已证明的和可适应的防御的谬论

目前美国的政策是部署“经过验证的、具有成本效益的、适应性强的”导弹防御系统。正如《2010年弹道导弹防御评论》所述，证明意思是“广泛的测试和评估”，或者“买之前先飞”。自适应这意味着防御系统可以通过快速重新部署或“涌向一个区域”，并容易地集成到现有的防御体系结构中来应对意想不到的威胁。

虽然该领域的“广泛测试”是迈向探明防御的重要一步，但本文认为这是不够的真的被证明,也就是值得信赖防御。针对核武器的防御面临着非常沉重的证明负担，因为一颗炸弹就具有完全的毁灭性。但是，即使防御在一个上下文中达到了这个级别的可信赖性，本文认为，当它们适应于另一个上下文中时，它们不能立即被信任。对已被证明的和适应性的防御的呼吁因此促进了一个危险的谬论:在一种环境中被证明的防御在适应另一种环境时仍然是被证明的。

解释为什么不应该被视为抗辩两个都经过验证并具有适应性，本文首先概述了导弹防御的一个很少注意但关键的挑战:开发、集成和维护其复杂且不断发展的软件。第二部分用导弹防御的经验来说明在测试范围内被证明是无效的软件的三个关键原因保持当它适应战场时，就证明了这一点。第三部分概述了与快速调整导弹防御软件以适应新的威胁环境相关的一些挑战。这篇文章的结论是，虽然导弹防御系统可以提供一些防范攻击的保障，但它们也带来了新的风险。

导弹防御是一个信息问题

导弹防御是一个违背时间的比赛。洲际弹道导弹在三十分钟内环游地球仪旅行，而中间，中等和短距离弹道导弹甚至更少的时间来达到目标​​。虽然防守者理想地想在3-5分钟内拦截导弹，但它们在地球的大气层（升压阶段），地理和物理限制使得可预见的未来使这个选项变得不切实际。防守有最多的时间在中间过程中“杀死”导弹（在它穿过空间时），但在这里，弹头可以被诱饵和糠掩饰伪装，使得很难找到和摧毁。作为导弹（或弹头）重新进入地球的大气，任何诱饵都被放慢了，弹头变得更容易跟踪。但是，这个终端飞行阶段只留下了后卫的几分钟即可行动。

这些时间限制不仅使导弹防守不仅是一个身体的问题，也是一个信息化学问题。虽然大多数导弹防御宣传的重点是子弹在空中击中子弹的图像，但每次拦截都严重依赖一个不那么可见的信息系统，该系统收集有关目标位置和速度的雷达或传感器数据，并引导防御性武器攻击这些目标。更快的计算机可以加快信息处理的速度，但不能确保信息被正确地处理和解释。精确探测目标、识别目标与诱饵或箔条的区别、制导防御武器对目标的引导以及导弹防御系统的互补协调，都需要一个非常复杂的软件系统来完成。

今天的导弹防御系统必须管理巨大的信息复杂性——来自不同地区、以不确定和不断变化的方式出现的广泛威胁。信息的复杂性不仅源于防御旨在应对的各种威胁，还源于这样一个事实:实现高效的防御需要在大的地理区域上分层多个防御系统;这反过来需要国际合作。例如，为了保护美国免受伊朗的攻击，陆基中段防御系统(GMD)不仅依赖于阿拉斯加和加州的雷达和导弹，还依赖于欧洲的雷达和导弹。有效的防御需要计算机和软件将来自其他国家控制的不同地区和系统的数据“融合”成一个无缝的战斗空间画面。导弹防御软件需求随着威胁、国内政治和国际关系的变化而不断发展。

这种复杂且不断发展的需求将限制任何工程师。但是像Fred Brooks这样的软件工程师已经认识到与不可预测和不断变化的人类机构相关的复杂性是他们的“基本”挑战。布鲁克斯将物理的复杂性与软件的“任意复杂性”相提并论。虽然自然界的复杂性被认为是由普遍规律所支配的，但软件的任意复杂性是“被许多人类机构和系统毫无理由地强迫的，而[软件]界面必须符合这些机构和系统。”

