觀點

胡一天:軍火系統的安全幻覺

將武器管控流程由不同層級專人分管的設計,不見得能有效降低風險。


2016年3月17日,科西嘉島上,以北約成員國為主的軍事演習前,技術人員正在檢查戰機。
2016年3月17日,科西嘉島上,以北約成員國為主的軍事演習前,技術人員正在檢查戰機。攝:Pascal Pochard-Casabianca/AFP

編按:本文初稿原以〈我家後院有核彈〉為題,刊於作者臉書。在雄三飛彈誤射漁船,台灣社會各界關注軍火系統的安全性當下,《端傳媒》特邀請作者改寫增補,提供討論參照。

1980年的九月十八日,美國阿肯色州曾經發生過一次鮮為人知的「斷箭」事故:位於小岩城郊外77公里的大馬士革鎮的一處戰略核武基地於例行維修時,工程師疏忽掉落扳手,擊中了位於發射井中的泰坦二號洲際導彈的外殼,導致液體燃料外洩,最後引爆了導彈的推進火箭。導彈上搭載的九百萬噸當量 W-53 氫彈頭被炸出發射井外30米,多虧彈頭內的安全系統正常運作而未能引爆。

九百萬噸的氫彈的摧毀力,約略等於二次大戰時所有炸彈(包括廣島與長崎的兩枚核彈)的三倍。倘使那枚彈頭不幸爆炸,阿肯色州將蒙受巨大損失,當時的州長柯林頓亦恐怕無法在十二年後入主白宮,人類核災史也將寫下一筆新紀錄。

層出不窮的核武危安事故

像這樣的核安事故究竟有多偶然?以調查報導著名的美國記者艾利克・施勞瑟(Eric Schlosser)透過深入研究解密的美國政府檔案,在其著作 Command and Control: Nuclear Weapons, the Damascus Accident and the Illusion of Safety(指揮與管制:核武、大馬士革事故與安全的幻覺)指出,美國自二戰結束到冷戰結束期間,險些意外引爆核武的危安事故層出不窮,僅僅在1950年代就至少發生了87次。

有些意外發生的情境令人匪夷所思:1958年,一架載有氫彈的B-47轟炸機組員不慎拉動了投彈的把手,導致該枚並未裝載核心的氫彈墜落至北卡羅納州一間民宅的後院,引爆了設計引發連鎖反應的高爆炸藥,把該間民宅炸成一個十公尺的大洞。

1961年,在肯尼迪(甘迺迪)總統就職三天後,一架載有兩枚四百萬噸當量氫彈的B-52轟炸機在空中解體,意外將兩枚氫彈在北卡羅萊那州上空釋出。其中一枚被控制系統誤認為有意向敵方攻擊而武裝,最後幸運地因為彈頭內電路故障而未引爆。另一枚雖然安全墜落在一片泥濘地,但是其鈾核心卻陷入地底二十公尺,未能尋獲。倘使任何一枚引爆,致命的輻射塵將擴散到首都華盛頓與紐約市,對北美農產區乃至全球糧食安全所造成的衝擊,令人不敢設想。

1962年,一架U-2偵察機從阿拉斯加迷航至蘇聯領空,美方旋即派出 F-102 機隊起飛搜尋並提供保護。由於時值古巴危機,美蘇雙方都處於高度戰備狀態,F-102 也配備了裝載核子彈頭的隼式飛彈。雖然理論上飛行員需要總統命令方可發射飛彈,但依當時的機艙設計,飛行員仍可逕行發射飛彈攻擊升空攔截的蘇聯戰機。根據美國當時的戰略核武統一作戰計劃(Strategic Integrated Operational Plan, SIOP),倘若美蘇領導人意外誤判局勢而發射核武,相互保證摧毀(Mutually Assured Destruction, MAD)肯定發生──人類的第四次世界大戰恐怕只能用石塊與木棍來打。

如何確保國防體系不會因為誤判局勢導致世界毀滅,就因此成為美國針對核武危安控管機制的新一輪省思重點。

在安全與戰力間的設計兩難

古巴危機之後,時任白宮科技顧問的 Jerome Wiesner 博士在向肯尼迪總統提報核武管制程序時指出,分散存放在北約盟軍基地的7000餘枚核武,因為指揮控管機制的鬆散,「誤爆」的風險極高。

