Un impianto nucleare durante il suo funzionamento genera molti prodotti radioattivi. La maggior parte di questi si formano durante la fissione del combustibile contenuto nel nocciolo del reattore. Il combustibile è normalmente composto da biossido di uranio, un materiale ceramico che fonde a circa 2.850 oC. In condizioni normali il combustibile non raggiunge mai questa temperatura e quindi i prodotti di fissione rimangono imprigionati nel combustibile. Per non raggiungere la temperatura di fusione, il combustibile deve essere raffreddato non solo quando il reattore funziona, ma anche quando è spento (vedi cap. 4). Infatti, anche se le reazioni di fissione cessano, il combustibile continua a generare calore per un periodo non breve proprio a causa della radioattività dei prodotti di fissione e tale calore, se non viene asportato, può far salire la temperatura del combustibile fino a far fondere il nocciolo del reattore. In tal caso tutti i prodotti di fissione gassosi vengono rilasciati e lo stesso accade per alcuni prodotti di fissione solidi che possono essere trasportati come aerosol. Nel caso malaugurato di fusione del nocciolo, gli elementi radioattivi gassosi o volatili, se non vengono trattenuti all’interno dell’edificio reattore, sono trasportati più o meno lontano a seconda dei venti, di quanto salgono in atmosfera e delle correnti e possono causare gravi danni alla salute e all’ambiente naturale.
La sicurezza ha a che fare con la capacità di impedire la fusione del nocciolo e la fuoriuscita del materiale radioattivo dal reattore. Il rilascio di radioattività può essere dovuto però, oltre che ad incidenti, anche ad azioni intenzionali, cioè ad atti di sabotaggio. Per distinguere la capacità di resistere a questi due pericoli, in inglese si usano due termini diversi: safety (sicurezza da incidenti) e security (sicurezza contro i sabotaggi). Entrambi i pericoli vanno presi molto seriamente, anche se l’eventualità di un sabotaggio è considerata più remota di quella degli incidenti.
Quando si parla di incidenti nucleari vengono alla mente gli incidenti di Three Mile Island del 1979 e soprattutto il più grave di tutti, quello di Černobyl del 1986. La centrale di Černobyl era composta da quattro reattori di concezione molto diversa dai reattori Pwr e Bwr costruiti in Occidente e non aveva un edificio stagno di contenimento. Il reattore n. 4 ebbe un grave incidente all’una e ventitré del 26 aprile 1986 durante un esperimento condotto in modo sbagliato che provocò dapprima un’esplosione chimica (non nucleare) e poi un incendio della grafite con conseguente rilascio all’esterno di gran parte della radioattività contenuta nel reattore. Questo incidente è stato l’unico ad aver avuto conseguenze mortali immediate o quasi (una trentina di decessi nell’arco di poche settimane o mesi) tra il personale della centrale e i soccorritori e altri trenta nei vent’anni successivi. Inoltre, secondo le stime più attendibili, esso ha provocato un aumento della probabilità di morte per cancro dello 0,3-0,6% per la popolazione interessata (con conseguenti 4.000-9.000 morti addizionali in un periodo di 80 anni, secondo lo studio dell’Organizzazione mondiale della sanità).
Gli incidenti di Černobyl e di Three Mile Island non sono stati gli unici incidenti nucleari con fusione totale o parziale del nocciolo del reattore, ma gli altri episodi (Windscale, Regno Unito, 1957; Fermi 1, Detroit, 1966) sono quasi dimenticati sia perché «finiti bene» sia perché non significativi per i reattori di oggi (riguardavano reattori con tecnologie superate). Naturalmente non esistono solo gli incidenti di fusione del nocciolo del reattore (i casi di rilascio di modeste quantità di radioattività sono stati certamente più numerosi), ma l’attenzione del pubblico si concentra soprattutto sul pericolo di fusione perché è quello suscettibile di provocare catastrofi.