换句话说，软件的设计不是通过预测和确定性自然法律驱动的，而是通过它所服务的任何硬件和社会组织的任意要求。因为任意复杂性是软件的本质，所以它将永远难以发展。尽管技术进步巨大，但软件工程师已经同意任意复杂性对我们的可靠软件系统的能力施加了根本的限制。

在导弹防御方面，软件必须将不同的设备(如导弹拦截器、雷达、卫星和控制台)与不同国家(如美国、欧洲、日本和韩国导弹防御司令部)的程序集成在一起。软件只能通过变得任意复杂来满足物理硬件和社会组织的特殊需求。

软件工程师通过模块化设计，熟练的项目管理和各种自动化工具管理软件的任意复杂性，有助于防止常见错误。尽管如此，随着软件的任意复杂性而且，也是意外的互动和错误。制作软件可靠的唯一方法是使用它运行并纠正现实世界中出现的错误。如果操作条件仅略微发生变化，则可能会出现新的和意外错误。数十年的经验表明，在没有运行测试和调试的情况下，不可能开发任何实际规模的值得信赖的软件。

在某些情况下，故障并不是灾难性的。例如，2007年，六架F-22猛禽战机首次从夏威夷飞往日本，当它们越过国际日期变位线时，它们的电脑崩溃了。多次重启的努力都以失败告终，飞行员失去了导航电脑、燃油信息和大部分通讯信息。幸运的是，天气晴朗，所以他们可以跟随加油车返回夏威夷并安全着陆。软件故障在48小时内被修复。

如果天气不好或者猛禽在战斗中，这个错误会造成更严重的后果。在这种情况下，时间变得更加关键。同样，导弹防御系统必须在需要的最初几分钟内正常运行;没有时间更新软件。

已被证明是什么？现场测试与战斗经验之间的差异

由于操作条件的小变化可能导致软件中的意外互动，只能通过现实世界的作战体验证明导弹防御。然而，描述防御的人通常会指的是在测试范围内获得的结果。逐步的自适应方法强调“经过验证”是指其对SM-3导弹的关注，该导弹比基于地面的中部防御（GMD）更好地测试。The SM-3 Block 1 system is based on technology in the Navy’s Aegis air and missile defense system, and it has succeeded in 19 of 23 intercept attempts (nearly 83 percent), whereas the GMD has succeeded in only half (8 of 16) intercept attempts. Similarly, when Army officers and project managers call the theater high altitude area defense (THAAD) proven, they are referring to results on a test range. THAAD, a late midcourse and early terminal phase defense, has intercepted eleven out of eleven test targets since 2005.

虽然测试非常重要，但他们不证明导弹防御在战斗中将是可靠的。经验揭示了至少三种方式，其中现实世界的操作条件和测试范围之间的差异可能导致导弹防御软件失败。

首先，导弹防御软件和测试程序对其目标的行为做出假设，这可能不是现实的。试验目标的质量在2002年至2008年之间进行了精心控制，增加了11％的导弹防御试验，因为目标未能按预期表现。

但真正的目标也可能表现得出人意料。例如，在1991年的海湾战争中，伊拉克发射的短程飞毛腿导弹在重新进入大气层时解体，导致它们螺旋形飞行，而不是遵循可预测的弹道轨迹。这种不可预测的行为是爱国者(PAC-2)导弹防御系统在29次拦截尝试中至少失败28次的主要原因。尽管爱国者在测试范围内成功拦截了6个目标，但现实世界目标的不可预测性阻碍了它在战斗中的成功。

其次，导弹防御试验在非常不同的时间压力下比真实世界的战斗进行。导弹防御测试不需要运营商在延长几天或几周内保持注意，直到触发导弹的精确一到两分钟。而是筹集了船员是一个“兴趣窗口”，通常跨越几个小时，在其中寻找攻击。这种测试的捍卫者认为，有关攻击窗口的信息是必要的（以避免与正常空中和海洋交通的冲突），并且现实（可能是因为在有限的冲突期间只使用防御）。