Wiesner 舉例,在某西德空軍機場的快速反應轟炸機上,搭載了一名西德籍飛行員與一枚已上膛的核彈,跑道上唯一的監控機制,竟只是一名孤單的十八歲哨兵。萬一該飛行員突然暴衝升空,不論是突然發瘋或是收到來自德軍繞過北約司命部的命令,該名哨兵的反制措施除了開槍把該飛行員擊斃之外,就是向該枚核彈開槍。

如此缺乏通盤規劃的維安程序,促成了俗稱「肯尼迪備忘錄」(National Security Action Memo No. 160)的指導文件,要求所有北約盟軍基地中的核武,不論國籍一律納入美軍管制。因應此一命令,軍火專家亦提出許多高科技密碼鎖解決方案,只有美國總統與其法定繼位人有開鎖扣扳機的密碼。

這是一項技術難題:一來,其除了需要將密碼,安全地存入大量分散儲存的核武彈頭,這構成技術上的挑戰。二來,當美國戰略核武防禦準則從大規模報復,轉為有限度回擊之後,核武控管系統的設計要求,就轉變成選擇性武裝某些核武,而非迅速武裝與發射所有彈頭。而在白宮與紅場的熱線建立後,在緊要關頭解除武裝的密碼,以及各式各樣的雙重認證、密碼分享、與Failsafe授權機制,更形重要。

嚴密程序,仍無法杜絕人因風險

關於核安的教科書與作戰準則都會指出,人因風險是最難以預防的系統風險。許多政策制定者天真地以為,把一個安全檢查流程分成六個獨立步驟,每個步驟出錯的機率假設是十分之一,那麼理論上六個步驟都出錯的機率就是百萬分之一。然而再嚴密的指揮與管制程序,也無法避免人性弱點所造成的風險。因為人會偷懶、卸責、便直行事、假設別人會把工作搞定,從而令鑄成大錯的機率陡升。

2007年10月美國曾經發生過一次六枚氫彈迷航的烏龍事件:一架原定自北達科他州飛往路易斯安那州的運輸機錯誤地裝載了六枚氫彈──因為儲彈庫的人員掌握的彈頭清單並不準確,基地地面組員沒等到檢查完畢就讓飛彈裝箱,也沒有從檢視窗中確認裝的是實彈還是啞彈,運箱車司機也沒有向兵器管制中心再次確認,飛行員在起飛前檢查時也沒有注意到貨倉中載有實彈。運輸機起飛,降落,在無人看管的機場跑道上靜靜地停了九個小時,直到地面組員卸貨時才赫然發現機上有六枚氫彈。

這次事件證明了:將武器管控流程由不同層級專人分管的設計,不見得能有效降低風險。關鍵是可接受的機率是多低:千萬分之一?億萬分之一?核武是一個高度複雜的系統,一旦出現失誤,啟動後的連鎖反應無法逆轉。隨著核武數量增加,若將時間拉長,人為因素導致危安事故發生的機率,幾乎是百分之百。

對冷戰時期的美蘇與當今所有核武大國而言,核武的指揮與管制是一項「永遠/絕不」的兩難(Always/ Never Dilemma):核武在戰時必須「永遠」引爆,但在平時「絕不」引爆。這意味著核武系統不能被設計的太安全,但也不能容許過高的誤爆風險。確保承受第一次核武打擊後的反擊能力,或許是系統設計的必要之惡,但如果領導人像「奇愛博士」般喪心病狂,引爆全世界恐懼的總和,這種意外一旦發生,掌控可以毀滅地球數百次的核武大國能否懸崖勒馬?

歷史證明,領導人的良知與道德勇氣並不足恃,但又不可不恃。這恐怕是人性中無解的困局。我們只能希望在世界末日之前,人類能夠進化的聰明一點。

(胡一天,Kyber Capital 創辦人暨執行長)

2017 年 7 月,端傳媒啟動了對深度內容付費的會員機制。在此之前刊發的深度原創報導,都會免費開放,歡迎轉發,也期待你付費支持我們

如果你喜歡,就分享給更多人吧