【电子取证篇】汽车取证数据提取与汽车取证实例浅析（附标准下载）

【电子取证篇】汽车取证数据提取与汽车取证实例浅析（附标准下载）

关键词：汽车取证，车速鉴定、声像资料鉴定、汽车EDR提取分析

汽车EDR一般记录车辆碰撞前后的数秒（5s左右）相关数据，包括车辆速度、发动机转速、油门和刹车位置、安全带使用情况、气囊打开情况等数据信息，取决于具体车型和制造商等因素—【蘇小沐】

一、汽车取证相关知识点

汽车在智能化应用和信息化层面打造"车联网"概念。

1、什么是汽车OBD？汽车OBD定义

汽车OBD（On-Board Diagnostic System，OBD）即"车载诊断系统"，用于监测和诊断车辆的状况。OBD系统的应用源于欧III排放标准。OBD是通过各种部件信息联接到"电控单元（ECU）"，当汽车与控制系统有关的系统或相关部件发生故障时，由ECU中存储的DTC(故障码)会记录故障信息和相关代码，并通过故障灯发出警告来告知驾驶员。

传统的OBD装置监测多个系统和部件，包括发动机、催化转化器、颗粒捕集器、氧传感器、排放控制系统、燃油系统、GER等。如今，智能汽车的高速发展使得OBD延伸出更多更强大的功能出来，如：故障诊断系统、油量统计系统（获取车辆剩余油量信息）、胎压监测系统、安全预警系统、加速度测试系统、绿色行车报告功能、保养维护系统、车辆防盗系统（远程控制车锁开关、身份验证、启动、开启电动尾箱、断油防盗、升降车窗玻璃、中控锁、方向灯和喇叭、读取刹车系统和提供档位信息、车身振动报警和倒车信号获取、提供转向角位置信息等）、增值系统等应用功能。

ECU通过标准数据接口，保证对故障信息的访问和处理，通过OBD接口可以获取到丰富的行车电脑信息，例如车速、发动机转速、燃油消耗等数据信息。

2、什么是汽车EDR？汽车EDR定义

汽车EDR，即汽车事件数据记录系统（Vehicle Event Data Recorder System，EDR）。GB 39732-2020《汽车事件数据记录系统》中这样定义EDR：由一个或多个车载电子模块构成，具有监测、采集并记录碰撞事件发生前、发生时和发生后车辆和乘员保护系统的数据功能的装置或系统。

EDR控制器（EDR controller）：用于监测、采集并记录碰撞事件发生过程中时间序列数据的车载电子模块。

EDR记录（EDR record）：碰撞事件触发后，存储在一个或多个特定的记录EDR数据的ECU中的时间序列数据。

触发阈值（trigger threshold）：达到EDR记录的条件。

锁定事件（locked event）：满足锁定条件、不被后续事件覆盖的EDR记录的事件。

非锁定事件（unlocked event）：不满足锁定条件，可被后续事件覆盖的EDR记录的事件。

时间零点（time zero）：EDR系统确定的碰撞事件开始的时间点。

保护系统（protection system）：用来约束乘员的内部安装部件及装置。

（一）EDR碰撞事件起点

碰撞事件起点(时间零点T。)应满足以下任意一项要求，如图2所示：

1、碰撞事件常用参考数据点

a)对于使用"唤醒"乘员保护控制算法的系统，T。为乘员保护控制算法被激活的时刻。

b)对于使用"连续运行"乘员保护控制算法的系统，T。为前碰/后碰事件在20ms时间区间内，纵向累计delta-V最早不小于0.8km/h的时刻；或侧碰事件在5ms时间区间内，横向累计delta-V最早不小于0.8km/h的时刻。如表1所示。