Il fatto che siano accaduti e accadano incidenti ai reattori nucleari o a impianti del ciclo del combustibile non deve stupire: non esiste praticamente tecnologia che non comporti rischi di incidente. Prima però di metterla al bando, bisogna capire quali siano le probabilità e le conseguenze per gli individui e per la società degli incidenti possibili. Ad esempio, ogni anno avvengono disastri aerei, ma non per questo si proibisce il traffico aereo o la gente smette di volare. Ciò è dovuto al fatto che la probabilità di incidente è molto bassa e le conseguenze collettive sono al massimo di qualche centinaio di morti per incidente (l’incidente più grave rimane quello di Tenerife del 1977 che provocò 583 morti).
Questa domanda ha dominato fin dall’inizio lo sviluppo dell’energia nucleare. La risposta che l’Agenzia per la sicurezza nucleare americana (l’Ncr) ha dato e che può essere considerata paradigmatica è stata: a) bisogna garantire ai singoli individui che i rischi per la loro vita e la loro salute non aumentino in modo apprezzabile; b) bisogna garantire alla società che l’impiego dell’energia nucleare comporti rischi paragonabili o minori di quelli di altre modalità di produzione elettrica e non modifichi in modo apprezzabile i rischi per la salute e per l’ambiente che già esistono. Ma come passare dal principio qualitativo a qualcosa di più operativo e misurabile?
Poiché i rischi specifici dell’energia nucleare sono legati alla radioattività e questa è presente in natura, è stato elaborato il concetto di «dose massima ammissibile», cioè di quantità massima di radiazione a cui può essere sottoposta la popolazione, fissando limiti tali da non accrescere in modo significativo la dose che ciascuno riceve ogni anno per cause naturali. Si sono poi introdotte delle distinzioni tra popolazione esposta, cioè quella che vive più vicino alle centrali nucleari, e popolazione generica, e tra pubblico e lavoratori delle centrali. Per questi ultimi si è sempre accettato che la dose massima ammissibile che possono ricevere fosse più elevata (di solito dieci volte quella della popolazione esposta), ma pur sempre tale da poter considerare trascurabili i danni per la salute.
Nell’individuare i valori della dose massima ammissibile ogni paese è libero di procedere come crede, ma tutti si ispirano alle raccomandazioni dell’Icrp (creata nientemeno che nel 1928). Per molto tempo i limiti massimi fissati sono stati di 50 mSv/anno per la popolazione di riferimento e di 500 per i lavoratori. Oggi l’Icrp raccomanda un limite di 1 mSv/anno per la popolazione e di 20 per i lavoratori con la possibilità di arrivare a 100 in caso di emergenza. Poiché la dose media annua derivante dalla radioattività naturale è stimata in 2,4 mSv/anno, a cui si deve aggiungere quella per cure mediche che, nei paesi industrializzati, è stimata in 1,2 mSv/anno (vedi cap. 3), si può dire che la dose massima attualmente ammissibile per la popolazione è circa la metà del fondo naturale e pari a quella delle cure mediche.
Naturalmente i valori di dose massima ammissibile sono valori limite, non certo i valori di dose che ogni anno ricevono i lavoratori o gli abitanti vicino alle centrali. Ad esempio, secondo stime ufficiali, in Francia la dose media annua che un abitante vicino a una centrale riceve è compresa tra 0,001 e 0,02 mSv (da 50 a 1.000 volte più basso della dose massima ammissibile oggi raccomandata).
La dose massima di esposizione del pubblico alle radiazioni è l’indicatore da cui bisogna partire per giudicare se il grado di sicurezza degli impianti nucleari è accettabile. Ma come passare da questo indicatore a dei criteri di progetto? E come stare tranquilli che questo grado di sicurezza sia davvero raggiunto? Le strade possibili sono due: quella deterministica e quella probabilistica.
Negli anni Cinquanta e Sessanta, quando furono progettati i primi reattori, per garantire che la nuova fonte di energia fosse sicura si è ragionato in questi termini: se riusciamo a provare che, anche se succedesse il peggiore incidente immaginabile, il rilascio di radioattività all’esterno del reattore sarebbe trascurabile, allora abbiamo dimostrato che lo sfruttamento dell’energia nucleare è sicuro.
