強いリンク/弱いリンク
核兵器における強いリンクと弱いリンクの図。外部信号は固有の信号としてエンコードされ、エネルギー(赤)が強いリンク(オレンジと黄色)を介してエネルギーバリアを越えて立ち入り禁止区域(青)に侵入する原因となる。エネルギーバリア内では、弱いリンク(紫)は強いリンクよりも先に機能不全に陥るように設計されており、機能不全に陥った強いリンクによって立ち入り禁止区域に侵入する可能性のあるエネルギーが核兵器を爆発させることを防ぐ。

強いリンク/弱いリンクおよび立ち入り禁止区域の核爆発メカニズムは、現代の核兵器起爆および発射メカニズムに採用されている安全メカニズムの一種である。[ 1 ]

安全機構は、核兵器の起爆と発射に使用される電子機器と機械部品を、機械的・電気的に隔離された障壁、すなわちエネルギーバリア[2]で囲むことから始まります。エネルギーバリアは、立ち入り禁止区域を囲み、定義しますこのエネルギーバリアは、機械的、熱的、および電気的な妨害(静電気火災など)から遮断されます。[ 3 ]

立入禁止区域と実際の起爆装置の間には、通常は切断されているリンク機構が用いられます。例えば、モーターを内蔵したスイッチのように、スイッチを作動させて作動させる仕組みです。起爆装置は、このスイッチを作動させることで、発射回路を兵器内の起爆装置に接続します。この切断は起爆装置の作動を必要とするため、ストロングリンクと呼ばれます。

事故(ロケットの爆発、飛行機の墜落、兵器の移動中の事故)により兵器が破壊され、立入禁止区域の完全性が損なわれる可能性があります。安全機構として、システムには弱いリンクも組み込まれています。これは、強いリンクよりも低いストレス(熱、機械、電気)で故障するように設計された部品のセットで、強いリンクからの信号が起爆装置に届くのを防ぎます。弱いリンクは、強いリンクが事故のストレスによって破壊され故障する前に、起爆装置との接続を切断する役割を果たします。つまり、強いリンクが故障する頃には、兵器は既に永久に使用不能になっています。[ 2 ]強いリンクとそれに続く弱いリンクは、同様の環境条件に遭遇するように意図的に同じ場所に配置されています。[ 4 ] : 71

次の表は、強力なリンクと弱いリンクにおける障害モードの影響をまとめたものです。

強力なリンク条件 弱いリンク条件
無傷失敗(オープン)失敗(クローズ)
無傷信号なし エネルギー障壁を通過した信号はない 信号はエネルギー障壁を通過しない(そして弱いリンクが開いている) この状態は不可能になるように設計されています
発砲信号 意図的な爆発 弱点部分の破損により爆発が防止される
失敗したオープン(信号なし) この状態は不可能になるように設計されています 信号はエネルギー障壁を通過しない(そして弱いリンクが開いている)
閉鎖(間違っていても通過信号) 閉じた強力なリンクからの信号にもかかわらず、壊れた弱いリンクは爆発を阻止する

強力なリンクは、少なくとも米国の核兵器では、常にモーター駆動スイッチなどの電気機械システムとして実装されています。[ 2 ]主な要件は2つあります。機能しているときに、無効な信号がエネルギーバリアを貫通することを決して許さないこと、および排除ゾーン内の弱いリンクも機能しなくなる前に、信号がバリアを通過できるような方法で機能しなくなることが決してないことです。

MC2935とMC2969は回転ソレノイドをベースにした2つの類似した装置で、それぞれ「軌道」(ミサイルの物理的な動きが正しい発射を示す場合にのみ信号を渡す)と「意図」(オペレーターが爆発を望んでいることを示す信号)の強力なリンクとして機能します。[ 2 ]:6

機械式安全装置(MSAD)の強リンクは、小さな高感度爆薬ペレットを用いて、より大きな低感度爆薬を起爆させるものでした。通常、ペレットは主爆薬から離れた位置に保持され、有効な入力によって強リンクが起動され、機械式「スラッパー」によって起爆する場合にのみ、物理的に移動して所定の位置に設定されます。MSADには弱リンクも存在していました。ペレットは所定の位置にない場合、火災時に無害に燃焼または爆発し、その結果、低感度爆薬は全く起爆されません。