然而，在现实世界的战斗中，“兴趣窗口”可能持续的时间远不止几个小时。例如，爱国者最初的设计设想是一次只需要几个小时，但在第一次海湾战争中，当它被派往以色列和沙特阿拉伯时，它突然一次可以使用几天。在这种情况下，“爱国者”的控制软件开始出现计时错误，而当计算机每隔几个小时重新启动时，这个错误从未出现过。1991年2月25日，这个软件控制的时间错误导致爱国者导弹错过了一枚飞毛腿导弹，该导弹击中了沙特阿拉伯达兰的一个军营，造成28名美国人死亡。原本可能帮助爱国者号拆除达兰袭击的导火索，但现在来晚了一天。

测试范围和真实战斗之间的第三个区别是，在战斗区内和各地的空中交通通常存在，为友好的火灾创造了机会;the likelihood of friendly fire is increased by the stressful conditions of combat.For example, in the first Gulf War, the Patriot fired two interceptors at U.S. fighter jets (fortunately the fighters evaded the attack).When a more advanced version of the Patriot (PAC-3) was sent to Iraq in 2003, friendly fire caused more casualties. On March 23, 2003, a Patriot battery stationed near the Kuwait border shot down a British Tornado fighter jet, killing both crew members. Just two days later, operators in another battery locked on to a target and prepared to fire, discovering that it was an American F-16 only after the fighter fired back (fortunately only a radar was destroyed). Several days later, another Patriot battery shot down an American Navy Hornet fighter, killing its pilot.

国防科学委员会的工作组最终将失败归因于几个软件相关问题。爱国者的识别朋友或敌人（IFF）算法（应该明确尊重敌人的盟友）表现不佳。命令和控制系统没有给予船员的良好情境意识，完全依赖于缺陷的IFF技术。Patroiot的协议，显示器和软件使操作“主要是自动化的”，而“训练员培训以信任该软件的操作员”。不幸的是，这种信任不是保证。

这三个特点——难以预测的目标，较长的“兴趣窗口”，以及空中交通的存在——是战斗中所特有的，也是在测试范围内被证实的软件在战斗中可能不可靠的原因之一。其他差异涉及防御技术本身- - -导弹导引头通常是手工组装的，而且从一枚导弹到下一枚导弹的质量总是不能保证。导弹防御系统旨在通过“分层”防御系统(即如果一个系统无法击中导弹，另一个系统可能会命中)来克服质量保证方面的挑战。但导弹防御层之间的意外交互也可能导致故障。事实上，一些成功拦截单个导弹防御系统的试验也揭示了整合不同防御系统的局限性。分层防御，就像大多数个人防御系统一样，在现实世界的战斗中还没有被证明是可靠的。

“经过验证”和“适应性”防御的谬论

如本简要审查所表明，现场测试发生在比战斗中显着不同的操作环境中，差异很重要。在实地测试中“经过验证”的导弹防御在适于打击环境，缺少导弹或射击友好飞机时，它们反复失败。因此，谈论“经过验证”和“适应性”防御传统是一种危险的谬论 - 在一个背景下证明的防御系统保持因为它们适应了新的威胁。

防御部署不仅仅是“即插即用”，因为它们部署到全球的新操作环境，因为它们必须与其他武器系统仔细集成。例如，为了实现美国的“分层”防御，计算机必须从地理上分散的传感器和雷达“熔断”数据，并在不同地区提供与战斗空间的无缝图片的命令。在第一个尝试集成AEGIS和Thaad等元素的美国导弹防御测试中，系统成功截获了目标，而且还揭示了不同计算机和通信系统的互操作性的故障。在欧洲剧院中，这些系统面临与北约的独立活动分层剧场弹道防御（ALTBMD）集成的额外挑战。

亚太地区存在类似的挑战，美国盟国已购买PATRIOT和AEGIS等系统。目前尚不清楚这些元素如何与该地区的美国部队互操作。美国和日本有效地形成了联合指挥关系，两国都将信息从其传感器饲养到共同的控制室。然而，与韩国和台湾等亚太地区的其他国家的命令关系仍不清楚。

在2014年5月的大西洋理事会导弹防御会议上，系统集成的挑战是一个反复出现的主题。与会者指出，日本和韩国等美国的盟友互不信任，给整合计算机指挥和控制系统带来了困难。他们还指出，美国的出口管制法律限制了计算机和网络技术向世界许多地区的流动，从而造成了困难。大西洋理事会高级研究员Bilal Saab指出，“硬件的问题在于，它不会在政治真空中运行。”