L’incidente su cui ci si concentrò fu la perdita totale di refrigerante del reattore (Loca). Se ciò fosse accaduto e non vi fosse stato alcun intervento, il combustibile nel nocciolo del reattore avrebbe continuato a scaldarsi fino a fondersi e, siccome il combustibile contiene quasi tutta la radioattività dell’impianto, il materiale radioattivo avrebbe potuto finire all’esterno del reattore con conseguenze gravi. Bisognava dimostrare che effettivamente il rilascio di una quantità significativa di radioattività all’esterno del reattore, anche in caso di Loca, era impossibile.
Per arrivare a questo risultato i progettisti nucleari elaborarono la filosofia chiamata della «difesa in profondità», che si articolava in criteri progettuali, di realizzazione e di gestione dei reattori mirati a garantire il risultato voluto. Tra i criteri progettuali introdotti vi furono quelli della ridondanza e dell’indipendenza dei sistemi di protezione e controllo. Ad esempio, per impedire il rilascio all’esterno del materiale radioattivo, ci sono tre barriere indipendenti: le guaine del combustibile, il circuito primario (incluso il vessel) del reattore e l’edificio di contenimento. Ognuno dei sistemi doveva poi essere progettato in modo conservativo, cioè facendo ipotesi pessimistiche. Ad esempio, le pompe che alimentano il sistema di raffreddamento del reattore in caso di emergenza (Eccs) devono essere in grado di funzionare anche se viene a mancare l’alimentazione elettrica esterna. Tra i criteri realizzativi risultò del tutto naturale introdurre diffusamente la garanzia della qualità di materiali e componenti.
Accanto a queste misure che riguardano il progetto e la realizzazione dell’impianto, furono poi sviluppate norme che obbligavano i gestori a far funzionare gli impianti entro certi limiti di sicurezza e a preoccuparsi di mantenere l’impianto efficiente e sicuro con ispezioni, test e manutenzione obbligatoria sotto il controllo delle autorità di sicurezza.
Tutto ciò ha certamente contribuito a far realizzare impianti nucleari sicuri e a sviluppare una cultura della sicurezza adeguata. Anzi, dal punto di vista psicologico di chi vuole una risposta tutto-niente, questo modo di procedere poteva apparire il migliore: se anche nel caso del «massimo incidente credibile» si è «praticamente» in condizione di impedire il rilascio di radioattività, vuol dire che si può stare assolutamente tranquilli.
Esaminato più da vicino, il metodo deterministico della difesa in profondità non è altro che un’applicazione del criterio tradizionale di progettazione spinto al massimo rigore. Ad esempio, nel progettare il cavo di una funivia si fanno dei calcoli sul carico da sopportare e sulle proprietà della fune, dopodiché si progetta il cavo e i sostegni con un certo margine di sicurezza rispetto alle condizioni di progetto e si è «sicuri» che non ci sarà mai una rottura. Naturalmente gli ingegneri hanno sempre saputo che la sicurezza assoluta non esiste per molte ragioni (ad esempio, potrebbe esserci un carico eccezionale perché un aereo, come è già successo, urta il cavo della funivia), ma normalmente ci comportiamo come se la probabilità che le cose vadano male (cioè oltre la condizione peggiore di progetto) sia nulla. Nel nucleare non è possibile adagiarsi facilmente su questa ipotesi soprattutto perché le conseguenze di un eventuale incidente, anche se di probabilità infima, possono essere molto gravi. Tutto ciò ha portato progressivamente, a partire dagli Stati Uniti, ad adottare esplicitamente una filosofia probabilistica.
Il termine «rischio» è di uso corrente e sta ad indicare la possibilità di conseguenze dannose. In senso tecnico il rischio è definito come la somma di tutte le conseguenze negative moltiplicate per la loro probabilità di accadimento. La differenza fondamentale tra le due accezioni sta dunque nel fatto che, nel linguaggio corrente, il rischio è una valutazione soggettiva legata a un evento possibile, mentre nel linguaggio scientifico parlare di rischio richiede uno sforzo di misurazione delle conseguenze e della loro probabilità.
