Vínculo fuerte/vínculo débil

Un mecanismo de detonación nuclear de vínculo fuerte/vínculo débil y zona de exclusión es un tipo de mecanismo de seguridad empleado en los mecanismos de armado y disparo de armas nucleares modernas . ^[1]

El mecanismo de seguridad comienza encerrando los componentes electrónicos y mecánicos utilizados para armar y disparar el arma nuclear con una barrera de aislamiento mecánico y eléctrico, la barrera de energía , ^[2] que encierra y define la zona de exclusión . Éste está aislado de perturbaciones mecánicas, térmicas y eléctricas (como electricidad estática , rayos o incendios ). ^[3]

Entre la zona de exclusión y los detonadores reales, se utiliza un mecanismo de enlace normalmente desconectado, como un interruptor que tiene un motor incorporado para activarlo. El sistema de armado tiene que activar el interruptor para conectar los circuitos de disparo a los detonadores del arma. Esta desconexión, que requiere que el mecanismo de armado funcione, se llama vínculo fuerte .

Es posible que un accidente ( explosión de un cohete , accidente aéreo , accidente mientras se mueve el arma) altere el arma y rompa la integridad de la zona de exclusión. Como mecanismo de seguridad, también se incorpora al sistema un eslabón débil . Se trata de un conjunto de componentes diseñados para fallar ante tensiones más bajas (térmicas, mecánicas y eléctricas) que los eslabones fuertes, y evitarán que las señales de los eslabones fuertes lleguen a los detonadores. El eslabón débil actúa para romper la conexión con los detonadores antes de que el eslabón fuerte pueda verse interrumpido y fallar por la tensión de un accidente: cuando los eslabones fuertes fallan, el arma ya ha quedado permanentemente inoperable. ^[2] Los vínculos fuertes y los siguientes vínculos débiles están ubicados intencionalmente en el mismo lugar, de modo que experimenten condiciones ambientales similares. ^[4]^{: 71}

La siguiente tabla resume los efectos de los modos de falla en los eslabones fuertes y débiles:

Vínculos fuertes

Los vínculos fuertes, al menos en el caso de las armas nucleares estadounidenses, siempre se implementan en forma de sistemas electromecánicos, como interruptores accionados por motor. ^[2] Hay dos requisitos principales: cuando sea funcional, nunca permitir que señales no válidas penetren la barrera de energía, y nunca fallar de una manera que pueda pasar una señal a través de la barrera antes de que los enlaces débiles dentro de la zona de exclusión también hayan fallado. .

Los dispositivos MC2935 y MC2969 eran dos dispositivos similares basados en un solenoide giratorio , que actuaban, respectivamente, como "trayectoria" (pasar una señal sólo cuando el movimiento físico de un misil indicaba un lanzamiento correcto) e "intención" (señalar que se desea una detonación por el operador) vínculos fuertes. ^[2]^{: 6}

El dispositivo de enlace fuerte del Dispositivo Mecánico de Armado y Seguridad (MSAD) utilizaba una pequeña bolita de explosivo altamente sensible para activar una carga mayor de explosivo alto insensible. Normalmente, el perdigón se mantenía alejado de la carga principal y se movía físicamente a su posición sólo cuando el enlace fuerte era activado por una entrada válida y detonado por un "golpeador" mecánico. El MSAD también contenía un eslabón débil: el perdigón ardería o explotaría sin causar daño en un incendio cuando no estuviera en posición, y los explosivos insensibles no podrían detonarse en absoluto.

Se podrían utilizar múltiples eslabones fuertes en serie, lo que, cuando se diseña adecuadamente, multiplica el factor de seguridad. ^[5]^{: 44} . La bomba nuclear B61, por ejemplo, bloqueó el vínculo fuerte de la trayectoria detrás del vínculo fuerte intencionado. Hasta que se envíe la señal única de intención correcta, la señal única de trayectoria ni siquiera se presentará a las entradas de enlace fuerte de trayectoria. ^[5]^{: fig. 44}

