Az 1940-es évek második felében, a II. Világháború befejezése utáni időszakban az amerikai hadvezetést lenyűgözték az angolok és saját tudósaik sikerei a tudomány és ezen belül a matematika és a statisztika alkalmazásának sikerei a katonai jellegű problémák megoldásában. Ezen felbuzdulva tömérdek pénzt öntöttek ezen területek fejlesztésébe. A hadsereg képviselői már az egyetemek folyosóin megpróbálták levadászni a legtehetségesebb statisztikával foglalkozó tudósokat, hogy jó pénzért dolgozzanak a hadseregnek. Az ötvenes évek közepére a szervezet igencsak kinőtte magát, és persze addigra több komoly problémát is megoldottak. Ekkor azonban kaptak egy olyan feladatot, amely elsőre teljesen megoldhatatlannak tűnt. A hidegháború idején járunk, az USA és a Szovjetunió is gőzerővel gyártotta a különféle atomfegyvereket. Ekkor vetődött fel az a kérdés, hogy mekkora az esélye egy véletlenül bekövetkező atombalesetnek. Nem arról van szó, amikor valaki kifejezetten szándékosan felrobbant egy atomfegyvert, hanem arról az esetről, amikor egy atomfegyver valamilyen nem szándékos ok miatt „elsül”.

A kérdés megválaszolása egy bizonyos ok miatt tűnt nehezen kivitelezhetőnek. A valószínűségszámítás bevett gyakorlata úgy nézett ki (és még ma is jobbára így néz ki), hogy a vizsgált események bekövetkezésének valószínűségére múltbeli hasonló események bekövetkezésének gyakorisága alapján próbáltak következtetni. Vagyis a feltételezés az, hogy egy esemény körülbelül olyan sűrűn fog bekövetkezni a jövőben, mint amilyen gyakran előfordult a múltban. A probléma ez esetben az volt, hogy

Akkor viszont mi alapján lehet megadni egy olyan esemény bekövetkezésének a valószínűségét, amely még korábban sohasem fordult elő? Ez komoly fejtörést okozott a tudósoknak, hiszen nem igazán volt miből kiindulni. Ennek ellenére a felvetés teljesen jogos volt, mert a potenciális következmények viszont végzetesen súlyosak lettek volna. Az addig rendben van, hogy egy atomfegyvert többféle biztonsági rendszerrel is elláttak és a kezelésükre vonatkozó rendszabályok is igen szigorúak voltak, de vajon elegendőek voltak ezek ahhoz, hogy biztosítsák, hogy soha nem fog előfordulni egy véletlen baleset? Az olyan filozófiai jellegű kérdésekről nem is beszélve, hogy létezik-e a nulla valószínűség a valóságban vagy sem? Kimondható-e egy adott eseményről, hogy az ténylegesen soha nem fog bekövetkezni? Arról nem is beszélve, hogy ha eddig egyetlen baleset sem történt, akkor mondhatjuk azt, hogy az eddig bevezetett műszaki megoldások és szervezési intézkedések elegendőek? Vagy éppen túl is lőttek a célon és vannak olyan intézkedések, amelyek nem is szükségesek? Vajon egy új műszaki megoldás vagy szabály bevezetése növeli vagy csökkenti egy véletlen atomkatasztrófa bekövetkezését?

Az akkori körülmények nem erre engedtek következtetni. Noha atomkatasztrófa konkrétan tényleg nem fordult elő, ismert volt több olyan baleset is a korábbi évekből, amely katasztrófához „vezethetett volna”. Például lezuhant egy nehézbombázó, amely atomtöltet nélküli gyakorló bombákat szállított, vagy egy atomtöltet nélküli bomba „véletlenül kiesett” egy gépből és felrobbant. Szerencsére csak egy mély krátert hagyott maga után. Vagyis a helyzet egyáltalán nem volt megnyugtató.