Con il crescere delle discussioni sulla sicurezza, era inevitabile che si cercasse di passare da una valutazione qualitativa a una misura quantitativa del rischio degli impianti nucleari. Fu così che venne sviluppata la tecnica chiamata Pra (Probabilistic Risk Assessment). Con la Pra si cerca anzitutto di individuare la catena di eventi che possono dare origine a un incidente (analisi dell’albero degli eventi) e a ciascuno degli eventi elementari si associata una probabilità. Infine si indagano le possibili conseguenze. Nel caso del nucleare si studiano gli eventi che possono portare alla fusione del nocciolo e la loro evoluzione fino ad arrivare a quantificare la probabilità di rilascio di radioattività all’esterno del reattore e a determinare le conseguenze di ciascun rilascio.
Tutti sono d’accordo che la Pra permette un esame più rigoroso della sicurezza dei reattori nucleari e che essa può dare utili suggerimenti su come migliorarla. Non tutti però concordano con l’attendibilità dei risultati. Infatti, essa dipende dalla bontà dei modelli utilizzati per rappresentare il funzionamento dei sistemi e dei componenti che costituiscono l’impianto nucleare, dalla bontà dei dati sulle probabilità di guasto e dalla completa conoscenza della catena causa-effetti. Ad esempio, se un incidente dipende dal malfunzionamento di più componenti, si fa l’ipotesi che la sua probabilità sia il prodotto delle probabilità di guasto dei singoli componenti. Ma questo non sarebbe più vero se vi fosse una «causa comune» che mettesse fuori uso simultaneamente tutti i componenti. Un’altra critica riguarda la probabilità di eventi rari non testati su un numero sufficiente di casi. La mancanza di dati statistici sufficienti rende incerti i valori di probabilità e si ripercuote sull’affidabilità dei risultati finali. Nonostante questi limiti, l’applicazione della metodologia Pra ha preso piede proprio a partire da settori come il nucleare e l’aerospaziale, dove occorre considerare eventi rari dai quali ci si deve difendere il più possibile.
La prima applicazione completa del Pra fu il Reactor Safety Study (Rss) commissionato dall’ente di sicurezza americano nel 1972 e pubblicato nel 1975 con la sigla Wash-1400 (noto anche come Rapporto Rasmussen). Tale studio mostrò che la probabilità di fusione del nocciolo era più elevata di quello che si credeva fino ad allora (1/20.000 anni-reattore), ma che le conseguenze attese erano minori (meno di un decesso per fusione del nocciolo come valore più probabile). In pratica il messaggio del Wash-1400 era che l’energia nucleare fosse molto più sicura di molte altre attività umane correntemente accettate. Nell’executive summary si diceva che la presenza negli Stati Uniti di cento reattori avrebbe comportato per il cittadino americano una probabilità di morte simile a quella dovuta all’impatto di un meteorite.
Il Rapporto Rasmussen fu sottoposto al vaglio delle critiche del pubblico e della comunità scientifica (l’Nrc creò un apposito gruppo di revisione dello studio). Le analisi effettuate misero in evidenza alcuni limiti dello studio e le aree dove si dovevano fare progressi, ma confermarono che l’approccio metodologico era giusto. L’incidente al reattore di Three Mile Island avvenuto nel 1979, dove, per un evento simile a quelli esaminati dal Wash-1400, quasi metà del nocciolo del reattore andò fuso con un rilascio trascurabile di radioattività e nessuna conseguenza fisica per la popolazione, contribuì a rafforzare la credibilità del rapporto e della sua metodologia.
