孙 奕,李 岩,沈长达,郭 弘,黄志炜,毛 晓,李致君
(1.厦门市美亚柏科信息股份有限公司,福建 厦门361008; 2.司法鉴定科学研究院 上海市司法鉴定专业技术服务平台 司法部司法鉴定重点实验室,上海200063)
2021 年4 月,上海车展上一位特斯拉车主由于刹车失灵发生事故而维权,同年8 月,“美一好”创始人林某某驾驶开启自动驾驶功能的蔚来汽车与正在作业的工程车相撞身亡。上述公众关注度较高的案件中均提及了汽车电子数据鉴定,并将鉴定过程作为证明事实的关键环节。 随着我国城市建设的高速发展和人民生活水平的日益提高,汽车已经逐渐成为人们日常生活中不可或缺的一部分。 根据公安部公布的数据,截至2021 年9 月,全国机动车保有量高达3.9 亿辆,其中汽车2.97 亿辆,全国机动车驾驶人高达4.76 亿,其中汽车驾驶人有4.39 亿。 与此同时,在新能源造车企业的带动下,随着车联网、自动驾驶等技术的广泛应用,汽车的智能化水平迅速提高,其中包含的电子数据种类和数量均显著增长。
20 世纪70 年代,美国通用公司在汽车中安装了用于记录碰撞时安全气囊数据的装置,汽车中的电子数据发展起源于该装置,是事件数据记录系统(Event Data Recorder,EDR)的雏形。 通过在此基础上不断扩充完善,于20 世纪90 年代基本形成了现代EDR。 2006 年美国国家公路交通安全管理局(NHTSA)将 EDR 写入法规中,我国于 2017 年颁布的GB 7258—2017《〈机动车运行安全技术条件〉国家标准第2 号修改单》强制要求自2022 年1 月1 日起新生产的机动车辆都应配备符合GB 39732—2020《汽车事件数据记录系统》,或者符合GB/T 38892—2020《车载视频行驶记录系统》。 目前,EDR作为不可或缺的汽车组件,已成为汽车中关键的电子数据来源。
在信息技术飞速发展和交通管理水平显著提高的背景下,公共交通车辆、出租车、大型货车、危险物质运输车辆以及新能源汽车上的车载电子设备种类和数量均有较大提升。 20 世纪70 年代,欧盟、日本等国家就开始以立法形式在部分客运车辆及货车上强制安装使用汽车行驶记录仪。 我国自20世纪80 年代后期开始研制使用汽车行驶记录仪,2003 年9 月1 日开始实施推荐性国家标准GB/T 19056—2003 《汽车行驶记录仪》。 自 2004 年 7 月起,汽车行驶记录仪开始在全国营运客车车辆上逐步推广应用。 与此同时,行车记录仪、娱乐系统、导航系统、T-Box 等新型设备也出现在各类车辆上,使得汽车从单纯的交通运输工具逐步演变为一个可移动的智能空间,且其所承载的数据也更为丰富和复杂,蕴含更大的证据价值。
汽车电子数据鉴定的第一类需求是事故调查,即确定交通事故的原因和责任。 在涉及人的层面,主要关注驾驶人是谁、驾驶人在事发时是否有操作失误、驾驶人是否有违法违规行为(比如接打电话、使用手机、超速、疲劳驾驶、随意停车等);在涉及车的层面,主要关注车辆的刹车、转向等控制系统是否正常运作、车上的传感器是否正常工作、行车记录仪是否录制了事发时的画面等;其他层面的关注点主要包括车辆起火原因、周围的行人、障碍物位置和状态等。 第二类需求是根据电子数据查找操作痕迹或者溯源。 智能网联汽车面临被入侵的风险,如远程控制车辆并干扰驾驶、锁定车辆勒索钱财等都是以往罕见的犯罪行为。 事故的利益相关方可能采用删除、篡改数据或记录的方式来隐匿对自身不利的证据。 此外,通过篡改汽车的系统或数据以达到突破功能或安全性的限制, 或者通过篡改车辆识别号来“洗白”盗抢车辆,这些都可通过电子数据来溯源。第三类需求是对汽车电子数据的功能性鉴定,通常发生在侵权诉讼或者合规性审查中。 而自动驾驶系统的功能性鉴定将成为未来具有潜力的需求。
除了以上三类需求外,汽车电子数据在案件侦查和保险理赔中也有广泛的需求,例如提取汽车中的联系人和通话记录、蓝牙/Wi-Fi/USB 设备连接记录、被盗车辆的行驶轨迹,收集车辆驾驶人的语音、人像和操作习惯等信息。