A kis kutatócsoport először is megpróbálta összegezni, hogy milyen okok vezethetnek egy képzeletbeli atombalesethez. Ezeket az okokat három fő csoportra lehetett osztani:

• Műszaki jellegű meghibásodások. Olyan hibák, amelyek az atomfegyver szerkezetének nem megfelelő műszaki kialakítása miatt következhetnek be. Ilyenek lehetnek például az atombomba egyes alkatrészeinek véletlenszerű hibái, vagy speciális külső behatások által okozott hibák (kóboráram vagy erős radarsugárzás által beindított detonációk), illetve a szállítás során potenciálisan előforduló sérülések miatti robbanások (pl.: hordozó repülőgép lezuhan vagy kigyullad).
• Emberi gondatlanságból bekövetkező hibák, úgymint az előírt eljárások és utasítások nem szándékos (például nem megfelelő kiképzés miatti) megsértése. Itt előjött annak a problémája, hogy a gyakorló fegyverekkel végzett gyakorlatokat a személyzet nem vette annyira komolyan, mint az éles fegyverek kezelését, ezért például javaslatként felmerült, hogy a gyakorló fegyverekben is legyen egy kisebb éles robbanótöltet, hogy a kiképzett személyzet óvatosabb legyen ennek tudatában. Ide tartoznak az elmaradt vagy nem megfelelő módon végrehajtott karbantartási tevékenységek miatti hibák, de ide tartoznak a parancsnoki láncban a nem-megfelelő kommunikáció miatt előforduló hibák is. Mivel a személyzetnek nincs joga mérlegelni a parancsot és elvileg erre nincs is ideje, hiszen a parancsot haladéktalanul végre kell hajtani, ezért egy-egy kisebb kommunikációs baki is nem szándékos robbantáshoz vezethet.
• A szándékos emberi beavatkozások, úgymint terrorista cselekmények és szabotázsakciók végrehajtása. Ezt talán nem kell túlzottan részletesen elmagyarázni, bár a tanulmány kiemeli, hogy időnként igen vékony a határvonal a nem szándékos gondatlanság és a szándékos károkozás között.

A szakemberek mindhárom hibacsoportot részletesen elemezték külön kiemelve az egyes hibák megelőzésére szolgáló műszaki és szervezeti intézkedéseket. Ezeket az intézkedéseket szintén négy kategóriába sorolták:

• Korlátozott hozzáférés a fegyverekhez és limitált lehetőségek a teljes detonáció végrehajtásához. Ezek az intézkedések főleg a tárolás és szállítás közbeni műszaki megoldásokra és eljárásokra utalnak, vagyis azt célozzák, hogy egy atomfegyvert csak akkor lehessen elsütni, amikor az ténylegesen harchelyzetbe kerül.
• Nem szándékos élesítést megakadályozó mechanikai eszközök. Ezek célja az, hogy a fegyver csak akkor élesedjen, amikor a rakéta kilövésre került, vagy az atombombát kidobták a repülőből.
• A személyzet felügyelete: Ezen intézkedések célja, hogy ne fordulhasson elő olyan helyzet, amikor valaki felügyelet nélkül végez el bármilyen műveletet egy atomfegyveren. Alap, hogy senki sem végezhet semmilyen műveletet egyedül egy ilyen fegyveren, de olyan sem, hogy egy felettes rákényszeríthesse az akaratát egy beosztottjára, amikor az a fegyverrel dolgozik.
• Műszaki megoldás arra, hogy egy detonációt csak több ember együttes tevékenysége által lehessen végrehajtani. Ez a pont szerintem magáért beszél, és igazából a hidegháborús filmekből is jól ismert megoldások gyűjteménye.

És itt kezdődnek a bonyodalmak. A már fentebb említett ok miatt a tudósok kénytelenek voltak abból a banális feltételezésből kiindulni, hogy egész egyszerűen nulla a valószínűsége egy jövőbeni nukleáris fegyver véletlen balesetének.

A gondolatmenet egy kicsit az érmedobásokra hasonlít, ahol az érme feldobásának, mint eseménynek két kimenetele lehet, fej vagy írás. Az atomfegyverek esetében ugyanígy végig lehet gondolni, hogy hány atombomba van a felügyeletünk alatt, ezeket hányszor raktározzuk, szállítjuk, karbantartjuk, vagyis végzünk rajta vagy vele bármilyen tevékenységet, vagy hányszor érhet egy fegyvert bármilyen külső behatás, amely balesetet okozhat. Ha ismerjük, hogy ezek az események hányszor fordultak elő a múltban, és tudjuk, hogy eddig egyetlen baleset sem történt, akkor ez adhat nekünk valamiféle iránymutatást a rendszer megbízhatóságával kapcsolatban.