Fu così che l’Nrc, nell’agosto 1986, fissò gli «obiettivi quantitativi di sicurezza» dei reattori nucleari nei seguenti termini: a) il rischio di morte immediata per un incidente nucleare di un individuo medio residente vicino a una centrale nucleare non deve superare lo 0,1% del rischio di morte immediata derivante da tutti gli altri incidenti a cui la popolazione americana è esposta; b) il rischio di morte per cancro per la popolazione vicino a una centrale nucleare non deve superare lo 0,1% della somma dei rischi di morte per cancro dovuta a tutte le altre cause. Con questa disposizione, anche nella regolamentazione di sicurezza si passava da un approccio puramente deterministico a uno probabilistico e l’Nrc riconosceva che il Pra fosse il modo migliore per rispondere alla domanda se il livello di sicurezza richiesto fosse stato raggiunto oppure no. In seguito all’adozione di tale approccio, l’Nrc commissionò un nuovo studio sulla sicurezza dei reattori e sull’impatto di un incidente grave. Tale studio (Nureg 1150) ha permesso di concludere che gli attuali reattori Pwr e Bwr in funzione negli Stati Uniti garantiscono con ampio margine il rispetto degli obiettivi di sicurezza fissati.
Oggi i reattori ad acqua di seconda generazione del tipo studiato dai rapporti americani hanno accumulato più di 10.000 anni-reattori di funzionamento con un solo incidente di fusione del nocciolo e quindi la stima del Wash-1400 di probabilità di fusione del nocciolo di 1 ogni 20.000 anni-reattori comincia a trovare anche un certo supporto empirico.
Naturalmente l’approccio probabilistico non annulla, ma anzi integra, il criterio di progettazione della difesa in profondità suggerendo le aree critiche dove conviene intervenire, come hanno fatto i progettisti dei reattori di terza generazione. A titolo di esempio, secondo i dati di progetto, la probabilità di fusione del nocciolo del reattore di terza generazione Epr è meno di una volta ogni milione di anni di funzionamento (cento volte meno della stima del Rapporto Rasmussen).
La sicurezza degli impianti nucleari dipende dalla progettazione e realizzazione dell’impianto, ma dipende anche dalla loro gestione e quindi dal fattore umano ed è noto che proprio quest’ultimo può essere l’anello più debole della catena. Gli incidenti di Three Mile Island e di Černobyl hanno visto (soprattutto il secondo) una grave catena di errori umani senza i quali l’incidente non si sarebbe prodotto o avrebbe avuto conseguenze minori. Una conferma con base statistica molto ampia viene da uno studio sul settore aeronautico secondo il quale in più del 70% dei casi di incidenti mortali vi è stato un errore del pilota e in oltre il 10% dei casi un errore di altro personale.
Anche la possibilità di errore umano può essere modellata in termini probabilistici, pur se con difficoltà, ma soprattutto deve essere tenuta in conto nel progetto e nella gestione degli impianti. La cultura della sicurezza coinvolge molti aspetti: dalla formazione del personale al prevalere della sicurezza sulle performance economiche nelle responsabilità di gestione; dall’attenzione ai malfunzionamenti all’atteggiamento partecipativo nella loro soluzione. In particolare l’esperienza ha dimostrato che, per diffondere e conservare le «buone pratiche», sono importanti due cose: a) lo scambio rapido di informazioni tra tutti i gestori di impianti simili, e b) la valutazione e l’ispezione del personale (e non solo dell’impianto) da parte di un’autorità di controllo. Una delle lezioni apprese dagli incidenti accaduti è stata l’opportunità di creare organismi nazionali e internazionali per condividere l’esperienza tra i gestori degli impianti (ad esempio l’Institute of Nuclear Power Operations negli Stati Uniti e la World Association of Nuclear Operators a livello internazionale).
Il fattore umano ha anche un’altra spiacevole caratteristica: è più difficile mantenere costanti le prestazioni nel tempo degli uomini che quelle degli impianti. In particolare i rischi per la sicurezza dovuti al degrado dell’attenzione sono ben noti a chi si occupa di incidenti sul lavoro. Mantenere un elevato livello di qualità e di attenzione alla sicurezza è quindi una delle sfide per continuare a garantire una bassa probabilità di incidente nucleare con rilascio di radioattività all’esterno.