2、每个碰撞事件起点的阈值（连续运行乘员保护控制算法）

c)一个不可逆约束装置展开的起始时刻。

d)如果EDR功能不由气囊控制器实现，则应以b)作为碰撞事件起点。

e)气囊的二级（或更高级）点爆不应作为碰撞事件起点，也不应触发另一个EDR记录。

f)如果采用c)作为碰撞事件起点，则不可逆约束装置展开前的碰撞事件数据也应被采集并记录。

注："唤醒"乘员保护控制算法，指乘员保护控制算法在满足一定条件被激活之后开始运行："连续运行"乘员保护控制算法，指乘员保护控制算法上电即开始运行。

（二）EDR碰撞事故终点

碰撞事件终点(T end)应满足以下要求：

a)对于"唤醒"乘员保护控制算法，T end为乘员保护控制算法自身重置的时刻。如果直至记录周期的终点，该条件还未满足，T end可被定义为最后记录的数据点的时刻。

b)对于"连续运行"乘员保护控制算法，T end为在20ms时间区间内，累计的纵向和横向（如果被记录）delta-V最早小于0.8km/h的时刻。如果直至记录周期的终点，该条件还未满足，T end可被定义为最后记录的数据点的时刻。

c)如果EDR功能不由气囊控制器实现，则应以b)作为碰撞事件终点。

（三）碰撞事件持续时间

碰撞事件持续时间为碰撞事件起点(T。)和碰撞事件终点(T end)之间的时间区间。

【注：碰撞事件的持续时间可能超过EDR的时间记录能力。】

（四）EDR数据记录要求

EDR记录的数据元素按照以下要求分成两级：

A级数据元素：配备EDR系统的车辆应记录的数据。A级数据元素的名称、最小记录区间、最小记录频率及数据说明见表2。

B级数据元素：配备EDR系统的车辆且配备了相关装置或具有相关功能时应记录的相关数据。B级数据元素的名称、最小记录区间、最小记录频率及数据说明见表3。

（五）EDR记录功能要求

存储介质要求：EDR数据应记录在非易失性存储器中。（所以不用担心断电之后就没有数据的问题）。

EDR触发要求：当车辆达到规定的触发阈值时，EDR控制器应触发记录数据，并应满足相应试验要求。【当车辆达到规定的触发阈值时，EDR控制器应触发记录数据，也可能会出现达到触发条件，但EDR没能触发记录数据或记录数据出现问题的情况】

存储事件次数要求：EDR系统应至少能记录连续三次碰撞事件数据，并应满足相应试验要求。

存储覆盖机制要求：如果EDR系统没有足够空间记录一个事件，当前事件数据应覆盖之前非锁定事件数据，但均应按照时间顺序依次覆盖；对于锁定事件数据，不应被后续事件的数据覆盖。并应满足相应试验要求。对于非锁定事件，允许制造商设置其他的存储覆盖机制。

断电存储要求：在碰撞发生过程中，如车内供电回路由于碰撞事件导致无法正常供电，EDR系统自身应具有供电能力，此供电能力应满足在单一方向发生碰撞的情况下，当所有相关点火回路（如具备）在断电后（150±10）ms内全部展开时，EDR系统应至少能满足记录T。之前的全部数据和T。到断电之后(150±10）ms的数据的需要，并应满足相应试验要求。

（六）EDR数据提取要求

【总体要求：事件发生后，EDR记录的数据应能被提取，且应防止数据被篡改或删除。】

【总体要求：事件发生后，EDR记录的数据应能被提取，且应防止数据被篡改或删除。】

【总体要求：事件发生后，EDR记录的数据应能被提取，且应防止数据被篡改或删除。】

具体的数据元素格式参照：GB 39732-2020《汽车事件数据记录系统》附录A。

二、汽车EDR数据分析与车速对比分析

在事故分析中，汽车EDR数据的分析有助于还原事故时间段车辆碰撞前后的状态、车速、加速度等车辆自身的一些状态数据信息，但并不会记录事故时间段的外界的视频图像等信息。为了更好的还原事故时间段车辆的外界信息，通常需要结合事故时间段的声像资料，如事故时间段的道路监控视频、自身行车记录仪声像视频资料、外界车辆行车记录仪声像视频资料等相关证据进行综合分析判断。

（一）汽车EDR数据提取分析【浅析】

汽车可以启动的情况下，可以直接使用设备连接OBD接口至事故车辆进行数据提取，或者将轿车安全气囊控制模块通过专用线束接入EDR数据读取系统，读取轿车安全气囊模块中记录的数据。