複数のストロングリンクを直列に接続することができ、適切に設計すれば安全係数を倍増させることができます。[ 5 ]:44 。例えば、B61核爆弾は、意図に基づくストロングリンクの背後で軌道ストロングリンクをゲート制御しました。正しい意図に基づく固有信号が送信されるまで、軌道ストロングリンクの入力には軌道固有信号が提示されませんでした。[ 5 ]:図44

ユニークな信号

B61核爆弾で使用されたMC2969インテント強力リンクを作動させるためのインテントユニーク信号(IUQS)。[ 5 ]:18

強力リンクは、単一の固有のエネルギー形態のみが排除ゾーンに進入できるメカニズムを実装しています。このエネルギーは固有の信号、つまりリンクが作動するためには、正確かつ事前に設定されたパターンで発生しなければならない一連の「イベント」としてエンコードされます。このパターンは、偶然に発生する可能性が極めて低いように特別に設計されています。[ 6 ]:18 このパターンの有効性は、識別器によってチェックされます。シングルトライ識別器と呼ばれる一部のデバイスでは、誤ったイベントパターンが発生するとデバイスが動作不能になり、武器をリモートでリセットして発射できなくなります。「マルチトライ」識別器はリモートでリセットできます。シングルトライの強力リンクは24個のイベントからなるイベントシーケンスを持つ場合がありますが、マルチトライデバイスはより多くのイベントを持ちます。MC2969は47個でした。[ 7 ]:54

特定の強力リンク識別器の固有の信号パターンは常に同じであり、秘密でも機密扱いでもなく、安全目的のみで設計されたものであり、セキュリティ目的ではありませんでした。[ 8 ]:5,37 。共通モード障害の可能性を回避するために、各強力リンクは異なる信号を持っていました。

固有信号が使用されたのは、「異常環境」(例えば、分解する航空機)においては、強リンクをあらゆる電気源から完全に分離することは不可能であると認識されていたためである。唯一有効な信号を固有の情報パターンとして符号化することにより、「非互換性」という安全原理が導入された。つまり、固有信号を構成する情報は他のコンポーネント(信号バッファやストレージなど)には存在しないため、その信号は他のすべての電気エネルギーと「非互換性」である。したがって、UQSが送信されるチャネルが安全な応答を持つことが証明される必要はない。弱いリンクが兵器を不活性化するまでは、信号発生器と強リンクのみが安全な動作をすることが証明されればよい。[ 7 ] : 1

この安全性を維持するために極めて重要なのは、システム全体の中で「決定」が行われるのは強リンク識別器のみであり、伝送チャネルがイベントに関する知識を保持したり、複数のイベントを同時に処理したり、イベントの順序を変更したりすることは決して許されないという点である。そうしないと、単一のアクションで複数の信号イベントが生成されてしまう可能性がある。 [ 7 ] : 38 さらに、すべてのイベントは同一に処理されなければならない。そうしないと、UQSに関する知識を事前に保存することになり、チャネルにバイアスがかかる。[ 7 ] : 35 これらの条件が満たされている限り、イベントは任意の形式(例えば、デジタル、電圧レベル、機械的など)で送受信できる。また、変換装置が各イベントを次のイベントを処理する前に送信すれば、形式変換も許可される。[ 7 ] : 37

ユニーク信号は通常、バイナリデータのシーケンスとしてエンコードされていました(厳密にはデータはバイナリである必要はありませんでしたが、シーケンスが長い方が実装が単純である方が重要だと考えられていました)。ユニーク信号は、統計的特性が意図せず存在する可能性が極めて低いように注意深く設計されており、電圧またはパルス幅変調による電気的伝送だけでなく、機械的(例:プッシュプルロッド)、光学的、または空気圧的にも伝送できるように設計されていました。[ 7 ]:6 イベントは、特定の物理信号との混同を避けるため、数字(例: 0と1 )ではなくアルファベットで記述されます。2つのイベントシーケンスには、「A」イベントと「B」イベントがあります。[ 7 ]:30

安全性を損なう統計的弱点の例としては、シーケンスの対​​称性、周期性、繰り返しイベント、イベント間の不均衡(イベントごとのバランス:「A」イベントと「B」イベントの数がほぼ同数)、ペア間の不均衡(ペアごとのバランス:「AA」、「AB」、「BA」、「BB」の発生数はほぼ同数)、他の固有シグナルとの相関関係(これにより、異なるUQSからのイベントがこのUQSにバイアスをかける可能性があるため)などが挙げられます。[ 7 ]:30 [ 6 ]:18

