Bilgisayar Sistemlerinin Güvenilirliği ve Nükleer Savaş Tehlikesi [A]
Prof. Alan Berning tarafından, Washington Üniversitesi, Seattle, WA
Silahlanma yarışı sorunlarına çözümler, daha isabetli füzelerde ve daha karmaşık bilgisayar donanımı ve yazılımlarında aranıyor. Ancak ileri teknoloji yalnızca bir çözüm yanılsaması sunar; bilgisayarların yanlış bilgi verdiği ve yıkıcı ya da yıkıma çok yaklaşan sonuçlara yol açtığı pek çok örnek vardır. Siyasal sorunların çözümleri teknolojik değil, siyasal alanda aranmalıdır.
Bilgisayar Sistemlerinin Güvenilirliği ve Nükleer Savaş Tehlikesi
Prof. Alan Borning
Bilgisayar Uzmanları Sosyal Sorumluluk İçin
Bilgisayar Bilimleri Bölümü FR 35
Washington Üniversitesi
Seattle, WA 98195
“İnsanlar, büyük kapsam ve sonuçlara sahip kararları dakikalar içinde veremez. Bilgisayarlar da bu tür kararlar konusunda, yazılımlarını yazan programcılardan daha iyi değildir.”
International Physicians for the Prevention of Nuclear War tarafından yayımlanan ve IPPNW Report dergisinin Ekim 1984 sayısındaki bir makaleye dayanmaktadır; 225 Longwood Ave., Boston, MA 02115. İzin alınarak yeniden basılmıştır. Kaynaklar için IPPNW Report, sayfa 21’e bakınız.
Yanlış Alarmlar
NORAD erken uyarı sistemi, birçok kez Sovyet füzelerinin Amerika Birleşik Devletleri’ne doğru ilerlediğini yanlışlıkla göstermiştir. Bu olaylar şu tür soruları gündeme getirmektedir: Amerikan ya da Sovyet uyarı sistemlerinden birindeki bir bilgisayar arızası, kazara bir nükleer savaşı başlatabilir mi? Bir ya da her iki gücün nükleer kuvvetlerini alarm durumunda tutmak hangi riskleri içerir? Bir ülkenin, saldırının an meselesi olduğu uyarılarına dayanarak füzelerin ateşleneceği “uyarıya dayalı fırlatma” politikasını benimsemesi sorumlu bir davranış olur mu?
Bilgisayarlar askerî uygulamalarda yaygın biçimde kullanılmaktadır: füzelerin yönlendirilmesi, algılayıcı verilerinin analiz edilmesi ve olası saldırılara karşı uyarı verilmesi, iletişim sistemlerinin kontrolü, dost ve düşman kuvvetlere ilişkin verilerin yönetimi, olası savaşların simülasyonu ve ayrıca personel, envanter ve bordroların izlenmesi gibi sıradan görevler için.
Bilgisayarların askerî kullanımlarına baktığımda, rahatsız edici birçok olgu ve eğilim görüyorum. Alanda çalışan bir uygulayıcı olarak, hem meslek içinde hem de genel kamuoyunda, hesaplama ve nükleer savaş tehdidiyle ilgili soruların incelenmesini teşvik etmek istiyorum. Bu makalede yalnızca ABD ve SSCB’nin nükleer kuvvetlerini ele alıyorum. Diğer ülkelerin uyarı sistemleri ve nükleer kuvvetleri, burada tanımlanan sorunlara açıkça yenilerini eklemektedir.
3 Haziran 1980 Olayları
3 Haziran 1980 Salı günü, saat 01:26’da, Nebraska, Omaha yakınlarındaki Offutt Hava Üssü’nde bulunan Stratejik Hava Komutanlığı’nın (Strategic Air Command, SAC) komuta merkezinde, yerin dört kat altında, görüntüleme sistemi Amerika Birleşik Devletleri’ne doğru ilerleyen iki denizaltıdan fırlatılmış balistik füzenin (SLBM) varlığını gösterdi. On sekiz saniye sonra sistem, SLBM fırlatmalarının sayısında bir artış olduğunu gösterdi. SAC personeli, Colorado’daki Cheyenne Dağı’nın katı graniti altında 1200 feet derinlikte bulunan Kuzey Amerika Havacılık ve Uzay Savunma Komutanlığı Merkezi’ni (North American Aerospace Defense Command Center, NORAD) aradı. NORAD, SLBM fırlatmalarına dair hiçbir göstergeleri olmadığını bildirdi. Kısa bir sürenin ardından SAC ekranları temizlendi.
