl si è appresa: fintanto che il principale documento legale utilizzato per identificare la responsabilità per i disastri in stabilimenti così complicati come la centrale nucleare è qualcosa come le istruzioni di manutenzione prodotte e modificate esclusivamente dai progettisti di questi stabilimenti, è troppo tecnicamente difficile trovare le vere ragioni dei disastri, così come prendere tutte le precauzioni necessarie per evitarli.
Inoltre, resta da chiedersi se il personale operativo debba seguire rigorosamente le istruzioni di manutenzione in caso di disastro o se debba agire secondo le proprie conoscenze, esperienze o intuizioni, che possono anche contraddire le istruzioni o essere inconsciamente associate alla minaccia di Punizione severa.
Dobbiamo affermare, purtroppo, che la domanda "Chi è il colpevole dell'incidente di Chernobyl?" non è stato chiarito. I responsabili vanno ricercati tra politici, fisici, amministratori e operatori, oltre che tra ingegneri dello sviluppo. Condannare semplici "commutatori" come nel caso di Chernobyl, o chiedere al clero di santificare le centrali nucleari con l'acqua santa, come è stato fatto con l'unità afflitta da incidenti a Smolensk nel 1991, non possono essere le misure corrette per garantire un funzionamento sicuro e affidabile delle centrali nucleari.
Coloro che considerano il disastro di Chernobyl solo uno sfortunato fastidio di un tipo che non accadrà mai più, devono rendersi conto che una caratteristica umana fondamentale è che le persone commettono errori, non solo il personale operativo ma anche scienziati e ingegneri. Ignorare i principi ergonomici sulle interazioni utente-macchina in qualsiasi campo tecnico o industriale comporterà errori più frequenti e più gravi.
È quindi necessario progettare strutture tecniche come le centrali nucleari in modo tale che eventuali errori vengano scoperti prima che si verifichi un grave incidente. Molti principi ergonomici sono stati derivati cercando in primo luogo di prevenire gli errori, ad esempio nella progettazione di indicatori e controlli. Tuttavia, ancora oggi questi principi vengono violati in molte strutture tecniche in tutto il mondo.
Il personale operativo di strutture complesse deve essere altamente qualificato, non solo per le operazioni di routine ma anche per le procedure necessarie in caso di deviazione dallo stato normale. Una solida conoscenza della fisica e delle tecnologie coinvolte aiuterà il personale a reagire meglio in condizioni critiche. Tali qualifiche possono essere raggiunte solo attraverso una formazione intensiva.
I continui miglioramenti delle interfacce utente-macchina in tutti i tipi di applicazioni tecniche, spesso a seguito di piccoli o grandi incidenti, mostrano che il problema degli errori umani e quindi dell'interazione utente-macchina è lungi dall'essere risolto. È necessaria una continua ricerca ergonomica e la conseguente applicazione dei risultati ottenuti finalizzati a rendere più affidabile l'interazione utente-macchina, soprattutto con tecnologie ad alto potere distruttivo, come il nucleare. Chernobyl è un severo monito di ciò che può accadere se le persone - scienziati e ingegneri, così come amministratori e politici - ignorano la necessità di includere l'ergonomia nel processo di progettazione e gestione di strutture tecniche complesse.
Hans Blix, direttore generale dell'AIEA, ha sottolineato questo problema con un confronto importante. È stato detto che il problema della guerra è troppo serio per lasciarlo solo ai generali. Blix ha aggiunto “che i problemi del nucleare sono troppo seri per lasciarli solo agli esperti nucleari”.