1、事件确认

轿车安全气囊控制模块记录的数据显示，该车安全气囊模块中记录了"3"个事件，车辆读取数据时的上电周期3405次（车辆识别代号：xxx），事件1、事件2、事件3记录事件的上电周期均为3403次。根据事故发生事件（2023-xx-xx xx:xx:21）以及事件前同步计时时间，事件记录顺序为事件3、事件2、事件1。

2、车辆行驶数据随时间变化关系图

本次汽车EDR记录的信息主要包括事故车速、行车制动状态、加速踏板位置、节气门开度、转向角度等。

根据事件3记录的行驶数据，轿车在碰撞前5秒，行驶速度为137km/h，加速踏板开度9%，未开启行车制动；在碰撞前2.5秒，行驶速度为142km/h，加速踏板开度46%，未开启行车制动；在碰撞前1.5秒，行驶速度为142km/h，加速踏板开度0%，未开启行车制动；在碰撞前1秒，行驶速度为138km/h，加速踏板开度0%，开启行车制动；在碰撞时，行驶速度为102km/h，加速踏板开度0%，开启行车制动。因此，"xxx"小型轿车在事故发生前（开始制动前）的行驶速度为142km/h。

3、事件车速随时间变化曲线

4、事件加速踏板位置随时间变化曲线

5、事件节气门开度随时间变化曲线

6、事件转向角度随时间变化曲线

（二）视频车速计算对比分析【简析】

提取道路监控视频（调取）/行车记录仪的数据（通常是SD卡），及时提取数据镜像，进行数据分析。

在实际车辆事故案件中，行车记录仪的数据最容易遭到破坏，常见如：删除事故发生段的视频图像、修改剪辑事故段视频、全盘擦除、全盘格式化、数据填充覆盖（有意或无意）、格式化等。做数据恢复时，很多恢复出来的数据都是碎片，或受损无法播放，此时，应该尽量尝试修复受损的视频，抢救数据。

根据事故视频的属性，检验相关信息后，选取特征点、参照物等计算出事故视频时间段的车辆速度。

1、选取特征点等数据

根据事故视频的帧速率f，计算每两帧图像间的间隔时间，设该时间为t，即t=1/f=1/25（单位为s）；根据测量照片选取xxx特征点的距离为3.1m，设该距离为S，即S=3.1（单位为m）；从视频画面中虚拟参照线与xxx始端重合开始，逐帧查看图像，当虚拟参照线与xxx终端重合时，设间隔的图像数为N，即N=2。

2、计算事故车车速

根据GA/T 1133-2014《基于视频图像的车辆行驶速度技术鉴定》中有关公式计算事故车通过道路参照线（即视频时间为xx时xx分18秒）的速度计算过程如下：

故视频中xxx事故车在事故发生前（视频时间为xx时xx分18秒）的行驶速度为139.5km/h。最后比对视频事故时间，和EDR提取出来的数据基本相同。

【注意：外界的视频时间不一定和事故时间段的时间完全对的上，取决于外界的系统环境因素影响，具体问题具体分析】

【注意：外界的视频时间不一定和事故时间段的时间完全对的上，取决于外界的系统环境因素影响，具体问题具体分析】

【注意：外界的视频时间不一定和事故时间段的时间完全对的上，取决于外界的系统环境因素影响，具体问题具体分析】

总结

汽车取证目前是通过专用设备连接汽车上的OBD等接口或者卸载下来的模块直接读取数据，并未能通过只读接口读取，所以无法像计算机取证那样只读，但手机取证也是直接通过专业设备读取，并非全只读。

在公众号【DFIR】后台回复关键词【汽车取证标准】即可打包下载汽车取证资源合集，如遇到链接失效请留言，看到后会及时更新。

【声明：欢迎转载引用，但需要注明出处，著作所有权归作者 [蘇小沐] 所有】

【注：本文的标准文件来自国家标准全文公开系统、司法部或互联网公开材料，如有侵权，请联系删除！】

参考资料【附】

GB 39732-2020《汽车事件数据记录系统》

GB-T 19056-2012《汽车行驶记录仪》

GA/T 1998-2022《汽车车载电子数据取证技术规范》

GA/T 1133-2014《基于视频图像的车辆行驶速度技术鉴定》

记录
开始编辑：2023 年 09 月 01 日
最后编辑：2023 年 11 月 30 日