Señales únicas

Los vínculos fuertes implementan un mecanismo en el que sólo una forma única de energía puede ingresar a la zona de exclusión. Esta energía está codificada como una señal única : una secuencia de "eventos" que deben ocurrir en un patrón preciso y preestablecido para que se active el vínculo. Este patrón está diseñado específicamente para que sea extremadamente improbable que ocurra por casualidad. ^[6]^{: 18} Un discriminador comprueba la validez del patrón. En algunos dispositivos, conocidos como discriminadores de un solo intento, un patrón de eventos incorrecto hace que el dispositivo deje de funcionar: el arma no se puede reiniciar ni disparar de forma remota. Los discriminadores de "intentos múltiples" podrían restablecerse de forma remota. Un enlace fuerte de un solo intento podría tener una secuencia de eventos de 24 eventos, mientras que un dispositivo de múltiples intentos tendría más: el MC2969 tenía 47. ^[7]^{: 54} .

Los patrones de señal únicos eran siempre los mismos para un discriminador de enlace fuerte determinado y no eran secretos ni clasificados: estaban diseñados únicamente con fines de seguridad y no de seguridad. ^[8]^{: 5,37} . Cada enlace fuerte tenía una señal diferente, para evitar la posibilidad de falla en modo común .

Se utilizaron señales únicas porque se reconoció que era imposible aislar completamente el enlace fuerte de todas y cada una de las fuentes eléctricas en un "entorno anormal" (como un avión en desintegración). Al codificar la única señal válida como un patrón único de información, se introdujo el principio de seguridad de "incompatibilidad": la señal es "incompatible" con el resto de la energía eléctrica porque la información que constituye una señal única no está presente en ningún otro componente. (como buffers de señal o almacenamiento). Por lo tanto, no es necesario demostrar que el canal por el que se transmite el UQS tiene una respuesta segura. Sólo es necesario demostrar que el generador de señales y el eslabón fuerte tienen un comportamiento seguro hasta que los eslabones débiles dejen el arma inerte. ^[7]^{: 1} .

Fundamentalmente para mantener esta seguridad, el discriminador de enlace fuerte debe ser el único lugar en todo el sistema donde se toman "decisiones", y nunca se debe permitir que el canal de transmisión retenga conocimiento de eventos, maneje múltiples eventos a la vez o reordene eventos. . Eso puede permitir que una sola acción genere múltiples eventos de señal. ^[7]^{: 38} Además, todos los eventos deben procesarse de manera idéntica: hacerlo de otra manera constituye un almacenamiento previo del conocimiento de la UQS y sesga el canal, ^[7]^{: 35} Los eventos pueden enviarse o recibirse en cualquier formato (por ejemplo, digitalmente, como niveles de voltaje, mecánicamente, etc) siempre que se cumplan estas condiciones; La traducción de formato también está permitida siempre que los traductores transmitan cada evento antes de procesar el siguiente. ^[7]^{: 37}

Las señales únicas generalmente se codificaban como secuencias de datos binarios (aunque estrictamente los datos no tenían que ser binarios, se consideró que la secuencia más larga era superada por las implementaciones más simples). Las señales únicas se diseñaron cuidadosamente para que tuvieran propiedades estadísticas que era muy improbable que existieran involuntariamente, y también se diseñaron para transmitirse no sólo eléctricamente mediante modulación de voltaje o ancho de pulso , sino también mecánicamente (por ejemplo, una varilla de vaivén), óptica o neumáticamente. ^[7]^{: 6} eventos se describen alfabéticamente, en lugar de numéricamente (por ejemplo, 0 y 1 ), para evitar confusión con señales físicas específicas; una secuencia de dos eventos tendría eventos "A" y "B". ^[7]^{: 30}

Ejemplos de debilidades estadísticas que socavan las propiedades de seguridad incluyen simetría de secuencia, periodicidad, eventos repetidos, desequilibrios entre eventos (equilibrio por eventos: números casi iguales de eventos "A" y "B"), desequilibrios entre pares (equilibrio por pares: " AA", "AB", "BA" y "BB" deberían ser casi iguales en ocurrencia) y correlaciones con otras señales únicas (ya que esto permitiría que eventos de un UQS diferente sesguen este). ^[7]^{: 30}^[6]^{: 18}

