Enlace fuerte/enlace débil

Mecanismo de seguridad de armas nucleares

Diagrama de enlaces fuertes y enlaces débiles en un arma nuclear. Las señales externas están codificadas como señales únicas que pueden hacer que la energía (roja) cruce la barrera energética hacia la zona de exclusión (azul) a través de enlaces fuertes (naranja y amarillo). Dentro de la barrera energética, los enlaces débiles (violeta) están diseñados para fallar antes que los enlaces fuertes, lo que evita que cualquier energía que un enlace fuerte fallido pueda permitir que ingrese a la zona de exclusión detone el arma.

Un mecanismo de detonación nuclear de enlace fuerte/enlace débil y zona de exclusión es un tipo de mecanismo de seguridad empleado en los mecanismos de armado y disparo de las armas nucleares modernas . ^[1]

El mecanismo de seguridad comienza por encerrar los componentes electrónicos y mecánicos utilizados para armar y disparar el arma nuclear con una barrera de aislamiento mecánico y eléctrico, la barrera de energía , ^[2] que encierra y define la zona de exclusión . Esta está aislada de las perturbaciones mecánicas, térmicas y eléctricas (como la electricidad estática , los rayos o el fuego ). ^[3]

Entre la zona de exclusión y los detonadores propiamente dichos se utiliza un mecanismo de enlace normalmente desconectado, como un interruptor que tiene un motor incorporado para activarlo. El sistema de armado tiene que activar el interruptor para conectar los circuitos de disparo a los detonadores del arma. Esta desconexión, que requiere el mecanismo de armado para funcionar, se denomina enlace fuerte .

Es posible que un accidente ( explosión de un cohete , choque de un avión , accidente mientras se mueve un arma) altere el funcionamiento del arma y rompa la integridad de la zona de exclusión. Como mecanismo de seguridad, también se incorpora al sistema un eslabón débil . Se trata de un conjunto de componentes diseñados para fallar ante tensiones más bajas (térmicas, mecánicas y eléctricas) que los eslabones fuertes, y evitará que las señales de los eslabones fuertes lleguen a los detonadores. El eslabón débil actúa para romper la conexión con los detonadores antes de que el eslabón fuerte pueda verse alterado y fallar por la tensión de un accidente: para cuando los eslabones fuertes fallan, el arma ya se ha vuelto permanentemente inoperativa. ^[2] Los eslabones fuertes y los siguientes eslabones débiles están ubicados intencionalmente juntos, de modo que experimenten condiciones ambientales similares. ^{[4] : 71}

La siguiente tabla resume los efectos de los modos de falla en los eslabones fuertes y débiles:

Enlaces fuertes

Los enlaces fuertes, al menos en las armas nucleares estadounidenses, siempre se implementan como sistemas electromecánicos como interruptores accionados por motor. ^[2] Hay dos requisitos principales: cuando son funcionales, nunca permitir que una señal inválida penetre la barrera de energía y nunca fallar de manera que pueda pasar una señal a través de la barrera antes de que los enlaces débiles dentro de la zona de exclusión también hayan fallado.

Los dispositivos MC2935 y MC2969 eran dos dispositivos similares basados ​​en un solenoide rotatorio , que actuaban, respectivamente, como enlaces fuertes de "trayectoria" (que pasaban una señal sólo cuando el movimiento físico de un misil indicaba un lanzamiento correcto) e "intención" (que indicaba que el operador deseaba una detonación). ^{[2] : 6}

El dispositivo de enlace fuerte del dispositivo de seguridad y armado mecánico (MSAD) utilizaba un pequeño perdigón de alto explosivo sensible para activar una carga mayor de alto explosivo insensible. Normalmente, el perdigón se mantenía alejado de la carga principal y se movía físicamente a su posición solo cuando el enlace fuerte se activaba mediante una entrada válida y se detonaba mediante un "percutor" mecánico. El MSAD también contenía un enlace débil: el perdigón se quemaba o explotaba sin causar daño en un incendio cuando no estaba en posición, y los explosivos insensibles no podían detonarse en absoluto.