Kısa bir süre sonra, SAC’teki uyarı ekranı Sovyetler Birliği’nin kıtalararası balistik füzelerinin Amerika Birleşik Devletleri’ne doğru fırlatıldığını gösterdi. Ardından Pentagon’daki Ulusal Askerî Komuta Merkezi’ndeki (National Military Command Center, NMCC) ekran, SLBM’lerin fırlatıldığını gösterdi. SAC görev kontrolörü, tüm alarm durumundaki mürettebatlara B-52 bombardıman uçaklarına gitmelerini ve motorlarını çalıştırmalarını emretti; böylece uçaklar hızla havalanabilecek ve yerdeyken bir nükleer silahla yok edilmeyeceklerdi. Kara konuşlu füzeler daha yüksek bir hazırlık seviyesine getirildi ve muharebe kontrol uçakları uçuş için hazırlandı. Hawaii’de, Pasifik Komutanlığı’nın havadaki komuta merkezi, gerekirse ABD savaş gemilerine mesaj iletmeye hazır olacak şekilde havalandı.
Tüm bunlar olurken, NORAD, SAC ve NMCC’deki en üst düzey görevli subaylar arasında bir Tehdit Değerlendirme Konferansı toplandı. Sonraki üç dakika boyunca bu üç subay arasında görüşmeler yapıldı. Gerçek bir saldırının devam etmekte olduğundan şüphe duymalarına yol açan bir dizi etken vardı: NORAD’ın kendisinde bir saldırıya dair hiçbir gösterge yoktu; SAC ve NMCC’deki ekranlardaki göstergeler herhangi bir mantıksal örüntü izlemiyordu; ve farklı komuta merkezleri farklı bilgiler alıyordu. Alarmın başlamasından üç dakika on iki saniye sonra alarm iptal edildi. Bu bir sahte alarmdı.
NORAD, hatanın kendini tekrar edeceği umuduyla sistemi aynı yapılandırmada bıraktı. Hata üç gün sonra, 6 Haziran’da saat 15:38’de yeniden ortaya çıktı; SAC bir kez daha kıtalararası balistik füze saldırısına dair göstergeler aldı. Yine SAC mürettebatları uçaklarına gönderildi ve motorlarını çalıştırmaları emredildi.
Olayların nedeni sonunda, bir iletişim çoklayıcısı olarak kullanılan bir Data General bilgisayarındaki 74175 tümleşik devre yongasının arızasına kadar izlenebildi. Bu makine, algılayıcı verilerinin analiz sonuçlarını alıyor ve bunları NORAD’dan SAC’e, NMCC’ye ve Ottawa’daki Kanada Karargâhına ileten sistemin bir parçası olarak görev yapıyordu. İletişim bağlantıları, dolgu mesajları gönderilerek test ediliyordu. Sahte alarmlar sırasında bu dolgu mesajları, tespit edilen füze sayısı alanına sıfır yazılması dışında saldırı mesajlarıyla aynı biçime sahipti. Sistem, bu mesajlar için standart hata düzeltme ya da hata saptama yöntemlerinden hiçbirini kullanmıyordu. Yonga arızalandığında, sistem “tespit edilen füzeler” alanını rastgele rakamlarla doldurmaya başladı.
Bu sahte alarmlar o dönemde basında önemli ölçüde yer aldı. Bu kamuoyu ilgisinin bir sonucu olarak, 20 Haziran’da Senato Silahlı Hizmetler Komitesi Başkanı Senatör John Stennis tarafından Senatörler Gary Hart ve Barry Goldwater’dan olayları incelemeleri istendi. Hem gizli hem de gizli olmayan rapor sürümleri hazırladılar; gizli olmayan rapor, yukarıdaki olay anlatımının başlıca bilgi kaynağıydı.
9 Kasım 1979 Olayları
3 ve 6 Haziran 1980 olayları, sahte alarma yol açabilecek bir hata türünü, yani donanım arızasını göstermektedir. Başka bir olay ise başka bir hata türünü, insan hatasını, ortaya koymaktadır.
