【电子取证篇】汽车取证数据提取与汽车取证实例浅析(附标准下载)

【电子取证篇】汽车取证数据提取与汽车取证实例浅析(附标准下载)

关键词:汽车取证,车速鉴定、声像资料鉴定、汽车EDR提取分析

汽车EDR一般记录车辆碰撞前后的数秒(5s左右)相关数据,包括车辆速度、发动机转速、油门和刹车位置、安全带使用情况、气囊打开情况等数据信息,取决于具体车型和制造商等因素---【蘇小沐】

文章目录

一、汽车取证相关知识点

汽车在智能化应用和信息化层面打造"车联网"概念。

1、什么是汽车OBD?汽车OBD定义

汽车OBD(On-Board Diagnostic System,OBD)即"车载诊断系统",用于监测和诊断车辆的状况。OBD系统的应用源于欧III排放标准。OBD是通过各种部件信息联接到"电控单元(ECU)",当汽车与控制系统有关的系统或相关部件发生故障时,由ECU中存储的DTC(故障码)会记录故障信息和相关代码,并通过故障灯发出警告来告知驾驶员。

传统的OBD装置监测多个系统和部件,包括发动机、催化转化器、颗粒捕集器、氧传感器、排放控制系统、燃油系统、GER等。如今,智能汽车的高速发展使得OBD延伸出更多更强大的功能出来,如:故障诊断系统、油量统计系统(获取车辆剩余油量信息)、胎压监测系统、安全预警系统、加速度测试系统、绿色行车报告功能、保养维护系统、车辆防盗系统(远程控制车锁开关、身份验证、启动、开启电动尾箱、断油防盗、升降车窗玻璃、中控锁、方向灯和喇叭、读取刹车系统和提供档位信息、车身振动报警和倒车信号获取、提供转向角位置信息等)、增值系统等应用功能。

ECU通过标准数据接口,保证对故障信息的访问和处理,通过OBD接口可以获取到丰富的行车电脑信息,例如车速、发动机转速、燃油消耗等数据信息。

2、什么是汽车EDR?汽车EDR定义

汽车EDR,即汽车事件数据记录系统(Vehicle Event Data Recorder System,EDR)。GB 39732-2020《汽车事件数据记录系统》中这样定义EDR:由一个或多个车载电子模块构成,具有监测、采集并记录碰撞事件发生前、发生时和发生后车辆和乘员保护系统的数据功能的装置或系统。

EDR控制器(EDR controller):用于监测、采集并记录碰撞事件发生过程中时间序列数据的车载电子模块。

EDR记录(EDR record):碰撞事件触发后,存储在一个或多个特定的记录EDR数据的ECU中的时间序列数据。

触发阈值(trigger threshold):达到EDR记录的条件。

锁定事件(locked event):满足锁定条件、不被后续事件覆盖的EDR记录的事件。

非锁定事件(unlocked event):不满足锁定条件,可被后续事件覆盖的EDR记录的事件。

时间零点(time zero):EDR系统确定的碰撞事件开始的时间点。

保护系统(protection system):用来约束乘员的内部安装部件及装置。

(一)EDR碰撞事件起点

碰撞事件起点(时间零点T。)应满足以下任意一项要求,如图2所示:

1、碰撞事件常用参考数据点

a)对于使用"唤醒"乘员保护控制算法的系统,T。为乘员保护控制算法被激活的时刻。

b)对于使用"连续运行"乘员保护控制算法的系统,T。为前碰/后碰事件在20ms时间区间内,纵向累计delta-V最早不小于0.8km/h的时刻;或侧碰事件在5ms时间区间内,横向累计delta-V最早不小于0.8km/h的时刻。如表1所示。

2、每个碰撞事件起点的阈值(连续运行乘员保护控制算法)

c)一个不可逆约束装置展开的起始时刻。

d)如果EDR功能不由气囊控制器实现,则应以b)作为碰撞事件起点。

e)气囊的二级(或更高级)点爆不应作为碰撞事件起点,也不应触发另一个EDR记录。

f)如果采用c)作为碰撞事件起点,则不可逆约束装置展开前的碰撞事件数据也应被采集并记录。

注:"唤醒"乘员保护控制算法,指乘员保护控制算法在满足一定条件被激活之后开始运行:"连续运行"乘员保护控制算法,指乘员保护控制算法上电即开始运行。

(二)EDR碰撞事故终点

碰撞事件终点(T end)应满足以下要求:

a)对于"唤醒"乘员保护控制算法,T end为乘员保护控制算法自身重置的时刻。如果直至记录周期的终点,该条件还未满足,T end可被定义为最后记录的数据点的时刻。

b)对于"连续运行"乘员保护控制算法,T end为在20ms时间区间内,累计的纵向和横向(如果被记录)delta-V最早小于0.8km/h的时刻。如果直至记录周期的终点,该条件还未满足,T end可被定义为最后记录的数据点的时刻。

c)如果EDR功能不由气囊控制器实现,则应以b)作为碰撞事件终点。

(三)碰撞事件持续时间

碰撞事件持续时间为碰撞事件起点(T。)和碰撞事件终点(T end)之间的时间区间。

【注:碰撞事件的持续时间可能超过EDR的时间记录能力。】

(四)EDR数据记录要求

EDR记录的数据元素按照以下要求分成两级:

A级数据元素:配备EDR系统的车辆应记录的数据。A级数据元素的名称、最小记录区间、最小记录频率及数据说明见表2。


B级数据元素:配备EDR系统的车辆且配备了相关装置或具有相关功能时应记录的相关数据。B级数据元素的名称、最小记录区间、最小记录频率及数据说明见表3。




(五)EDR记录功能要求

存储介质要求:EDR数据应记录在非易失性存储器中。(所以不用担心断电之后就没有数据的问题)。

EDR触发要求:当车辆达到规定的触发阈值时,EDR控制器应触发记录数据,并应满足相应试验要求。【当车辆达到规定的触发阈值时,EDR控制器应触发记录数据,也可能会出现达到触发条件,但EDR没能触发记录数据或记录数据出现问题的情况】

存储事件次数要求:EDR系统应至少能记录连续三次碰撞事件数据,并应满足相应试验要求。

存储覆盖机制要求:如果EDR系统没有足够空间记录一个事件,当前事件数据应覆盖之前非锁定事件数据,但均应按照时间顺序依次覆盖;对于锁定事件数据,不应被后续事件的数据覆盖。并应满足相应试验要求。对于非锁定事件,允许制造商设置其他的存储覆盖机制。

断电存储要求:在碰撞发生过程中,如车内供电回路由于碰撞事件导致无法正常供电,EDR系统自身应具有供电能力,此供电能力应满足在单一方向发生碰撞的情况下,当所有相关点火回路(如具备)在断电后(150±10)ms内全部展开时,EDR系统应至少能满足记录T。之前的全部数据和T。到断电之后(150±10)ms的数据的需要,并应满足相应试验要求。

(六)EDR数据提取要求

【总体要求:事件发生后,EDR记录的数据应能被提取,且应防止数据被篡改或删除。】

【总体要求:事件发生后,EDR记录的数据应能被提取,且应防止数据被篡改或删除。】

【总体要求:事件发生后,EDR记录的数据应能被提取,且应防止数据被篡改或删除。】

具体的数据元素格式参照:GB 39732-2020《汽车事件数据记录系统》附录A。

二、汽车EDR数据分析与车速对比分析

在事故分析中,汽车EDR数据的分析有助于还原事故时间段车辆碰撞前后的状态、车速、加速度等车辆自身的一些状态数据信息,但并不会记录事故时间段的外界的视频图像等信息。为了更好的还原事故时间段车辆的外界信息,通常需要结合事故时间段的声像资料,如事故时间段的道路监控视频、自身行车记录仪声像视频资料、外界车辆行车记录仪声像视频资料等相关证据进行综合分析判断。

(一)汽车EDR数据提取分析【浅析】

汽车可以启动的情况下,可以直接使用设备连接OBD接口至事故车辆进行数据提取,或者将轿车安全气囊控制模块通过专用线束接入EDR数据读取系统,读取轿车安全气囊模块中记录的数据。

1、事件确认

轿车安全气囊控制模块记录的数据显示,该车安全气囊模块中记录了"3"个事件,车辆读取数据时的上电周期3405次(车辆识别代号:xxx),事件1、事件2、事件3记录事件的上电周期均为3403次。根据事故发生事件(2023-xx-xx xx:xx:21)以及事件前同步计时时间,事件记录顺序为事件3、事件2、事件1。

2、车辆行驶数据随时间变化关系图

本次汽车EDR记录的信息主要包括事故车速、行车制动状态、加速踏板位置、节气门开度、转向角度等。

根据事件3记录的行驶数据,轿车在碰撞前5秒,行驶速度为137km/h,加速踏板开度9%,未开启行车制动;在碰撞前2.5秒,行驶速度为142km/h,加速踏板开度46%,未开启行车制动;在碰撞前1.5秒,行驶速度为142km/h,加速踏板开度0%,未开启行车制动;在碰撞前1秒,行驶速度为138km/h,加速踏板开度0%,开启行车制动;在碰撞时,行驶速度为102km/h,加速踏板开度0%,开启行车制动。因此,"xxx"小型轿车在事故发生前(开始制动前)的行驶速度为142km/h。