Se podrían utilizar múltiples enlaces fuertes en serie, lo que, cuando se diseña adecuadamente, multiplica el factor de seguridad. ^{[5] : 44} . La bomba nuclear B61, por ejemplo, bloqueó el enlace fuerte de trayectoria detrás del enlace fuerte de intención. Hasta que no se enviara la señal única de intención correcta, la señal única de trayectoria ni siquiera se presentaría a las entradas del enlace fuerte de trayectoria. ^{[5] : fig. 44}

Señales únicas

Señal de intención única (IUQS) para armar el enlace fuerte de intención MC2969, como se utilizó en la bomba nuclear B61 . ^{[5] : 18}

Los enlaces fuertes implementan un mecanismo en el que solo una única forma de energía puede entrar en la zona de exclusión. Esta energía se codifica como una señal única : una secuencia de "eventos" que deben ocurrir en un patrón preciso y preestablecido para que el enlace se active. Este patrón está diseñado específicamente para que sea extremadamente improbable que ocurra por casualidad. ^{[6] : 18} El patrón se verifica para su validez mediante un discriminador. En algunos dispositivos, conocidos como discriminadores de un solo intento, un patrón de eventos incorrecto hace que el dispositivo se vuelva inoperativo: el arma no se puede reiniciar y disparar de forma remota. Los discriminadores de "múltiples intentos" se pueden reiniciar de forma remota. Un enlace fuerte de un solo intento puede tener una secuencia de eventos de 24 eventos, mientras que un dispositivo de múltiples intentos tendría más: el MC2969 tenía 47. ^{[7] : 54} .

Los patrones de señal únicos siempre eran los mismos para un determinado discriminador de enlace fuerte, y no eran secretos ni clasificados: estaban diseñados solo con fines de seguridad y no de protección. ^{[8] : 5,37} . Cada enlace fuerte tenía una señal diferente, para evitar la posibilidad de una falla del modo común .

Se utilizaron señales únicas porque se reconoció que era imposible aislar completamente el enlace fuerte de todas y cada una de las fuentes eléctricas en un "entorno anormal" (como un avión en desintegración). Al codificar la única señal válida como un patrón único de información, se introdujo el principio de seguridad de "incompatibilidad": la señal es "incompatible" con todas las demás fuentes de energía eléctrica porque la información que compone una señal única no está presente en ningún otro componente (como los búferes de señal o el almacenamiento). Por lo tanto, no es necesario demostrar que el canal por el que se transmite la UQS tenga una respuesta segura. Solo es necesario demostrar que el generador de señales y el enlace fuerte tienen un comportamiento seguro hasta que los enlaces débiles hagan que el arma quede inerte. ^{[7] : 1} .

Para mantener esta seguridad, es fundamental que el fuerte discriminador de enlace sea el único lugar en todo el sistema donde se toman "decisiones", y nunca se debe permitir que el canal de transmisión retenga el conocimiento de los eventos, gestione múltiples eventos a la vez o reordene los eventos. Esto puede permitir que una sola acción genere múltiples eventos de señal. ^{[7] : 38} Además, todos los eventos se deben procesar de manera idéntica: hacer lo contrario constituye un almacenamiento previo del conocimiento del UQS y sesga el canal. ^{[7] : 35} Los eventos se pueden enviar o recibir en cualquier formato (por ejemplo, digitalmente, como niveles de voltaje, mecánicamente, etc.) siempre que se cumplan estas condiciones; la traducción de formato también está permitida siempre que los traductores transmitan cada evento antes de procesar el siguiente. ^{[7] : 37}

Las señales únicas se codificaban generalmente como secuencias de datos binarios (aunque estrictamente los datos no tenían que ser binarios, se consideró que la secuencia más larga se veía superada por las implementaciones más simples). Las señales únicas se diseñaron cuidadosamente para que tuvieran propiedades estadísticas que es extremadamente improbable que existan de manera involuntaria, y también se diseñaron para transmitirse no solo eléctricamente a través de voltaje o modulación por ancho de pulso , sino también mecánicamente (por ejemplo, una varilla push-pull), óptica o neumáticamente. ^{[7] : 6} Los eventos se describen alfabéticamente, en lugar de numéricamente (por ejemplo, 0 y 1 ), para evitar confusiones con señales físicas específicas; una secuencia de dos eventos tendría eventos "A" y "B". ^{[7] : 30}

Entre los ejemplos de debilidades estadísticas que socavan las propiedades de seguridad se incluyen la simetría de secuencia, la periodicidad, los eventos repetidos, los desequilibrios entre eventos (equilibrio entre eventos: números casi iguales de eventos "A" y "B"), los desequilibrios entre pares (equilibrio entre pares: "AA", "AB", "BA" y "BB" deberían tener una ocurrencia casi igual) y las correlaciones con otras señales únicas (ya que esto permitiría que los eventos de un UQS diferente sesgaran este). ^{[7] : 30  [6] : 18}

Prueba de señales

Señal única (UQS) para probar el generador de señal única (USG) que alimenta el enlace fuerte de intención MC2969, tal como lo produce el comparador de señal CM-458/U. ^{[8] : 5} Esta es la misma señal que la anterior y prueba el generador de señal, no el enlace fuerte.