软件也不知道。所有这些限制——出口管制法律、国家之间的不信任、不同的计算机系统——都对软件提出了任意复杂的要求，这些要求必须将来自不同导弹防御元素的数据整合到一个统一的作战空间图中。曾经被证明的互操作性在适应新的技术和战略环境时并不会一直被证明。

风险保险

虽然防御不能同时被证明和适应，但部署防御仍然是有意义的。经过可靠的现场测试的导弹防御系统可以提供某种防范攻击的措施。此外，合作防御可能提供一种减少对大规模核武库依赖的手段，尽管与俄罗斯分享北约或美国导弹防御的努力目前处于停滞状态。

但无论导弹防御系统提供了什么保险，它也伴随着新的风险，因为它依赖于极其复杂的软件。其他关于导弹防御的分析指出了与战略不稳定相关的风险，并指出防御似乎是在限制而不是促进削减进攻性核武库。对于开发、集成和维护复杂的导弹防御软件的困难，需要注意一组稍有不同的风险。

从爱国者的经验来看，友军炮火的危险是显而易见的。更重要的是，复杂软件无法完全预测目标行为，这限制了它在战斗中的可靠性，正如第一次海湾战争中所看到的那样。PAC-3系统在第二次海湾战争中表现得更好;根据陆军的说法，防御系统失效的九枚导弹中有九枚飞向防御资产。因此，PAC-3系统可以被认为是针对特定目标的真正证明。但是，无论防御系统对一组目标的表现如何，我们不能保证它们对一组新目标的表现也同样出色。

此外，防御必须非常可靠地防御核武器导弹。在第二次世界大战中，10％的成功率足以阻止轰炸机的空气防御，但核武器的破坏力呼吁更高的成功率。如果一个核武器甚至是防御系统的核武器，它可以摧毁一个主要的城市及其周围环境。

最大的风险不在于防御本身，而在于对自身能力的过度自信。2002年，对军事技术的信任促使时任国防部长唐纳德·拉姆斯菲尔德(Donald Rumsfeld)否决了经验丰富的军事规划者的意见，坚称高科技减少了在伊拉克所需的地面部队数量。我们现在知道，这种信心可悲地放错了地方。

因此，在作出依赖导弹防御部署的决定时，应该权衡导弹攻击的风险与友军炮火和不可靠防御的风险。虽然“先飞后买”的方法是实现可靠防御的关键一步，但现场测试是行不通的真的被证明,或值得信赖,防御。无论一个防御系统在一场战斗中如何被证明，当它适应另一场战斗时，它就不再被证明。最终，已证实的和适应性防御的概念是一个矛盾的术语。

白宫新闻秘书办公室，《美国导弹防御政策简报》，2009年9月17日。http://www.whitehouse.gov/the_press_office/FACT-SHEET-US-Missile-Defense-Policy-A-Phased-Adaptive-Approach-for-Missile-Defense-in-Europe/

国防部，“弹道导弹防御审查”（2010年1月）：六，11。http://www.defense.gov/bmdr/docs/BMDR%20as%20of%2026JAN10%200630_for%20web.pdf

查看国家研究委员会，造成弹道导弹防御：与其他替代方案相比，对美国促进期导弹防御的概念和系统的评估(华盛顿特区:国家科学院出版社，2012)。美国物理学会国家导弹防御推进阶段拦截系统研究小组报告，2003年7月。http://www.aps.org/policy/ReportsReportsreports/studies/upload/boostphase-intercept.pdf.

Frederick Brooks，“没有银弹：软件工程的本质和事故”，IEEE计算机（Addison-Wesley Professional，1987），http://www-inst.eecs.berkeley.edu/~maratb/readings/nosilverbullet.html。

当软件工程师聚集在布鲁克斯文章成立二十周年时，他们都同意他的原始论点已经证明是正确的，尽管技术进步令人印象深刻。请参阅Frederick Brooks等，“小组：'没有银耳子弹'重新加载，”第22届ACM SIGPLAN年度面向对象编程、系统、语言和应用(OOPSLA)会议，ed。理查德加布里埃尔等。（加拿大蒙特利尔：ACM，2007）。