9 Kasım 1979’da, füze uyarı sistemini test etmek için kullanılan, simüle edilmiş saldırı verileri içeren bir test bandı, insan hatası nedeniyle operasyonel füze alarm sistemine bağlı olan bir NORAD bilgisayarına yüklendi. Altı dakikalık alarm süresi boyunca, ABD’nin kuzeyindeki ve Kanada’daki üslerden on taktik avcı uçağı havalandırıldı ve Haziran 1980 olaylarında olduğu gibi bir Tehdit Değerlendirme Konferansı toplandı.
Peki Sovyet uyarı sistemlerindeki benzer arızalar hakkında ne söylenebilir? Böyle arızaların meydana gelip gelmediğini belgeleyebilmiş değilim. (ABD uyarı sistemi arızalarına dair ipuçları basına sızmıştı; Pentagon, aksi halde bunların kamuoyuna açıklanmayacağını belirtmişti. Haziran 1980 olayından kısa bir süre sonra düzenlenen bir basın toplantısında, Savunma Bakan Yardımcısı Thomas Ross, ABD’nin SSCB’deki benzer sahte alarmlar hakkında bilgi sahibi olup olmadığını söylemedi.) Sovyet bilgisayar biliminin düzeyi, ABD’dekinden birkaç yıl geridedir. Ancak NORAD bilgisayarları, bilgisayar endüstrisi standartlarına göre çok eskidir (bir Kongre Raporu bunları “tehlikeli derecede eskimiş” olarak nitelendirmiştir); buna karşılık Sovyet askerî bilgisayarları kendi teknolojilerinin ön saflarında yer almaktadır.
Kasım 1979 ve Haziran 1980’deki sahte alarmlar ne kadar sarsıcı olursa olsun, aralarında benim de bulunduğum olayın çoğu inceleyicisinin görüşüne göre, Amerika Birleşik Devletleri füzelerini fırlatmaya ve Üçüncü Dünya Savaşı’nı başlatmaya hiç de yakın değildi. En önemlisi, bir alarm durumunda izlenen prosedürlerde insan muhakemesi hayati bir rol oynuyordu ve bu prosedürler, ilgili kişilere bir bilgisayar sisteminin yanlış çalıştığını fark etmeleri için yeterli zamanı sağlıyordu. Ayrıca NORAD prosedürleri, saldırının bağımsız bir sistem tarafından doğrulanmasını gerektiriyordu; örneğin saldıran füzeleri uçuş sırasında gözlemleyecek radar sistemleri. Normal koşullar altında her iki sistemde eşzamanlı sahte alarmların ortaya çıkma olasılığı çok düşüktür.
5 Kasım 1956 Olayları
Bir başka tehlike, sisteme yönelik bileşik uyarıcıların, belirsiz ya da eksik istihbarat bilgilerinden kaynaklanabilme olasılığından gelmektedir. Böyle bir örnek 1956’da, Süveyş Krizi ve Macar ayaklanması sırasında yaşanmıştır. 5 Kasım gecesi, aşağıdaki dört eşzamanlı olay meydana gelmiştir.
Birincisi, Avrupa’daki ABD askerî komuta karargâhı, kimliği belirsiz jet uçaklarının Türkiye üzerinde uçtuğuna dair acil bir mesaj aldı. İkincisi, Suriye üzerinde 100 Sovyet MiG-15 avcı uçağının bulunduğuna dair ek raporlar vardı. Üçüncüsü, bir İngiliz bombardıman uçağının Suriye üzerinde düşürüldüğüne dair bir rapor alındı (muhtemelen MiG’ler tarafından). Dördüncüsü, bir Rus deniz filosunun, muhtemelen çatışmalara hazırlanmak üzere Karadeniz’den çıkmak için Çanakkale Boğazı’ndan geçmekte olduğuna dair raporlar vardı.
General Andrew Goodpaster’ın, bu olayların o dönemde Sovyetler Birliği’ne karşı tek ve büyük ölçekli bir nükleer saldırı öngören NATO harekât planını “tetikleyebileceğinden” korktuğu bildirilmektedir.