2012 年,美国国家标准技术研究院(NIST)和联邦调查局(FBI)下属的数字取证科学工作组(SWGDE)发布了Best Practices for Vehicle Infotainment and Telematics Systems 标准,对于汽车电子数据的保全、处理、设备要求、提取和分析提出了系统性要求,该标准在2021 年发布了3.0 版本草案。 结合国内司法鉴定工作的实际需求,司法部于2020 年5 月正式发布并实施了司法行政行业标准《汽车电子数据检验技术规范》,这也是国内首个面向汽车电子数据检验与鉴定的标准。 该标准对汽车电子数据检验中所涉及的仪器设备、现场检验和实验室检验的基本流程要求进行了分类阐述。
目前,国际上知名度较高的汽车取证专用工具是博世(BOSCH)公司的CDR 和Berla 公司的iVe。由于上述工具的主要客户都是在海外市场,厂商前期对国内车型研究较少,对于中外合资及国产车型的支持有限,特别是暂无法支持特斯拉等较为瞩目的新兴品牌。 国内许多电子数据取证企业也在研发相关的本土化产品,但尚未打造形成完整的生态链。
汽车作为一个极为复杂的系统,整合了多个不同类型的子系统,其中负责在多个电子控制系统间进行数据传输的通信协议是车辆总线。 目前,应用最为广泛的车辆总线是博世公司开发的控制器局域网络(Cantroller Area Network, CAN)总线,其构成如图 1 所示。
图1 汽车CAN 总线结构
车辆总线连接了多个不同的子系统,这些子系统是汽车电子数据的主要来源。 另一种车辆数据交互方式是车联网(Internet of Vehicles,IoV)。 一个典型的车联网系统由主机、车载T-Box、手机APP 及后台系统四个部分构成,具体如图2 所示。 其中,车载T-Box 主要用于和后台系统/手机APP 通信,实现手机APP 的车辆信息显示与控制。 T-Box 通过4G/5G 远程无线通信、GPS 卫星定位、加速度传感器和CAN 通信功能,实现车辆远程监控、远程控制、安全监测和报警、远程诊断等多种在线应用。
图2 车联网架构
笔者现将汽车中主要的数据来源列举如下:
(1)电子控制单元(Electronic Control Unit,ECU),又称“行车电脑”“车载电脑”“电控单元”。 同普通的单片机一样,由微处理器(CPU)、存储器(ROM、RAM)、输入/输出接口(I/O)、模数转换器(A/D)以及整形、驱动等大规模集成电路组成。 常见的ECU 包括发动机管理系统(Engine Management System,EMS)、自动变速箱控制单元(Transmission Control Unit,TCU)、车身控制模块(Body Control Module,BCM)、车身电子稳定控制系统(Electronic Stability Program,ESP)、电池管理系统(Battery Management System,BMS)以及整车控制器(Vehicle Control Unit,VCU)。
汽车电控单元主要服务于汽车的行驶控制,通常存储容量较小,其中除了存储电控单元的基本信息外, 在电控单元发生故障时还会存储故障信息。以发动机控制单元为例,其存储的信息包括车架号、IBS 零件号、生产日期、编程数据以及故障码等信息。 此外,为了更好地改进车辆的排放水平,减少污染物的排放,国际标准针对排放系统提出故障检测的需求并提出冻结帧的概念,即当排放系统出现故障码时,ECU 也会同时存储出现故障码时的数据及相关参数,比如发生故障时的车速、时间等信息。
(2)EDR 是一种监控汽车数据记录的系统,整合于车辆气囊控制模块内部,用于记录车辆碰撞前(激活前或到触发条件)特定时间段内的车辆速度、发动机转速、油门踏板位置、制动踏板操作情况,以及车辆碰撞后一定时间段内的速度和加速度的变化情况。 EDR 数据记录内容通常包括以下几类:
①事件恢复时车辆的系统状态,数据包含车辆车架号、电脑零件号、设备供应商和事件恢复时车辆的点火周期等。
②发生事故时的系统状态,数据包含事件记录的完整情况、事故发生时的车辆点火周期、驾驶位和副驾驶位的安全带状态、安全气囊报警灯状态、事件数、水平车辆最大变化车速及时间、横向车辆最大变化车速及时间、事件发生时ECU 的供电电压等。
③气囊展开命令相关数据,数据包括驾驶员前部安全气囊展开指令及时间、乘客前部安全气囊展开指令及时间、驾驶员和乘客膝部安全气囊展开指令、左侧和右侧安全气囊及气帘展开指令。
④碰撞前5 s 数据,数据包括车速、加速踏板位置、发动机节气门百分比、刹车状态、发动机转速、ABS 状态、方向盘转角、四轮转速、四轮胎压及状态、定速巡航状态等。
⑤碰撞后数据,数据包括车辆横向和纵向速度变化量等。
(3)车载信息娱乐系统(In-Vehicle Infotainment,IVI),俗称“车机”,是利用车载专用中央处理器基于车身总线系统和互联网服务形成的车载综合信息处理系统。 目前,车辆所安装的车机能够实现包括导航、辅助驾驶、故障检测、车辆信息显示、车身控制、无线通信、在线娱乐以及与手机联动等一系列应用。 根据安装的时间点进行分类,车机可分为原装车机(也称前装车机)和加装车机(也称后装车机)。表1 列出了常见的车机类型和操作系统。原装车机系统一般都接入了车载CAN 总线中,因此可提取到车辆信息、状态信息(如开关门状态、座椅状态、油门踏板状态、刹车踏板状态)、车辆速度以及行驶里程等信息。加装车机通常无法接入车辆CAN总线,通常不会保存车辆的状态和传感器信息。 以目前最常见的基于Android 操作系统的加装车机为例,其硬件方案多数采用CPU+eMMC(Embedded Multi Media Card,嵌入式多媒体卡)架构。
表1 常见的车机系统及其平台
(4)行驶记录仪俗称汽车的“黑匣子”,是对车辆行驶速度、时间、里程以及有关车辆行驶的其他状态信息进行记录、存储,并可通过接口实现数据输出的数字式电子记录装置。 现阶段市面上安装使用的不同行驶记录仪产品具有多种形态,常见的产品形态包括普通汽车行驶记录仪、视频行驶记录仪和智能行驶记录仪。根据国家标准GB/T 19056—2012《汽车行驶记录仪》,行驶记录仪上存储的数据主要有行驶速度、位置记录信息、事故疑点(停车前20 s速度、位置、信号状态等)、超时驾驶记录、车辆行驶状态信号、总里程、驾驶员登录信息、记录仪供电信息等(设备应保存数据周期为7 d)。
(5)行车记录仪。 区别于根据国家规定强制安装的“行驶记录仪”,行车记录仪是车主或驾驶人为了避免事故纠纷等原因, 在车内安装的能够循环摄录行车过程影像的记录设备。 随着物联网和移动计算技术的发展,行车记录仪也从早期的单一摄录功能,发展为集影像摄录、动态导航、4G/5G 联网、AI 助手以及流媒体后视镜等功能于一身的综合智能设备。
行车记录仪中存储的数据主要以视频数据为主,多数行车记录仪采用了外置可移动存储卡(如TF/SD 卡),设备开始工作后按照设定的配置(如录制时间段和视频分辨率),将行车过程中录制的视频直接保存到存储卡中。 行车记录仪的视频格式根据厂商不同而不同,部分行车记录仪会采用私有格式或编码, 需要特定的解码器进行解码才能播放,部分具备GPS 定位模块的行车记录仪,可将GPS 车速以及定位信息和GPS 时间直接标注在视频中。若发生事故时,此类数据对车辆整体状态的分析有较大帮助。
(6)车载 T-Box(Telematics Box),是车联网系统的组成部分。 T-Box 根据安装时间可分为前装和后装, 前装主要是T-Box 厂商通过OEM 的方式提供相关服务,将汽车生产与CAN 总线直接相连,可获得车规级的系统保证,提供完整的供电设计,保证可靠性;后装主要是通过汽车诊断口进行插接,可代替OBD(On-Board Diagnostic)设备,也可通过破线方式进行安装。