Las señales de prueba y entrenamiento que se transmitirían a un arma también se eligieron cuidadosamente para que fueran señales únicas estadísticamente débiles , que también probarían la integridad del sistema de transmisión de señales. Esto se hizo para que una señal de prueba nunca pudiera confundirse con una señal genuina, que tendría fuertes propiedades estadísticas. Por lo tanto, la señal de prueba sería muy diferente y nunca podría confundirse con el UQS válido. ^{[7] : 30}

Para probar los generadores de señales únicos, se utilizaron dispositivos como el Comparador de Señal CM-458/U (que probaba el Controlador de Aeronave DCU-201 o DCU-218, que pasaba la señal única al enlace fuerte MC2969 del arma), que verificaría que las señales que se pasarían al enlace fuerte fueran correctas. El CM-458, construido por Sparton Technology, probó voltajes, anchos de pulso y secuencia de señales contra la secuencia fija para el enlace fuerte, y fue montado en el pilón de la aeronave para probar también el cableado de la aeronave. ^{[8] : 5}

Eslabones débiles

Los eslabones débiles, que siguen a los fuertes, están diseñados para fallar antes que estos últimos. Hay muchos tipos de eslabones débiles, que son sensibles a condiciones como problemas térmicos, eléctricos o mecánicos. Algunos eslabones débiles son dispositivos especiales insertados en las rutas de señal que funcionan solo como eslabones débiles, y otros también pueden ser partes críticas del arma que están diseñadas para volverse inoperativas bajo ciertas condiciones.

Un ejemplo de un eslabón débil sensible a la temperatura son los condensadores del conjunto de disparo, que se cargan para luego descargarse y activar los detonadores. Estos pueden estar diseñados deliberadamente para que fallen cuando se alcanza una temperatura alta específica, lo que impedirá que el conjunto de disparo pueda detonar los explosivos. ^{[2] : 6}

Limitaciones

Estos mecanismos no impiden el uso indebido del arma, que está restringido por los sistemas de código de enlace de acción permisiva , ni un accidente que provoque físicamente la iniciación de los explosivos o detonadores directamente debido a temperaturas extremadamente altas, fuerzas de impacto o perturbaciones eléctricas como rayos. El riesgo de detonación directa accidental se reduce significativamente al utilizar explosivos de alta potencia insensibles como TATB , que es extremadamente improbable que detone debido al fuego, el impacto o la electricidad. Si bien TATB puede descomponerse o arder en un incendio, es extremadamente improbable que detone como resultado de esa descomposición o combustión.

Véase también

• Diseño de armas nucleares
• Enlace de acción permisiva

Referencias

1. Steven M. Bellovin . "Enlaces de acción permisiva". Archivado desde el original el 30 de abril de 2022. Consultado el 11 de marzo de 2007 .
2. Elliott, Grant (12 de diciembre de 2005), "Seguridad y control de las armas nucleares en Estados Unidos" (PDF) , Programa de Ciencia, Tecnología y Sociedad del MIT , archivado desde el original (PDF) el 19 de junio de 2012 , consultado el 7 de mayo de 2022
3. Permissive Action Links, Carey Sublette, en el Archivo de Armas Nucleares, consultado el 11 de marzo de 2007
4. DTIC ADA520718: Asuntos nucleares. Una guía práctica, Centro de información técnica de defensa , 2008
5. SAND88-2986: Informe provisional sobre el desarrollo de las bombas B61-6-8, Sandia National Laboratories y Los Alamos National Laboratory, 1989-05-01 , consultado el 2022-05-09
6. 23° Simposio sobre mecanismos aeroespaciales , NASA , 5 de mayo de 1989
7. SAND91-1269: El concepto de señal única para la seguridad de la detonación en armas nucleares (PDF) , Departamento de Estudios de Sistemas, 331, Laboratorio Nacional Sandia , 1992-12-01, archivado desde el original (PDF) el 2022-03-02 , consultado el 2022-05-07
8. Warren G. Merritt; David Kestly (1980-06-01), SAND80-1268: Comparador de señal CM-458/U, Sandia National Laboratories, doi :10.2172/5375683, S2CID  109627865 , consultado el 2022-05-09