Sonuçta, dört raporun da yanlış olduğu ya da daha masum faaliyetlerin yanlış yorumlanmasından ibaret olduğu ortaya çıktı: Türkiye üzerindeki jetler bir kuğu sürüsüydü; Suriye üzerindeki MiG’ler Suriye devlet başkanı için resmî bir eskortun parçasıydı; İngiliz bombardıman uçağı mekanik arızalar nedeniyle düşmüştü; ve Rus filosu planlanmış bir tatbikattaydı. Bracken’ın sözleriyle, “Macaristan ve Süveyş kaynaklı dünya gerilimleri bağlamında bu olayların tespiti ve yanlış yorumlanması, küresel elektronik uyarı sistemlerinin boyut ve karmaşıklığının, belirli kritik zamanlarda, kendi başına bir kriz ivmesi meydana getirebileceğinin ilk büyük örneğiydi.”
Günümüzün küresel elektronik uyarı ve iletişim sistemleri, 1956’dakilere kıyasla son derece daha karmaşık ve daha tepkiseldir. İlk darbe korkuları ve zorunlu olarak kısa tepki süreleriyle birleştiğinde, kaygı için çok sayıda gerekçe bulunmaktadır. Gerçekte birbiriyle ilgisiz olan olaylar, daha büyük bir örüntünün parçası gibi görünebilir. Nükleer kuvvetler alarma geçirildikten sonra, ek insan ya da mekanik hatalar meydana gelebilir.
Haziran 1980 olayından sonra Hart–Goldwater raporu şu notu düşmektedir: “Komuta merkezi kontrolörü, sahte ve hatalı verilere karşı herhangi bir aşırı tepkiyi önlemiş olsa da, verilerin hatalı olduğunun belirlenmesini takiben bir kafa karışıklığı havası olduğu görülüyordu.” Saldırı göstergelerinin gerçek olabileceğinden şüphelenilseydi, bu “kafa karışıklığı havasının” çok daha kötü olacağı muhtemeldir.
Karmaşık sistemlerin güvenilirliğinden gerçekten emin olunabilmesi için, gerçek kullanım koşulları altında bir test döneminin bulunması gerekir. Kamuoyuna açık olarak bilindiği kadarıyla, ABD ve SSCB’nin komuta ve kontrol sistemleri, eşzamanlı yüksek alarm koşulları altında hiçbir zaman “test edilmemiştir”; hatta ABD füze uyarı sistemindeki en üst düzey toplantı olan Füze Saldırısı Konferansı (Missile Attack Conference) hiç toplanmamıştır.
Ayrıca, bir kriz durumunda askerî personel ve ulusal liderlerin tepki vermek ve karar almak için sahip oldukları çok kısa süreler, kuşkusuz daha normal koşullara kıyasla daha zayıf muhakemeye yol açacak; bu da verilerin yanlış yorumlanması ve sistemlerin işletiminde hata olasılığını artıracaktır.
(Psikologlar, insan muhakemesinin zaman baskısı altında kalitesinin bozulduğunu ve bir durumu değerlendirmek ve tepki vermek için yalnızca birkaç dakika olduğunda bunun çok daha kötü hale geldiğini defalarca belirtmişlerdir.)
Uyarı ve kontrol sistemlerinin aşırı stres altındaki koşullarda test edilememesi ile karar almak için mevcut kısa sürelerin birleşimi, ciddi bir endişe kaynağıdır.
Uyarı Üzerine Fırlatma Stratejisi
Uyarı üzerine fırlatma, bir nükleer saldırıya misilleme stratejisidir. Bu strateji kapsamında, düşman füzelerinin yolda olduğuna dair algılayıcı göstergelerine yanıt olarak, saldıran füzelerin başlıkları patlamadan önce misilleme füzeleri fırlatılır. Bu strateji, bir ülkenin tam ölçekli bir nükleer saldırıyı soğuracağı ve yalnızca bir saldırının gerçekleştiği kesin olarak doğrulandıktan sonra misillemede bulunacağı “saldırıyı göğüsleme” stratejisiyle karşıtlık içindedir.
Uyarı üzerine fırlatmanın açık bir dezavantajı, misilleme saldırısının bir düşman saldırısı tarafından değil, bir bilgisayar ya da başka bir hata tarafından tetiklenmesi olasılığıdır. O hâlde neden böyle bir stratejinin benimsenmesi düşünülsün?