Először az egyszerűbb megközelítést szeretném bemutatni, ez talán jobban emészthető így elsőre. Képzeljük el azt a helyzetet, amikor volt valahány eseményünk, amikor baleset történhetett volna.

• Tegyük fel, hogy minél több olyan eseményünk volt a múltban, amelynek során nem történt baleset, annál kisebb az esélye annak, hogy az esemény a jövőben be fog következni. Vagyis, ha a múltban 10 000-szer történhetett volna baleset, de egyszer sem történt meg, az kisebb valószínűséget jelöl, mint az, ha a múltban csak 1000 olyan esemény volt, ahol baleset történhetett volna.
• Tegyük fel azt is, hogy minél több lehetőség van arra, hogy a baleset a jövőben bekövetkezzen, annál nagyobb az esélye annak, hogy a jövőben baleset fog történni. Vagyis, ha a jövőben csak 1000 olyan esemény lesz, amelynek során baleset történhet, akkor kisebb egy potenciális baleset bekövetkezésének valószínűsége, mintha 10 000 ilyen esemény lenne várható a jövőben.

Ebben az esetben persze semmit sem tudunk a véletlen atomfegyver balesetek potenciális okairól és ezen okok meghibásodási valószínűségeiről, csak annyit tudhatunk, hogy eddig ’n’ potenciális lehetőség adódott arra, hogy egy atomfegyver véletlenül „elsüljön” és eddig hála istennek ez egyszer sem sikerült neki; illetve, hogy a jövőben még ’N’ esetben ez továbbra is előfordulhat. És itt most jöhetne egy hosszú és bonyolult levezetés arról, hogy hogyan jött ki a következő függvényképlet, de ez még nekem is erős volt egy kissé, úgyhogy megkíméllek a terjedelmes matektól. Szóval most jön az, hogy hidd el, hogy az alábbi egyszerű képlet megadja azt a közelítést, hogy ha csak annyit tudunk, hogy egy atomfegyver eddig ’n’ alkalommal nem robbant fel véletlenül és hogy a jövőben még N potenciális alkalma lesz felrobbanni, akkor a

függvény megadja annak a valószínűségét, hogy az atomfegyver NEM FOG véletlenül detonálni. Ki is próbáltam és szerencsére ki is jöttek ugyanazok az eredmények, mint a kutatóknak (a bal oldali táblázat adatai természetesen a fenti képlet alkalmazásával jöttek ki):

Hogyan is értelmezhető ez a táblázat? Például a táblázat bal felső cellájában az áll, hogy ha a múltban 100 lehetősége lett volna egy atombombának felrobbanni, de ezt egyszer sem tette meg, illetve a jövőben még 100 hasonló lehetősége lesz majd felrobbanni, akkor körülbelül 50% a valószínűsége annak, hogy NEM ROBBAN FEL.

A bal alsó cella viszont azt mondja, hogy ha ennek a fegyvernek eddig 10 000 alkalma lett volna elsülni, de ez egyszer sem sikerült neki, és a jövőben már csak 100 ilyen alkalma lesz, akkor viszont 99% az esélye annak, hogy NEM ROBBAN FEL.

Ahogyan azt már fentebb említettem, ez a becslés nem vesz figyelembe egy csomó olyan dolgot, amik lényegesen befolyásolják az atombaleset bekövetkezésének kockázatát, ezért a kutatók tovább mentek. Abból indultak ki, hogy minden atomfegyvert egy soklépcsős biztonsági rendszer véd, amelynek mindegyik eleme egy adott megbízhatósággal működik. Egy atombomba elvileg akkor fog felrobbanni, ha a soklépcsős biztonsági rendszer egyik eleme sem működik. Annyiban pontosítanám ezt a kijelentést, hogy a rengeteg biztonsági elem egy pókhálószerű hálózatot alkot, ahol az egyes elemek sokféle kombinációban meghibásodhatnak, és ezek közül nem mindegyik fog a bomba felrobbanásához vezetni, de kétségtelen tény, hogy van egy vagy több olyan „kritikus eseménylánc”, amely katasztrófához vezethet. Tegyük fel, hogy ezen kritikus eseményláncok egyikét vizsgáljuk, így már megállja a helyét a fenti kijelentés. Szóval ott tartottam, hogy ha a soklépcsős biztonsági rendszer egyike sem működik (avagy a kritikus eseménylánc minden elemi eseménye bekövetkezik), akkor jön a „bumm”.