La differenza sopra ricordata tra il significato della parola «rischio» nel linguaggio comune (concetto qualitativo) e nel linguaggio tecnico (concetto quantitativo) è indicativa della discrepanza che può esistere tra percezione e valutazione del rischio. La valutazione del rischio cerca di assegnare un valore quantitativo alla probabilità di incidente e alle sue conseguenze, la percezione del rischio è molto più soggettiva e ha a che fare con elementi psicologici o esperienziali che tendono a prevalere sulle informazioni quantitative. Poiché l’accettazione del rischio dipende da come esso è percepito, lo studio della percezione e dell’accettazione del rischio vanno di pari passo. Esistono molti studi che cercano di spiegare la distanza tra rischio percepito e rischio «misurato». Tra i fattori che sono stati individuati vi sono la novità, la controllabilità, la dimensione delle conseguenze negative e i benefici ricevuti.
Un rischio nuovo, di cui non si ha esperienza, è scrutato con maggiore attenzione ed è percepito come ben più grande di un rischio conosciuto di pari portata. La novità impedisce una valutazione della probabilità di incidente e, se si possono verificare sia incidenti lievi (con maggiore frequenza) sia gravi (con minore frequenza), non aiuta a operare questa distinzione ma anzi tende ad assimilare le due probabilità. Ad esempio, episodi di rilascio di basse quantità di radioattività da impianti nucleari che si verificano con una certa frequenza anche se privi di conseguenze tendono a sollevare la preoccupazione del pubblico circa eventuali rilasci con conseguenze ben maggiori data la novità della tecnologia nucleare. L’importanza della controllabilità nella valutazione del rischio può essere facilmente compresa attraverso l’esempio del conduttore e del passeggero di un’auto. Chi guida giudica la propria condotta più sicura del passeggero che gli sta accanto. Questo aspetto viene spesso associato alla volontarietà o involontarietà del rischio. Quelli involontari sono giudicati più gravi e sono considerati meno accettabili di quelli scelti deliberatamente. Anche la dimensione delle conseguenze del singolo incidente può influire sulla percezione del rischio e sulla sua accettabilità. Un incidente che provoca mille morti e che si verifica ogni dieci anni è considerato più grave di cento incidenti all’anno che provocano ciascuno un morto (basta guardare all’attenzione data agli incidenti dai giornali per convincersene) anche se il numero totale di morti è lo stesso. Un altro aspetto che entra nella valutazione dei rischi è legato al beneficio che si ricava dalla sua accettazione: ad esempio, secondo le statistiche i fumatori accettano un rischio di cancro al polmone 25 volte superiore a quello di chi non fuma, ma non è detto che sarebbero disposti ad accettare un aumento del rischio di cancro dovuto alla presenza di centrali nucleari pur essendo tale incremento un milione di volte più basso. La differenza abissale è dovuta al fatto che nel primo caso i fumatori ricavano un grande beneficio personale, mentre nel secondo lo considerano praticamente nullo.
I fattori sopra richiamati mostrano che il rischio causato dallo sfruttamento dell’energia nucleare ha tutte le caratteristiche per essere molto più alto nella percezione comune di quanto sia nella valutazione tecnica. Infatti: a) la tecnologia è del tutto nuova e richiede tempo per dimostrare che alla bassa probabilità di incidente stimata corrisponde una bassa probabilità reale; b) il rischio non è sotto controllo di chi lo subisce; c) le conseguenze di un incidente sono potenzialmente catastrofiche; d) i benefici individuali sono bassi perché si può ottenere l’energia elettrica da altre fonti, anche se a un costo superiore.