Hem Amerika Birleşik Devletleri’nin hem de Sovyetler Birliği’nin kara konuşlu füzeleri yıllar içinde giderek daha hassas hâle gelmiştir. Örneğin, ABD Minuteman III MK12 füzesinin isabet hassasiyeti 280 metredir; daha eski Sovyet SS-11 Mod 1’in hassasiyeti ise 1400 metredir. Pershing II füzesi daha da hassastır. Bu füze, inişi sırasında hedef alanın çevresine ait canlı radar görüntülerinin, dahili olarak saklanan harita bilgileriyle karşılaştırıldığı yeni bir güdüm teknolojisi kullanır; böylece çarpma öncesinde rota düzeltmeleri yapılabilir. Hassasiyetinin 30–40 metre olduğu bildirilmektedir.
Bu artan füze hassasiyeti, kara konuşlu füze siloları ve komuta merkezleri gibi tüm sabit hedefleri, hatta yüksek derecede güçlendirilmiş olanları bile riske sokmaktadır. Sabit hedeflerin bu kırılganlığının, bir ilk darbenin başarıyla gerçekleştirilebileceği anlamına gelip gelmediği hiç de kesin olmasa da, ABD ve SSCB’deki stratejik planlamacılar on yıllardır bu sorunla ilgilenmektedir. Bu sorunla başa çıkmanın bir yolu uyarı üzerine fırlatmadır. Taraflardan biri bir düşman saldırısının geldiğine inanırsa, misilleme füzeleri fırlatılıp yola çıkarılabilir ve saldıran başlıklar boş füze siloları üzerinde patlayabilir.
Denizdeki denizaltılara ve uçaklara dayalı silahlar şu anda aynı ölçüde tehdit altında olmasa da, mevcut ABD doktrini “stratejik üçlünün” her üç “bacağının” da misilleme yapabilecek kapasitede olmasını öngörmektedir. Caydırıcılık açısından riskler, stratejik nükleer silahlarının daha büyük bir bölümünü kara konuşlu füzelerde bulunduran Sovyetler Birliği için daha da keskindir.
Uyarı üzerine fırlatma politikasının benimsenmesi tehlikeli bir eylem olurdu; çünkü bir füze uyarı sisteminden gelen sahte bir alarmın misilleme tepkisini tetikleme riski vardır. Uyarı üzerine fırlatma benimsenmiş olsaydı, kazara savaş riskini azaltmak için neredeyse kesinlikle sürekli olarak değil, yalnızca kriz zamanlarında etkinleştirilirdi. (Bu temelde bir etkinleştirme politikasının, uyarı sistemlerinin tam güvenilirliğine duyulan güvensizliğin bir kabulü olduğuna dikkat edin!) Buna rağmen, benim görüşüme göre bu kesinlikle kabul edilebilir bir politika değildir.
Strateji kuramsal olarak kesinlikle mümkün olsa da, işin içine giren son derece kısa süreler nedeniyle, uyarı üzerine fırlatmanın pratik bir politika olup olmadığı konusunda, en azından bunu benimseyen ülkenin nükleer kuvvetleri üzerinde kabul edilebilir bir denetim düzeyinin korunması açısından, kuşkular vardır. Daha geniş bir bakış açısından, uyarı üzerine fırlatma, misillemeye yönelik politika yelpazesinin bir ucundaki aşırı bir nokta olarak görülebilir; bu yelpazenin boyutu, bir gücün bir saldırının yakın ya da devam etmekte olduğuna inandığında yanıt vermek için ne kadar beklediğidir. Bu daha geniş bakış açısıyla ele alındığında, uyarı üzerine fırlatmaya yönelik baskılar, altta yatan sorunların bir belirtisidir: bilinen, sabit konumlardaki askerî varlıkların (kara konuşlu ICBM’ler ve komuta merkezleri) bir ulusun nükleer kuvvetlerinin temel bir parçası olduğunu savunan stratejik doktrin; sabit hedeflerin kırılganlığının acil bir sorun olduğu algısı; onları daha da kırılgan hâle getiren yeni silah sistemleri; ve bunun sonucunda nükleer krizlerde karar almak için mevcut sürenin azalması.