A módszert egy egyszerű elméleti példán szeretném szemléltetni. Tegyük fel, hogy van egy atomfegyver, amely eddig 100 alkalommal robbanhatott volna fel, de még egyetlenegyszer sem robbant fel ténylegesen. A bomba védelmi rendszere úgy van felépítve, hogy három védelmi rendszerelemnek kell meghibásodnia ahhoz, hogy nukleáris detonáció keletkezzen. Az egyszerűség kedvéért nevezzük ezt A, B és C védelmi elemeknek.

Tegyük fel, hogy a kezelőszemélyzet naplózta a bomba kezelése során felmerülő hibákat és gondosan feljegyezte az A, B és C védelmi rendszerelemek összes meghibásodását. A naplóból a következő információkat kaptuk:

Vagyis mindhárom biztonsági elemnek 100 alkalma lehetett arra, hogy meghibásodjon. A B rendszer háromszor, az A és a C rendszer egyszer sem hibásodott meg. A kérdés természetesen az, hogy mekkora a valószínűsége annak, hogy a három rendszer egyszerre hibásodik meg és bekövetkezik a robbanás. Most már csak az egyes biztonsági rendszerek meghibásodásának valószínűségét kellene megadnunk.

Ennek valószínűsége viszont elméletileg egy igen kicsi szám lesz, hiszen a teljes eseménylánc bekövetkezésének a valószínűsége megegyezik az egyes elemi események bekövetkezési valószínűségeinek SZORZATÁVAL. 4-5 ilyen láncszerűen egymásba fonódó esemény esetén már igencsak kis számot fogunk kapni a szorzat eredményeként, hiszen 0 és 1 közötti számokat szorzunk össze. Ha viszont az eseménylánc nagyon sok elemből áll (mondjuk több, mint 100-ból), akkor binomiális eloszlással (A binomiális eloszlás - lépjünk szintet az érmedobálásban) már nem kényelmes számolni a rengeteg tizedesjel miatt, ezért a kutatók kihasználták azt a lehetőséget, hogy ha az események száma nagy, az események potenciális bekövetkezési valószínűsége viszont kicsi, akkor a binomiális eloszlás jól közelíthető a Poisson-eloszlással (A kis számok törvénye, avagy halálos lórúgások a porosz hadseregben - A Poisson-eloszlás) úgy, hogy a Poisson-eloszlás képletében szereplő Lambda (λ) megegyezik az események számának és azok bekövetkezési valószínűségeinek szorzatával.

Vagyis, ha vesszük a binomiális eloszlás képletéből az n-t és a p-t, akkor a binomiális eloszlást közelíthetjük egy olyan Poisson-eloszlással, amelynél

Ez a része a témának külön megérne egy misét vagy egy blogbejegyzést, de egyelőre ezt most fogadjuk el, hogy így van.

Ez esetben viszont van egy kis bibi. Merthogy az A és a C rendszerek nem hibásodtak meg az elmúlt 100 alkalommal. Akkor a bomba felrobbanásának valószínűsége 0? Hiszen 0*3*0 = 0! Akár hátra is dőlhetnénk…

Azonban nem ezt tesszük, hanem megpróbáljuk valahogyan mégiscsak számszerűvé tenni a 0 hibát. A fent említett λ-ák becslésére többféle egyszerűbb és bonyolultabb megoldási javaslatot is ad az említett tanulmány. Ezek közül kiválasztottam egy egyszerűbbet, ami nem azt jelenti, hogy ez az egyetlen jó megoldás, csak ez az egyik. Természetesen a különféle becslések pontossága is különbözik és persze minél egyszerűbb a becslés, annál pontatlanabb.