3、事件车速随时间变化曲线
4、事件加速踏板位置随时间变化曲线
5、事件节气门开度随时间变化曲线
6、事件转向角度随时间变化曲线

(二)视频车速计算对比分析【简析】

提取道路监控视频(调取)/行车记录仪的数据(通常是SD卡),及时提取数据镜像,进行数据分析。

在实际车辆事故案件中,行车记录仪的数据最容易遭到破坏,常见如:删除事故发生段的视频图像、修改剪辑事故段视频、全盘擦除、全盘格式化、数据填充覆盖(有意或无意)、格式化等。做数据恢复时,很多恢复出来的数据都是碎片,或受损无法播放,此时,应该尽量尝试修复受损的视频,抢救数据。

根据事故视频的属性,检验相关信息后,选取特征点、参照物等计算出事故视频时间段的车辆速度。

1、选取特征点等数据

根据事故视频的帧速率f,计算每两帧图像间的间隔时间,设该时间为t,即t=1/f=1/25(单位为s);根据测量照片选取xxx特征点的距离为3.1m,设该距离为S,即S=3.1(单位为m);从视频画面中虚拟参照线与xxx始端重合开始,逐帧查看图像,当虚拟参照线与xxx终端重合时,设间隔的图像数为N,即N=2。

2、计算事故车车速

根据GA/T 1133-2014《基于视频图像的车辆行驶速度技术鉴定》中有关公式计算事故车通过道路参照线(即视频时间为xx时xx分18秒)的速度计算过程如下:

故视频中xxx事故车在事故发生前(视频时间为xx时xx分18秒)的行驶速度为139.5km/h。最后比对视频事故时间,和EDR提取出来的数据基本相同。

【注意:外界的视频时间不一定和事故时间段的时间完全对的上,取决于外界的系统环境因素影响,具体问题具体分析】

【注意:外界的视频时间不一定和事故时间段的时间完全对的上,取决于外界的系统环境因素影响,具体问题具体分析】

【注意:外界的视频时间不一定和事故时间段的时间完全对的上,取决于外界的系统环境因素影响,具体问题具体分析】

总结

汽车取证目前是通过专用设备连接汽车上的OBD等接口或者卸载下来的模块直接读取数据,并未能通过只读接口读取,所以无法像计算机取证那样只读,但手机取证也是直接通过专业设备读取,并非全只读。

在公众号【DFIR】后台回复关键词【汽车取证标准】即可打包下载汽车取证资源合集,如遇到链接失效请留言,看到后会及时更新。

【声明:欢迎转载引用,但需要注明出处,著作所有权归作者 [蘇小沐] 所有】

注:本文的标准文件来自国家标准全文公开系统、司法部或互联网公开材料,如有侵权,请联系删除!

参考资料【附】

GB 39732-2020《汽车事件数据记录系统》

GB-T 19056-2012《汽车行驶记录仪》

GA/T 1998-2022《汽车车载电子数据取证技术规范》

GA/T 1133-2014《基于视频图像的车辆行驶速度技术鉴定》

记录
开始编辑:2023 年 09 月 01 日
最后编辑:2023 年 11 月 30 日
相关推荐
sysin.org7 个月前
Oxygen Forensic Detective 16.0 Windows Multilingual - 一体化数字取证软件
电子取证·oxygen·计算机取证·数字取证·移动取证·forensic
admin and root8 个月前
【CTFshow 电子取证】套的签到题
网络安全·php·电子取证·ctf·流量包分析
蘇小沐8 个月前
【视频图像取证篇】模糊图像增强技术之锐化类滤波场景应用小结
电子取证·模糊图像增强·视频图像取证
是toto10 个月前
CentOS基于volatility2的内存取证实验
linux·centos·电子取证·内存取证·volatility
小信瑞1 年前
信息保障和数字取证:不断深化的关系
大数据·电子取证·证据收集·取证软件·电子数据展示·ediscovery·电子发现
小信瑞1 年前
OpenText EnCase 客户案例——哥伦比亚总检察长办公室建立值得信赖的司法警察服务
大数据·电子取证·证据收集·数据收集·证据完整性·公共安全·证据分析软件
小信瑞1 年前
OpenText EnCase Mobile Investigator 查看、分析和报告被调查手机的证据
智能手机·电子取证·证据收集·移动端证据收集·手机数据收集·证据挖掘
PICACHU+++1 年前
Windows与Linux取证分析
linux·服务器·windows·网络安全·渗透测试·电子取证