SSCB ya da ABD’nin, füze uyarı sistemleri gibi bilgisayar sistemlerinin hatasız çalışmasına dayanan silah sistemleri ve politikalar benimsemesi sorumlu bir davranış olur mu? Bu bölümde bunun böyle olmadığını savunacağım. Karmaşık askerî sistemlerde arızaların kesin olarak meydana geleceğini göstermeye çalışmayacağım; bunun yerine, yeterli güvenilirliğin sağlanabileceğine dair kuşku payı bulunduğunu ileri süreceğim. Arızalanması hâlinde termonükleer bir savaşı tetikleme potansiyeline sahip bir askerî sistemden talep edilen güvenilirlik standardı, felaketin büyüklüğü nedeniyle, diğer herhangi bir bilgisayar sistemininkinden daha yüksek olmalıdır.
Elektrik Kesintileri ve Three Mile Island
Güvenilir bilgisayar sistemlerinin geliştirilmesine büyük araştırma ve geliştirme çabaları ayrılmış ve bazı etkileyici sonuçlar elde edilmiştir. Bununla birlikte, güvenilir olacak şekilde tasarlanmış bilgisayar sistemlerinin bazı çarpıcı başarısızlıkları da yaşanmıştır: daha önce anlatılan NORAD sahte alarmları, Ekim 1980’de kilitlenmeye benzer bir olgu nedeniyle bir ABD bilgisayar iletişim ağının (ARPANET) tamamen çökmesi ve ilk Uzay Mekiği’nin fırlatılmasını son anda geciktiren yedek bilgisayar eşzamanlama sorunları.
Bilgisayar sistemleri alanının dışında, geniş çaplı sonuçlar doğuran iki öğretici kaza, 1965’te ABD’nin Kuzeydoğusu ile Kanada’nın Ontario eyaletindeki büyük elektrik kesintisi ve 1979’da Three Mile Island nükleer santralindeki kazadır. Bu vakaların her birinde, arızanın ciddiyeti önceden iyi bilinmekteydi ve sistem tasarımında pek çok önlem alınmıştı.
1965 Kuzeydoğu elektrik kesintisi, Ontario’daki Beck Hidroelektrik Santrali’nde 230 kilovoltluk bir iletim hattı üzerindeki yedek bir koruyucu rölenin, hattan geçen akım rölenin ayar değerini aştığında devreye girmesiyle başladı. Bu durum, söz konusu santralden kuzeye doğru güç taşıyan iletim hatlarını devre dışı bıraktı; böylece güç akışı kuzeyden güneye tersine döndü ve Amerika Birleşik Devletleri’nin Kuzeydoğusuna doğru büyük bir güç dalgasının yönelmesine neden oldu. Aksaklıklar kısa sürede yaklaşık 80.000 mil karelik bir alanı kapsayacak şekilde yayıldı ve Amerika Birleşik Devletleri ile Kanada’da tahminen 30 milyon insanı doğrudan etkiledi. Olaydan sonra, sistemde yapılan değişikliklerin benzer bir kazanın tekrarını imkânsız hâle getirdiği iddia edildi; ancak Temmuz 1977’de New York City’de bir benzeri yaşandı. Bu olayda, Consolidated Edison Company başkanının sözleriyle “normalde asla gerçekleşmeyen” bir dizi yıldırım düşmesi sistemin bazı bölümlerini devre dışı bıraktı; kesintilerle başa çıkılmaya çalışılırken bir dizi aşırı yük oluştu ve sonuçta New York bölgesi elektrik sistemi çöktü.
Three Mile Island kazası bir ekipman arızasıyla (bir tahliye vanasının arızası) başladı, ancak ciddiyeti bunu izleyen operatör hatalarıyla büyük ölçüde arttı.
Geriye dönüp bakıldığında, yukarıdaki olayların her birinde sorumluluk tek tek bileşen arızalarına veya belirli insan hatalarına yüklenebilir.
Ancak tasarım hatalarında durum neredeyse her zaman böyledir. Otomatik sistemler tasarlarken, olası tüm durumları öngörmeli ve her durumda ne olması gerektiğini belirtmeliyiz. Asıl suçlu, sistemlerin karmaşıklığının kendisidir ve ters gidebilecek her şeyi önceden düşünme ve planlama konusundaki yetersizliğimizdir.
Sistem Arızalarının Kaynakları
Bilgisayar sistemi arızalarının kaynakları arasında donanım arızaları, donanım tasarım hataları, yazılım tasarım hataları ve insan hatası (örneğin yanlış kullanım veya bakım) yer alır.