Questi elementi hanno portato il pubblico a una diffusa diffidenza nei confronti dell’energia nucleare e alcuni esperti a considerare il pubblico irrazionale o poco informato. Nel primo caso, per superare l’opposizione al nucleare, c’è poco da fare se non cercare di imporre la razionalità degli esperti. Nel secondo l’opposizione cesserebbe se si riuscisse a diffondere l’informazione. In realtà la conoscenza assoluta non esiste e non è raro il caso di disaccordo anche tra esperti. I media poi talora veicolano informazioni distorte o sbagliate. Senza negare l’importanza di approfondire la conoscenza e diffondere un’informazione corretta per cercare di avvicinare percezione e realtà, bisogna accettare le regole della democrazia e quelle che sembrano le sue contraddizioni. Il consenso si basa sul rischio percepito che, nel caso del nucleare, va abbassato facendo in modo che gli incidenti siano sempre più rari, lontani nel tempo e dalle conseguenze trascurabili. I costruttori e i gestori degli impianti nucleari sono dunque obbligati a ridurre ovunque (perché un incidente nucleare ha una ripercussione mediatica mondiale) non solo la probabilità dei grandi incidenti, ma anche la frequenza di quelli di modesta portata in modo che la percezione del rischio scenda e la nuova tecnologia venga accettata dalla società.
La preoccupazione contro atti di terrorismo che abbiano come obiettivo una centrale nucleare è sempre stata presente, ma è indubbiamente cresciuta dopo l’attentato alle torri gemelle di Manhattan dell’11 settembre 2001. In generale le soluzioni che proteggono un reattore dagli incidenti e dal rilascio all’esterno di radioattività dovuto a incidenti tendono a renderlo sicuro anche in caso di atto intenzionalmente rivolto a provocare la fusione del nocciolo. Tuttavia la protezione contro i due eventi iniziatori e la loro stessa probabilità di accadimento sono diverse.
Negli Stati Uniti anche la protezione degli impianti nucleari contro il rischio terroristico è studiata ipotizzando una minaccia di riferimento costituita da un attacco esterno a cui bisogna essere in grado di resistere. È chiaro che in questo caso i piani di difesa non possono essere resi noti e quindi lo stesso giudizio sulla loro adeguatezza è lasciato alle autorità di sicurezza. Vi sono anche opinioni diverse su chi debba essere responsabile della sicurezza degli impianti, se l’operatore oppure le forze di sicurezza nazionali (polizia ed esercito). In ogni caso anche per la difesa contro atti di sabotaggio si richiede la creazione e il mantenimento di una cultura della sicurezza tra il personale addetto.
Un altro pericolo che ha fatto molto discutere è quello della caduta di aereo. Inizialmente questo era uno dei possibili eventi casuali che potevano dare origine a un incidente, ma non era stato esplicitamente considerato nei dati di progetto. Dopo l’11 settembre 2001 si è dovuto considerare l’ipotesi di una caduta intenzionale. Proprio per questa ragione, una delle condizioni poste dell’autorità di sicurezza finlandese per autorizzare il reattore n. 3 di Olkiluoto era che fosse capace di resistere anche a un impatto di aereo (l’edificio reattore è fatto di due pareti dello spessore totale di 2,6 metri).
Quanto detto fin qui mostra che la sicurezza è al centro della cultura nucleare. Ciò significa che quanto fatto è sufficiente? Il record degli impianti nucleari fino ad oggi è sicuramente buono, ma alcune prospettive possono destare qualche preoccupazione: a) l’invecchiamento degli addetti non sempre adeguatamente sostituiti dai giovani; b) il prolungamento della vita dei reattori che, progettati inizialmente per funzionare da 25 a 40 anni, hanno in molti casi ottenuto l’autorizzazione a funzionare fino a 60 anni; c) la diffusione degli impianti nucleari in paesi non dotati di capacità tecniche e amministrative provate; d) il forte rallentamento della ricerca di soluzioni innovative per garantire la sicurezza. Tutto questo sottolinea la necessità di mantenere alta la guardia e la cooperazione internazionale se si vuole continuare a garantire l’attuale livello di sicurezza anche in un mondo in cui, ipoteticamente, il numero di reattori fosse decisamente superiore a quello attuale. È questa d’altronde la strada percorsa da tutte le tecnologie che hanno finito per essere accettate comunemente.