SH Nr. 44: Änderungsanweisungen in Bezug auf Drohnenkomponenten
Im Zuge der Sicherheitsuntersuchung über den Unfall der Drohne Matternet M2 V9, SUI-9903, vom 9. Mai 2019, bei Zürich (ZH), hat die Schweizerische Sicherheitsuntersuchungsstelle (SUST) ein Sicherheitsdefizit identifiziert und in ihrem Schlussbericht Nr. 2390 u. a. den Sicherheitshinweis SH Nr. 44 ausgesprochen.
Zielgruppe(n)
Hersteller von Drohnenkomponenten und zugehöriger Software
Sicherheitshinweis
Hersteller von Drohnen und Drohnenkomponenten sollten sicherstellen, dass Änderungsanweisungen (Service Bulletin – SB) in Bezug auf Drohnenkomponenten oder deren zugehörigen Software übersichtlich aufgeführt, mit einer Kennung und einem Ausgabedatum versehen werden und der zeitliche Verlauf allfälliger Revisionen für den Betreiber erkennbar ist. Ebenso sollte eine zeitnahe Kommunikation an die betroffenen Betreiber sichergestellt werden.
Sicherheitsdefizit
Rund eine Minute nach dem Start bei der Universität Zürich (UZH) Irchel löste die Drohne M2 V9 automatisch das Flugabbruchsystem (Flight Termination System – FTS) aus und leitete eine Notlandung ein. Nach dem Ausstossen des Fallschirms riss die Verbindungsleine, und die Drohne schlug ungebremst auf den Waldboden auf und wurde zerstört.
Wie die Untersuchung zeigte, war die angewandte Firmware des Flugreglers auf Basis des Softwarestandes ArduCopter 3.5.0-rc5 lediglich in der Lage, zwei der drei zur Verfügung stehenden Trägheitsmesseinheiten (Inertial Measurement Units – IMU) zur Flugsteuerung der Drohne zu verwenden. Dadurch fehlte der Software des Flugreglers die als Resilienz bezeichnete Fähigkeit, bei Störungen oder bei Ausfällen einzelner Komponenten nicht vollständig auszufallen, sondern die Steuerung der Drohne aufrechtzuerhalten.
Erst ab der Software-Version 3.6.12 konnte diese Resilienz mit der entsprechenden Konfiguration des sicherheitskritischen Parameters («EK2_I-MU_MASK = 7»), wie dies in einem Diskussionsforum des Herstellers des Flugreglers als Service Bulletin SB 0000002 publiziert wurde, erlangt werden.
Zu einem späteren Zeitpunkt schrieb der Hersteller vor, dass "All Copter users to be on at least ArduCopter 4.x and SB2 parameters, regardless of cube age.", zu Deutsch: «Alle Copter-Nutzer müssen mindestens ArduCopter 4.x und SB2-Parameter verwenden, unabhängig vom Alter des Cube [d.h. des Flugregels].» (vgl. https://discuss.cubepilot.org/c/MSB/16, ohne Angabe eines Herausgabedatums).