Donanım arızaları, Haziran 1980’deki NORAD arızalarında olduğu gibi, sistem arızalarının belki de en açık nedenidir. Sıkı kalite kontrolü ve testlerle tek tek bileşenler çok güvenilir hâle getirilebilir; ancak büyük bir sistemde hiçbir bileşenin asla arızalanmayacağını beklemek makul değildir. Yerel arızalarla başa çıkmak için kullanılan çoğaltma, ağırlıklı oylama, hata algılama ve düzeltme kodları, dinamik yeniden yapılandırma ve benzeri tekniklerin tümü değerlidir ve çok güvenilir aygıtların geliştirilmesinde kullanılmıştır. Bununla birlikte, çok karmaşık sistemler inşa edildiğinde — ve bir füze erken uyarı sistemi bütünüyle kesinlikle karmaşık bir sistem örneğidir — tüm olası arıza kiplerinin öngörüldüğünden ve bağımsızlıkla ilgili tüm varsayımların doğru olduğundan daha az emin olunur.
Bir başka olası arıza nedeni donanım tasarım hatasıdır. Burada da temel sorun, sistemin alışılmış, beklenen olaylar kümesi altındaki çalışması değil, beklenmeyen olaylar meydana geldiğinde nasıl davrandığıdır. Örneğin, çok seyrek gerçekleşen talihsiz bir eşzamansız paralel olaylar kümesinden kaynaklanan zamanlama sorunlarını bulmak özellikle zordur.
Bilgisayar sistemlerinin doğası gereği, “tasarım”ın büyük bir bölümü bilgisayarın yazılımında somutlaşır. Bu yazılımın görece kolay değiştirilebilmesi, sistem tasarımını oldukça rahat bir şekilde değiştirebileceğimiz anlamına gelir. Bu durum yazılım tasarım hatalarını kolayca düzeltebilmemizi sağlar; ancak aynı kolaylıkla yeni tasarım hataları da sisteme sokabileceğimiz anlamına gelir. Bir bilgisayar sisteminin karmaşıklığının çoğu genellikle yazılımında yer aldığı için, öngörülmeyen bir durum ortaya çıktığında en sık bozulan bölüm de burasıdır. Büyük bir bilgisayar sistemi üzerinde çalışmış olan herkes, geliştirme sürecini yönetmenin ne kadar zor olduğunu bilir. Genellikle, sistemin tamamını bütünüyle anlayan kimse yoktur. Bu sorunlarla başa çıkmaya yardımcı olmak için günümüzde çeşitli stratejiler kullanılmaktadır: yüksek seviyeli diller, modüler tasarım, bilginin gizlenmesi ve benzeri. Buna rağmen, tüm sürecin gerçekten tatmin edici olmadığı yaygın olarak kabul edilmektedir.
Doğruluk kanıtları veya otomatik programlama gibi diğer teknikler uzun vadede yardımcı olabilir. (Bir doğruluk kanıtında, bir insan ya da bir bilgisayar, bir programın ne yapması gerektiğine ilişkin biçimsel bir tanımı karşıladığını matematiksel olarak kanıtlar; otomatik programlamada ise program, bu tanımdan otomatik olarak yazılır.) Ancak bu teknikler hâlâ büyük ölçüde araştırma aşamasındadır. Örneğin, basit derleyicilerin doğruluğu kanıtlanmıştır; ancak gerçek zamanlı uydu veri analizi programlarının karmaşıklığı, mevcut tekniklerin çok ötesindedir. Otomatik programlama ise daha da az gelişmiştir.
Bir Tanımın İstenen Şeyi Betimlediği Nasıl Bilinir?
Bununla birlikte, doğruluk kanıtları ve otomatik programlama gibi tekniklerle ilgili daha temel bir sorun vardır. Örneğin bir doğruluk kanıtı, bir biçimsel betimin (tanımın) başka bir biçimsel betimle (programla) eşdeğer olduğunu gösterir. Peki tanımın gerçekten istenen şeyi betimlediği nasıl bilinir? Tanım yazılırken hiç düşünülmemiş olabilecek olaylar meydana gelebilir mi? Örneğin, 1960 yılında Grönland’daki BMEWS radar sisteminde yaşanan bir yanlış alarm, ayın doğuşu tarafından tetiklendi; 1950’lerdeki bir başka yanlış alarm ise bir kaz sürüsünden kaynaklandı. Tanım yazılırken ayın doğuşu ya da kazlar hiç kimsenin aklına gelmediyse, sistemin tanımına uyduğunu kanıtlamak yardımcı olmazdı.