Szóval azt a megoldást választottam, hogy az egyes rendszerek esetében azt feltételezem, hogy bármennyi múltbeli esemény is van az adott rendszer háta mögött, a következő két esemény során legalább egy meghibásodás be fog következni. Például az A esemény 100 eseményből egyszer sem hibásodott meg, de ha a következő két esemény során egyszer meghibásodna, úgy azt kapnánk, hogy 102 eseményből 1-szer lett hibás. vagyis az A esemény valószínűsége így (0+1)/100+2 = 1/102 lenne. Amint azt említettem, ez a feltételezés teljesen önkényes, bár eléggé konzervatív, hiszen ennél pesszimistábban nemigen tudtunk volna dönteni. Választhatnám az 1/101-et is, amikor azt feltételezem, hogy ha az A rendszer 100 alkalommal nem hibásodott meg, akkor a 101-dik alkalommal biztosan meghibásodik majd. Vagy választhatnám azt is, hogy ha az A rendszer megbízhatóságát nagyon sokszor vizsgálnám, akkor hol 1/101, hol 1/500 lenne, hol meg sohasem hibásodna meg. Ha ezen valószínűségek egyenletes eloszlásúak lennének, akkor a valószínűségek átlaga 1/n és 1/végtelen, azaz 0 között lenne, amelynek átlaga félúton 1/2n lenne. De maradjunk az eredeti választásnál.

Az A rendszer esetében – ahogy azt már fentebb tisztáztam – λ értéke 1/102 lesz. A B rendszernél ez 4/102, a C rendszernél pedig szintén 1/102-t kapunk. Így a táblázatunkat ki tudjuk egészíteni:

Már csak az együttes valószínűség kiszámítása van hátra. Ezt úgy kapjuk meg, hogy a megbecsült λ értékek alapján kiszámoljuk a Poisson-eloszlás szerinti valószínűséget, majd ezeket összeszorozzuk. A Poisson-eloszlás képlete a következő:

Ebbe a képletbe λ értékeit behelyettesítve megkapjuk a nulla hiba valószínűségét az egyes biztonsági rendszerek esetében:

Például az A rendszer esetében

vagy a B rendszer esetében

Így a táblázatunk kiegészül a fenti számításokkal:

A teljes rendszer esetében a nulla hiba valószínűségét a három Poisson-valószínűség szorzata adja meg:

Ez alapján kijelenthetjük, hogy az A, B és C biztonsági rendszerelemekből álló rendszer esetében 94,3% a valószínűsége annak, hogy nem történik majd baleset.

Most nézzük meg, mi történne akkor, ha a biztonsági rendszerek sokkal több hibával működnének:

Ha a biztonsági rendszerek esetében sokkal több hibát észlelünk, úgy a λ értékek is sokkal alacsonyabbak lesznek és a teljes rendszer összesített megbízhatósága jelentősen romlik, hiszen ez esetben a nulla hiba valószínűsége már csak 28%!

Végezetül felhívom a figyelmet arra, hogy a fent bemutatott kétféle számítási módszer nem ekvivalens és nem összehasonlítható. A második példában bemutatott módszer is természetesen csak erősen feltételesen alkalmazható, hiszen sok esetben csak igen korlátozott mértékben állnak rendelkezésre információk egy rendszer elemeinek meghibásodási valószínűségeiről. Az idézett tanulmány szerzői is kiemelik, hogy a vizsgálat tárgyként szolgáló atomfegyverek biztonsági elemeinek megbízhatóságairól nem áll rendelkezésre elegendő megbízható adat. Ráadásul ez esetben pontbecslést alkalmaztam, illendő lenne a becsléshez tartozó megbízhatósági intervallumokat is kiszámítani.

Források:

A brief history of RAND
https://www.rand.org/about/history/a-brief-history-of-rand.html

Ikle, Fred Charles, Gerald J. Aronson, and Albert Madansky, On the Risk of an Accidental or Unauthorized Nuclear Detonation. Santa Monica, CA: RAND Corporation, 1958. https://www.rand.org/pubs/research_memoranda/RM2251.html

Poisson Approximation to the Binomial Distribution, Freie Universitate Berlin, Department of Earth Statistics
https://www.geo.fu-berlin.de/en/v/soga/Basics-of-statistics/Discrete-Random-Variables/The-Poisson-Distribution/Poisson-Approximation-to-the-Binomial-Distribution/index.html

Poisson Approximation to Binomial Distribution
xyJan23Lec4.pdf (purdue.edu)