对于这些技术的摘要，以及它们不足以产生可靠的软件，请参阅David Parnas，“战略防御系统的软件方面”，ACM的通信28日,没有。12(1985): 1326。

" F-22空军中队被国际日期变更线击落"日常国防工业，2007年3月1日。http://www.defenseindustrydaily.com/f22-squadron-shot-down-by-the-international-date-line-03087/访问2014年6月15日。

例如，见白宫2009年9月17日《美国导弹防御政策简报》http://www.whitehouse.gov/the_press_office/fact-sheet-us-missile-defense-policy-a-phased-adaptive-aach-for-missile-defense-in-in-europe.

对于SM3块1的结果，请参阅导弹防御机构“Aegis Ballist导弹防御检测记录”http://www.mda.mil/global/documents/pdf/aegis_tests.pdf2013年10月。在GMD上，参见导弹防御局，“弹道导弹防御拦截飞行测试记录”，最后更新于2013年10月4日http://www.mda.mil/news/fact_sheets.html.

例如，“萨德士兵参加历史性训练演习”的评论，“布利斯堡号角”，http://fortblissbugle.com/thaad-soldiers-take-part-in-historic-training-exercise/;BAE，“BAE系统”寻求者在历史悠久的综合现场消防导弹防御试验中成功地表演，“2013年2月7日新闻稿，http://www.baesystems.com/article/BAES_156395/bae-systems-seeker-performs-successfully-in-historic-integrated-live-fire-missile-defense-test．2014年6月15日。

导弹防御局，“弹道导弹防御拦截飞行试验记录”最后更新了2013年10月4日http://www.mda.mil/news/fact_sheets.html.

这是基于2002-2005年42次发射ReportsReports中有3次出现目标失败或异常，2006-2007年38次发射中有6次出现此类失败的报告。参见美国政府问责局2008年9月的《实施导弹防御局目标所需的合理商业案例》http://www.gao.gov/assets/290/281962.pdf.

乔治N.刘易斯和Theodore A. Postol，“1991年海湾战争中爱国者有效性的视频证据”科学与全球安全4（1993）。

同上;另见乔治N. Lewis和Theodore A.Postol，“在海湾战争中的爱国者表现技术辩论”，科学与全球安全3（2000）。事实上，虽然伊拉克人在军队部署了爱国者之后推出了较少的Scuds，但有证据表明在以色列造成损害增加——表明爱国者本身造成了一些损失。参见George N. Lewis和Theodore A. Postol，“陆军报告评估”，“1992年3月31日评估爱国者有效性的录像带分析”(Cambridge MA: Defense and Arms Control Studies Program, Massachusetts Institute of Technology, 1992)。可以在网上/小型/ starwars / docops / pl920908.htm

在部署前的检测范围对检测范围的表现，请参阅政府运营委员会在委员会之前的“海湾战争中的PARTIOS导弹的表现”，102ⁿ国会，2ⁿ税。，April 7, 1992.

亨利A.霍姆A.互动III（RET.）和Rebeccah Heinrichs，“捍卫美国导弹防御”的国际先驱论坛报，2011年9月27日http://www.nytimes.com/2011/09/28/opinion/28iht-edlet28.html?_r=2&

爱国者仅旨在在重新启动前的时间24小时运行，因此在以前的操作条件下对时序问题无关紧要。技术上，这将被描述为“要求失败”。高，“Patroiot导弹防御：软件问题导致了Dhahan，沙特阿拉伯的系统失败，”（华盛顿州，D.C.:一般会计办事处，1992）。

GAO，“爱国者导弹防御:沙特阿拉伯Dhahan的软件问题导致系统故障。”

这些压力是导致1988年伊朗航空655航班被文森夫妇击落的一个因素;更详细的分析请参见Gene Rochlin，被困在网中：计算机化的意外后果（普林斯顿：普林斯顿U，1998）。

Clifford Johnson，“爱国者，”在1991年1月29日的风险论坛上发布http://www.catless.com/risks/10.83.html#subj4.