Bir başka arıza kaynağı da, Kasım 1979’daki yanlış alarmda olduğu gibi, insan hatasıdır. Ayrıntılı eğitimlere ve önlemlere rağmen insanlar hata yapar. Stres ve kriz zamanlarında bu tür hatalar daha da olası hâle gelir. Nükleer silahlara erişimi olan askerî personel arasında alkol, uyuşturucu kullanımı ve anormal davranışlarla ilgili bazı endişe verici istatistikler vardır. Alkolizm Sovyetler Birliği’nde büyük bir sağlık sorunudur ve ABD ordusunda olduğu kadar Sovyet ordusunda da en az o ölçüde bulunması muhtemeldir.
Uygulanabilir Testlerin Sınırları
Karmaşık sistemlerin güvenilirliğinden gerçekten emin olabilmek için, gerçek kullanım koşulları altında bir test döneminin bulunması gerekir. Simülasyonlar, olası arıza türlerinin analizleri ve benzerleri bazı sorunları ortaya çıkarabilir; ancak bu tür testlerin tümü, tasarımcıların gerçekleşebileceğini öngördükleri koşulları tam olarak sınamaları gerçeğiyle sınırlıdır. En ağır sorunlara yol açanlar, beklenmedik koşullar ve etkileşimlerdir—beklenmedik bir yıldırım çarpması dizisi, mekanik bir arızayı izleyen operatör hatası, aynı anda birden fazla kabloyu yok eden bir yangın gibi. Nükleer bir savaş yaşanmadan, nükleer kuvvetler için komuta ve kontrol sistemlerinin bütünüyle test edilmesi mümkün değildir.
Son bir mesele de, değişim halindeki sistemlerin, bir süredir istikrarlı kalmış olanlara kıyasla sorunlara daha yatkın olmasıdır. Silahlanma yarışı hız kesmeden sürerse, nükleer kuvvetler için komuta ve kontrol sistemleri de zorunlu olarak değişmeye devam edecektir.
Teknolojik Çözümler Uygulanabilir Bir Yanıt Değildir
Özetlemek gerekirse, günümüzde tekil bir bilgisayar ya da operatör hatasının yol açtığı bir nükleer savaş, en azından diğer tehlikelerle karşılaştırıldığında, muhtemelen önemli bir risk değildir. Günümüzde nükleer savaşın en önemli riski, uluslararası bir kriz, karşılıklı olarak birbirini güçlendiren alarm durumları ve olası bilgisayar arızası ile insan hatasının birleşimi olasılığından kaynaklanıyor gibi görünmektedir.
Silahlanma yarışındaki süregelen bir eğilim, giderek daha isabetli füzeler olmuştur. Bu tür füzelerin geliştirilmesi ve özellikle düşman topraklarına yakın konumlara konuşlandırılmaları, bir alarm durumuna tepki vermek ve onu değerlendirmek (gerçek mi yoksa bir bilgisayar ya da insan hatasından mı kaynaklandığını belirlemek) için kalan süreyi giderek azaltmaktadır. İnsanlar, bu denli kapsamlı ve sonuçları ağır kararları birkaç dakika içinde veremezler. Bu nedenle, kararları bilgisayarlara devrettiğimiz bir uyarı üzerine fırlatma stratejisini düşünme yönünde artan bir baskı görüyoruz. Ancak böyle bir strateji pervasızca görünmektedir—bilgisayarlar, yazılımlarını yazan programcılardan bu tür kararlar konusunda daha iyi değildir.
Peki bu bizi nereye götürüyor? Sonuç açıktır: Daha isabetli silahlar ya da daha gelişmiş bilgisayar donanımı ve programları gibi silahlanma yarışının sorunlarına yönelik teknolojik çözümler, uygulanabilir bir yanıt değildir. Bir çözüm sağladıkları yanılsamasını verebilirler, ancak bu yanılsama son derece tehlikelidir. Sorun, nihayetinde, bizi teknolojiye bu kadar mantıksız talepler yöneltmeye iten tehdidi ortaya çıkaran hükümetler arasındaki politikalar ve ilişkilerde yatmaktadır. Sorunun kökü bu politika ve tutumlardadır ve çözümler de bu insani ve siyasal alanda aranmalıdır.