目前,车辆上的T-Box 应用大致分为两类:一类主要安装于新能源汽车,数据内容包括整车数据、驱动电机数据、燃料电池数据、发动机数据、车辆位置数据、极值数据以及报警数据等;另一类安装于部分燃油动力汽车,主要用于汽车租赁等行业。
根据汽车电子数据的来源和交互方式,提取其中的电子数据主要有以下几种基本方法,各种方法并不是相互独立的,需要根据实际情况综合使用。
(1)基于 OBD 接口的数据提取,主要适用于CAN 总线连接的设备,如 ECU 和 EDR 等。 数据提取使用专用提取工具进行。 当前大部分车辆使用的OBD 接口是符合 SAE J1962 标准的 OBD-II 接口。 在汽车可以正常启动的情况下,可在方向盘下方等位置找到该接口。 数据提取过程使用车内供电系统,不需要额外电源。 在汽车无法正常启动的情况下,由于缺少供电,需要拆卸模块并使用外部电源供电后提取。 根据车型不同,需使用不同的连接线。 在提取过程中应避免翻转、碰撞、移动模块,否则新产生的事件记录可能会覆盖原有数据。通常情况下,EDR 安装在安全气囊控制模块的内部,因此对EDR 数据的提取主要针对安全气囊的控制模块进行,而安全气囊模块属于ECU 的一种,故EDR 的数据提取方式通常跟ECU 的提取方式基本一致。
(2)数据导出至外接存储介质,主要适用于具有USB、SD 卡插槽等通用物理接口的设备,如行驶记录仪、T-Box、信息娱乐系统等。 数据提取使用设备自带的导出功能进行。 在国家强制要求安装行驶记录仪设备的车辆上,行驶记录仪的安装位置相对较为固定,通常安装在驾驶室顶部、中控台面、中控收音机附近或副驾驶手套箱附近。 不同形态的行驶记录仪设备都预留有外部物理接口,用于提取设备内部记录数据。 通常可通过车辆给行驶记录仪设备供电,用U 盘接入行驶记录仪USB 口,根据设备提示操作按键导出VDR 文件。 针对视频行驶记录仪或智能行驶记录仪设备,行车数据和视频数据一般存在SD 卡或内置硬盘中,除通过U 盘文件导出方法,还可直接读取SD 卡或硬盘获取行车数据和视频数据。
(3)拆卸模块或存储介质,拆卸模块主要为了暴露内部的隐藏接口或触点,或解决无法供电、无法进行数据交互等问题。 拆卸存储介质主要适用于具有可见、可拆卸存储介质的设备,如行车记录仪、信息娱乐系统等。
汽车中常见的存储介质是SD 存储卡、硬盘和闪存芯片,拆卸存储介质宜在断电后进行,拆下的存储介质即可按照常规方式进行提取和分析。 拆卸模块或存储介质通常在断电时进行,以避免带电操作造成数据存储异常。 部分行驶记录仪设备配有内部电源,如需拆卸设备提取数据,应先关闭设备背部电源开关进行断电,否则由于拆卸过程产生的新数据可能造成旧数据覆盖丢失。
宝马等品牌的信息娱乐系统包含的内置硬盘带有ATA 加密,且加密密钥根据以太网MAC 地址、蓝牙MAC 地址、序列号等信息生成。 如果ATA 密钥被移除,硬盘装回车机后将不能被正常识别,因此在检验完成后仍需还原该ATA 加密。 使用JTAG或者直接拆焊芯片读取的方式通常作为其他数据提取方法都无效时的最后选择。
(4)基于协议交互的数据提取,对于具有串口的行驶记录仪、信息娱乐系统等设备可通过命令行发送指令提取对应数据,数据交换格式也较为统一。 在通过CAN 总线或者车联网进行数据交互时,通过 UDS(Unified Diagnostic Services)及 DoIP(Diagnostic over IP)协议的数据包进行捕获和解析,可以得到大量有用的信息。
使用eMMC 存储芯片的信息娱乐系统、T-Box等设备, 制造商为了方便烧录程序和后期升级,会在电路板上预留读写eMMC 的测试点,通过焊线或对应的夹具引出到TF 卡的PCB 上,可将eMMC 挂载读取或制作镜像。针对特定文件系统(如QNX6FS)的镜像可进一步恢复数据。 一些T-Box 设备电路板上具有ST-LINK 等特定接口,也适用该方法进行提取。 使用Android 系统的信息娱乐系统, 可使用adb 进行数据提取。对于需要获取root 权限的情形,可参照Android 手机取证进行。