信号のテスト

ユニーク信号(UQS)は、CM-458/U信号コンパレータによって生成される、MC2969インテントストロングリンクに供給するユニーク信号発生器(USG)をテストするためのものです。[ 8 ]:5 これは上記と同じ信号であり、ストロングリンクではなく信号発生器をテストします。

兵器に送信される試験用および訓練用の信号は、統計的に弱いながらも信号伝送システムの完全性を試験できるような、独自の信号となるよう慎重に選定された。これは、試験信号が強力な統計特性を持つ本物の信号と誤認されることがないようにするためである。したがって、試験信号は有効なUQSと大きく異なり、決して誤認されることはない。[ 7 ] : 30

固有信号発生器の試験には、CM-458/U信号コンパレータ(固有信号を兵器のMC2969インテントストロングリンクに渡すDCU-201またはDCU-218航空機制御装置を試験する)などの装置が使用された。これらの装置は、ストロングリンクに渡される信号が正しいことを確認するものであった。Sparton Technology社製のCM-458は、ストロングリンクの固定シーケンスに対する電圧、パルス幅、信号シーケンスを試験し、航空機の配線も試験するために航空機のパイロンに取り付けられた。 [ 8 ] : 5

強リンクに続く弱リンクは、強リンクよりも早く故障するように設計されています。弱リンクには多くの種類があり、熱、電気、機械などの問題に敏感です。信号経路に挿入され、弱リンクとしてのみ機能する専用デバイスもあれば、特定の条件下で動作不能になるように設計された兵器の重要部品である場合もあります。

温度に敏感な弱点の一例として、点火装置内のコンデンサが挙げられます。コンデンサは充電された後、放電して起爆装置を作動させます。これらのコンデンサは、特定の高温に達すると意図的に故障するように設計することができ、これにより点火装置は爆薬を起爆できなくなります。[ 2 ] : 6

制限事項

これらのメカニズムは、パーミッシブ・アクション・リンク・コードシステムによって制限されている武器の誤使用や、極度の高温、衝撃、または雷撃などの電気的擾乱によって爆発物または起爆装置が直接物理的に起爆する事故を防ぐものではありません。TATBのような低感度高性能爆薬を使用することで、偶発的な直接起爆のリスクは大幅に低減されます。TATB火災、衝撃、または電気によって起爆する可能性は極めて低いからです。TATBは火災によって分解または燃焼する可能性がありますが、その分解または燃焼の結果として起爆する可能性は極めて低いです。

参照

参考文献

  1. ^ Steven M. Bellovin . 「Permissive Action Links」 . 2022年4月30日時点のオリジナルよりアーカイブ2007年3月11日閲覧。
  2. ^ a b c d e Elliott, Grant (2005-12-12) 「米国の核兵器の安全性と管理」(PDF)MIT科学技術社会プログラム、 2012年6月19日のオリジナル(PDF)からアーカイブ、 2022年5月7日取得
  3. ^ Permissive Action Links、Carey Sublette、核兵器アーカイブ、2007年3月11日アクセス
  4. ^ DTIC ADA520718: 核問題。実践ガイド国防技術情報センター、2008年
  5. ^ a b c SAND88-2986: B61-6-8爆弾の暫定開発報告書、サンディア国立研究所およびロスアラモス国立研究所、1989年5月1日、 2022年5月9日閲覧。
  6. ^ a b第23回航空宇宙メカニズムシンポジウムNASA、1989年5月5日
  7. ^ a b c d e f g h i SAND91-1269: 核兵器の爆発安全のための独自の信号概念(PDF)、システム研究部門、331、サンディア国立研究所、1992年12月1日、2022年3月2日にオリジナル(PDF)からアーカイブ、2022年5月7日取得
  8. ^ a b c Warren G. Merritt; David Kestly (1980-06-01), SAND80-1268: CM-458/U Signal Comparator , Sandia National Laboratories, doi : 10.2172/5375683 , S2CID 109627865 , 2022-05-09取得 
「 https://en.wikipedia.org/w/index.php?title=Strong_link/weak_link&oldid=1332197942」より取得