Señales de prueba

Las señales de prueba y entrenamiento que alguna vez se transmitirían a un arma también se eligieron cuidadosamente para que fueran señales únicas estadísticamente débiles , que también probarían la integridad del sistema de transmisión de señales. Esto se hizo para que una señal de prueba nunca pudiera confundirse con una señal genuina, que tendría fuertes propiedades estadísticas. Por tanto, la señal de prueba sería muy diferente y nunca podría confundirse con el UQS válido. ^[7]^{: 30}

Para probar los generadores de señales únicos, se utilizaron dispositivos como el comparador de señales CM-458/U (que probó el controlador de aeronave DCU-201 o DCU-218, que pasó la señal única al enlace fuerte de intención MC2969 del arma). lo que comprobaría que las señales que pasarían al enlace fuerte fueran correctas. El CM-458, construido por Sparton Technology, probó voltajes, anchos de pulso y secuencia de señales contra la secuencia fija para el enlace fuerte, y se montó en el pilón del avión para probar también el cableado del avión. ^[8]^{: 5}

Enlaces débiles

Los eslabones débiles, que siguen a los fuertes, están diseñados para fallar antes que los fuertes. Hay muchos tipos de eslabones débiles, que son sensibles a condiciones que incluyen problemas térmicos, eléctricos o mecánicos. Algunos eslabones débiles son dispositivos dedicados insertados en las rutas de señal que funcionan sólo como eslabones débiles, y otros también pueden ser partes críticas del arma que están diseñadas para dejar de funcionar bajo ciertas condiciones.

Un ejemplo de eslabón débil sensible a la temperatura son los condensadores del equipo de disparo que se cargan para luego descargarse y activar los detonadores. Estos pueden diseñarse deliberadamente para fallar cuando se alcance una temperatura alta específica, lo que impedirá que el equipo de disparo pueda detonar los explosivos. ^[2]^{: 6}

Limitaciones

Estos mecanismos no evitan el uso indebido del arma, que está restringido por los sistemas de código Permissive Action Link , o que un accidente cause físicamente la iniciación de los explosivos o detonadores directamente por temperaturas extremadamente altas, fuerzas de impacto o perturbaciones eléctricas como rayos. El riesgo de detonación directa accidental se reduce significativamente mediante el uso de explosivos potentes e insensibles como TATB , que es extremadamente improbable que detone debido a un incendio, impacto o electricidad. Si bien TATB puede descomponerse o arder en un incendio, es extremadamente improbable que detone como resultado de esa descomposición o quema.

Ver también

Referencias

^ Steven M. Bellovin . "Enlaces de acción permisivos". Archivado desde el original el 30 de abril de 2022 . Consultado el 11 de marzo de 2007 .
^ abcde Elliott, Grant (12 de diciembre de 2005), "Control y seguridad de las armas nucleares de EE. UU." (PDF) , Programa del MIT en ciencia, tecnología y sociedad , archivado desde el original (PDF) el 19 de junio de 2012 , recuperado 2022-05-07
^ Enlaces de acción permisiva, Carey Sublette, en Nuclear Weapon Archive, consultado el 11 de marzo de 2007
^ DTIC ADA520718: Asuntos nucleares. Una guía práctica, Centro de información técnica de defensa , 2008
^ abc SAND88-2986: Informe de desarrollo provisional para las bombas B61-6-8, Laboratorios Nacionales Sandia y Laboratorio Nacional de Los Alamos, 1989-05-01 , consultado el 9 de mayo de 2022
^ ab 23º Simposio de mecanismos aeroespaciales , NASA , 5 de mayo de 1989
^ abcdefghi SAND91-1269: El concepto de señal único para la seguridad de las detonaciones en armas nucleares (PDF) , Departamento de estudios de sistemas, 331, Laboratorio Nacional Sandia , 1992-12-01, archivado desde el original (PDF) el 2022-03-02 , recuperado el 7 de mayo de 2022
^ a b C Warren G. Merritt; David Kestly (1980-06-01), SAND80-1268: Comparador de señales CM-458/U, Sandia National Laboratories, doi :10.2172/5375683, S2CID 109627865 , consultado el 9 de mayo de 2022