System Patriot miał ich chronić. Przez prosty błąd zginęło 28 Amerykanów

Podczas I wojny w Zatoce Perskiej doszło do tragedii. 25 lutego 1991 r. błąd oprogramowania systemu Patriot doprowadził do śmierci 28 amerykańskich żołnierzy stacjonujących w Az-Zahranie w Arabii Saudyjskiej. Jak do tego doszło?

Podczas operacji Pustynna Burza iracki reżim Saddama Husajna zdecydował się ostrzeliwać terytorium Izraela oraz arabskich sojuszników USA za pomocą pocisków balistycznych krótkiego zasięgu (SRBM) Scud i ich lokalnych modyfikacji pokroju pocisków Al Hussein.

W celu ochrony kluczowych obiektów cywilnych oraz militarnych USA rozmieściły na terenie swoich sojuszników baterie systemu Patriot, które - warto zaznaczyć - zostały pierwszy raz w historii przeznaczone do zwalczania pocisków balistycznych poruszających się z prędkością Mach 5 (6,2 tys. km/h), do czego nie zostały zaprojektowane.

System MIM-104A Patriot zyskał wstępną gotowość operacyjną w US Army w 1984 r. i zastąpił wcześniejsze systemy średniego zasięgu MIM-23 Hawk. Pierwotnie Patriot był projektowany jako mobilny system do zwalczania wtedy jeszcze radzieckich, a dzisiaj rosyjskich samolotów wojskowych poruszających się z prędkością ok. Mach 2 (2,5 tys. km/h).

Dalsza część artykułu pod materiałem wideo

25 lutego 1991 r. Patriot działający w Az-Zahranie w Arabii Saudyjskiej podczas operacji Pustynna Burza nie zdołał wyśledzić i przechwycić nadlatującego Scuda, który uderzył w amerykańskie koszary, zabijając 28 żołnierzy. Ta sytuacja była początkowo szokiem dla US Army i dość szybko amerykańskie władze zleciły agencji General Accounting Office (GAO) opracowanie raportu wyjaśniającego przyczyny tej tragedii.

Dochodzenie wykazało, że problem dotyczył błędu oprogramowania w komputerze kierowania ogniem systemu Patriot, który był już znany przed tragedią. Dotyczył on działania systemu namierzania celu. Nie jest to pierwszy przypadek śmierci w wyniku błędów oprogramowania, które potrafią nawet sprzęt medyczny zamienić w śmiercionośną maszynę.

Radar Patriota w pierwszej fazie wykrywa nadlatujący obiekt, w drugiej następuje jego klasyfikacja na podstawie np. prędkości lotu, a w trzeciej specjalny algorytm oblicza na podstawie ostatniego odbicia fal radiolokacyjnych i prędkości obiektu przewidywany obszar przestrzeni powietrznej, w której ten powinien się chwilę później znajdować. Radar przeszukuje wtedy wyłącznie ten obszar i natychmiast po wykryciu obiektu, jeśli znajduje się on w zasięgu, następuje odpalenie pocisku z jednej z sześciu wyrzutni (standard dla US Army).

Tutaj pojawia się kluczowa kwesta obliczania czasu rzeczywistego, z czym 24-bitowy komputer Patriota miał problem w przypadku długotrwałego działania. Zastosowany konwerter czasu systemowego do rzeczywistego ze względu na ograniczenia zapisu czasu (mamy tylko 24 bity) powoduje powstawanie błędu, który staje tym większy, im dłużej działa system.

Pierwsze informacje o problemie trafiły do Biura Projektu Patriot 11 lutego 1991 r. z Izraela i przedstawiały 20-procentowe przesunięcie centralnego punktu obszaru zestrzelenia po ośmiu godzinach pracy systemu. Ten fakt istotnie wpływa na śledzenie celu, który powinien się optymalnie znajdować w centrum obliczonego obszaru dla największej skuteczności zestrzeleń.

Biuro Projektu Patriot odpowiedziało Izraelowi, że system nie będzie w stanie zestrzelić pocisku SCUD, jeśli przesunięcie wyniesie przynajmniej 50 proc. lub więcej, co wymagałoby co najmniej 20 godzin ciągłej pracy systemu Patriot.

Uznano, że aż ośmiogodzinne interwały pracy to specyfika Izraela i inni użytkownicy systemu Patriot tak długo ich nie używają. Warto tutaj zaznaczyć, że tylko Izrael wykorzystywał rejestratory pracy systemów Patriot, podczas gdy Amerykanie tego nie robili w obawie o nieautoryzowane wyłączenie systemu. Z tego powodu w Izraelu problem był kontrolowany, ponieważ po ośmiu godzinach pracy lub częściej dokonywano restartu komputera (trwającego 60-90 sekund), co zerowało błąd.

Podjęto jednak decyzję o modyfikacji oprogramowania, którego nowa wersja została wydana 16 lutego 1991 r., a 21 lutego Biuro Projektu Patriot wysłało wiadomość do użytkowników z ostrzeżeniem o problemie w przypadku długotrwałego używania systemów Patriot, ale bez konkretów w postaci zastrzeżenia, że nie należy ich używać np. dłużej niż osiem godzin.

Tymczasem, jak wykazało dochodzenie GAO, system Patriot rozlokowany w Az-Zahranie działał bez przerwy aż 100 godzin, przez co po prostu błąd był na tyle duży, że iracki Scud został całkowicie zignorowany. Już w przypadku 20-godzinnej pracy błąd wynosił 0,0687 sekundy, co przekładało się na odchylenie centrum obszaru zestrzelenia o 137 m, a w przypadku baterii z Az-Zahranu mowa o 0,3433 sekundy i 687 metrach.

Ponadto, co ciekawe, najnowsza wersja oprogramowania została dostarczona na miejsce dzień po tragedii, a opóźnienia wynikały z konieczności zapewniania technikom bezpiecznego transportu w warunkach wojennych. Z kolei sama aktualizacja wyłączała z akcji baterię Patriota na pół godziny, a jak przyznaje Biuro Projektu Patriot , pomiędzy sierpniem 1990 r. a lutym 1991 r. dokonano sześciu aktualizacji oprogramowania dostosowującego systemy Patriot do tamtejszego teatru działań.

Po wypadku Biuro Projektu Patriot wprowadziło nowe procedury oraz modyfikacje w oparciu o doświadczenia zdobyte podczas Pustynnej Burzy. Po pierwsze, poprawiono kwestię monitoringu systemów i procesu ich aktualizacji, a po drugie wprowadzono nowe procedury testowe dla nowszych wariantów rozwojowych.

Obejmowały one zwalczanie celów pokroju pocisków manewrujących i balistycznych, dodano też test długotrwałego działania. Przykładowo Polska zakupiła najnowszą wersję, znacznie przewyższającą to, co obecnie jest wykorzystywane w USA bądź trafiło do Ukrainy.

Warto też zaznaczyć, że systemy Patriot wyprodukowane lub zmodernizowane po 2013 r. mają też nowy komputer główny o nieporównywalnie większej mocy obliczeniowej w porównaniu od opisywanej tutaj jednostki 24-bitowej charakteryzującej się taktowaniem 6 MHz.