Jonathan Weisman，“Patriot导弹似乎第二次动摇了;软件怀疑的故障，“华盛顿邮报》2003年3月26日。

布拉德利·格雷厄姆，《爱国者事件中的雷达探测》华盛顿邮报》，2003年5月8日。

迈克尔·威廉姆斯和威廉德利，“国防科学委员会关于爱国者制度表现的报告，”（华盛顿，D.C.:隶属于委员会收购，技术和物流，2005年）。

例如，在GMD中，质量保证是一个重要问题。看到大卫威尔曼，“400亿美元的导弹防御系统证明不可靠”《洛杉矶时报》2014年6月15日。http://www.latimes.com/nation/la-na-missile-defense-20140615-story.html#page=1撰写导弹指导技术所需的“默契识”已经历来是一个重要关注的源头;看唐纳德·麦肯齐，发明准确性：弹道导弹指导的历史社会学（剑桥，马：MIT Press，1990）。

美国政府责任办公室，“导弹防御：在实现收购目标和提高问责制方面的混合进展，2014年4月，P 16-17。

美国政府问责局警告说，美国对欧洲防御的方法，通过同时开发这些折衷的系统，正在增加该系统“将不能满足作战人员的需求，具有显著的潜在成本和进度增长后果”的风险。GAO，“导弹防御:欧洲分阶段自适应方法收购面临同步、透明和问责的挑战”(华盛顿特区:GAO, 2010)，第3页。有关北约主动分层战区弹道导弹防御(ALTBMD)的更多信息，以及协调其指挥和控制系统与个别成员国的努力，请参阅http://www.nato.int/nato_static/assets/pdf/pdf_2011_07/20110727_110727-mediafactsheet-altbmd.pdf.

小Sydney J. Freedberg，“信任，而不是技术，建立导弹防御对伊朗和朝鲜的大问题”，Ian E. Rinehart, Steven A. Hildreth, Susan V. Lawrence，国会研究服务报告，“亚太地区的弹道导弹防御:合作与反对”，2013年6月24日。/政治/ crs /核/ R43116.pdf

悉尼J.Freedberg Jr.“Trust，Not Tech，大问题建设导弹防御与vs.伊朗，朝鲜，“BreakingDefense.com，2014年5月29日，http://breakingdefense.com/2014/05/trust-not-tech-big-problem-building-missile-defenses-vs-iran-north-korea/

http://www.atlanticcouncil.org/events/past-events/missile-defense-in-the-asia-pacific

James E Goodby和Sidney D Drell，“对核威慑的再思考”(论文发表于“Reykjavik Revisited: Steps Towards a Free of Nuclear Weapons, Stanford, CA, 2007)。

有关这两个问题的讨论和进一步阅读的参考资料，请参阅金博宝正规网址Rebecca Slayton，重要的论据:物理学、计算和导弹防御，1949-2012，内部技术（剑桥，马：2013年MIT Press。

从历史上看，导弹防御软件的复杂性也使其容易出现进度延迟和成本超支的情况。

卡迪什证词，国防小组委员会，拨款委员会，国防部拨款，2003年5月1日。

汤姆·尚克(Thom Shanker)和埃里克·施密特(Eric Schmitt)，《拉姆斯菲尔德命令战争计划重做以加快行动》(Rumsfeld Orders War Plans Redone for Faster Action)，纽约时报，2002年。

丽贝卡计划是康奈尔大学朱迪思德和平与冲突研究所的朱迪思德和平研究所科技研究助理教授。她的研究审查了专家如何评估新技术的不同风险，以及他们的论据如何影响独特的组织和政治背景。她是算法的论据：物理，计算和导弹防御，1949-2012（MIT Press：2013），它比较了框架复杂技术 - 物理和计算机科学的两种不同方式 - 导致对风险的非常不同的理解与武器系统相关联。它还展示了计算机科学家如何建立纪律的曲目定量规则，编纂的知识和其他评估工具 - 使他们能够构建关于复杂软件的权威论点，并在政治过程中分析“坚持”。

斯塔顿赢得了博士学位。2002年哈佛大学的物理化学，并在马萨诸塞术学院的科学，技术和社会方案中完成了博士后培训。她还从斯坦福大学举办了来自斯坦福大学的国际安全与合作中心的研究奖学金。她目前正在努力管理与“更智能”电网相关的经济，环境和安全相关的努力。