(5)基于车联网的数据提取,主要适用于接入车联网的T-Box 和信息娱乐系统等。 针对车联网APP 的取证是其中一个重要途径,目前主流品牌车辆都推出了可远程操控的车联网APP,如奥迪的myAudi、宝马的myBMW 等。 其数据存储也分为汽车端、操控端(手机等)和云端几部分。
(6)基于安全漏洞的数据提取。 早期基于WinCE系统的信息娱乐系统,厂商为了方便升级和减少开发成本,将第三方导航程序放在外部存储中,即可在外部存储路径执行。 通过制作相应版本的数据提取程序替换导航程序,即可获取文件系统的镜像。 由于漏洞利用的技术门槛较高,实践中通常由信息安全或取证行业的厂商针对漏洞开发相应的工具。
在实践操作中,汽车取证同样遵循电子数据取证的一般流程。 参考德国联邦信息安全办公室(BSI)发布的指南以及文献[16]提出的技术框架,本文提出一种改进的汽车电子数据鉴定技术框架,主要分为以下六个阶段:
(1)方案策划。 根据委托人提供的需检车辆信息(车型、出厂年份、识别号等),收集相关手册与技术文档,查阅知识库中该车型的检验策略与步骤,指派具有资质的鉴定人员。 对于特殊状态的需检车辆(如涉水、涉爆)还需制定安全措施,以防止对检验人员造成意外伤害。
(2)操作准备。 通过现场勘验,逐一发现并识别待检汽车上的接口和组件,评估提取操作对数据完整性的影响,确定各个数据来源的检验顺序和检验方式,准备数据提取工具和适配的连接线缆与转接口。
(3)数据获取。 根据(1)的方案和(2)的发现,分别在现场和实验室获取检验所需的原始数据。 其中:现场检验主要通过OBD、USB 等接口读取或导出数据;实验室检验主要针对可拆卸的模块和存储介质、JTAG 提取等难度较高的操作,以及云端数据获取等对环境和时效没有特别要求的检验过程。
(4)数据检验。 利用厂商工具、汽车取证工具和一般电子数据取证工具对各个来源获取的数据进行解密和解码,筛选与委托要求相关的数据,转化为可直接处理的数据格式。
(5)数据分析。 根据委托要求对各类数据进行关联分析和计算,形成与委托要求相对应的鉴定意见,为案件调查提供有用信息。 必要时给出潜在的关联数据来源提示。
(6)形成报告。 与其他电子数据鉴定类似,形成的鉴定报告需包括检验方法、工具、数据获取情况、检验步骤、分析说明和鉴定意见。 报告内容应确保各个环节的使用者均可以正确理解。
2019 年5 月,某高速公路发生一起大货车追尾轿车的重大交通事故,事故造成轿车乘员一死一伤。 根据大货车司机描述,发生碰撞事故时前车处于停止状态。 由于事发路段较为偏僻,无现场监控视频和途径现场车辆的行车记录仪数据,办案机关委托某机构对事故车辆进行鉴定,以确定事故发生时的车辆状态。
案件中被追尾的轿车已严重损坏,委托人送检时已经由专业人员将车辆的EDR 模块从事故车辆中拆下,本案例在实验室中对送检EDR 模块进行数据提取。 通过查询厂商资料,分别确定电源正、电源接地、CAN_H 以及 CAN_L 针脚位置,如图 3 所示。 再通过USB 转CAN 连接线与检验工作站连接,使用EDR 数据提取工具读取数据。
图3 EDR 接口定义
由于提取所获得的数据为加密的私有格式,进一步使用厂商提供的配置文件和工具进行转换解码后,即可获得该EDR 中所导出的原始数据记录,其中包括该车碰撞前5 s 的状态数据,如表2所示。
表2 车辆碰撞前5 s 的EDR 数据
经分析, 事故轿车事发前5 s 车速为0, 发动机转速保持在640 r·min,刹车、油门踏板均为未踩下状态。 据此可推断,该车在事故发生时处于发动机怠速的停止状态。 由于轿车后方被大货车碰撞,触发了安全气囊弹出,因此安全气囊起爆前的数据能够客观反映出车辆碰撞发生前的状态。 最终,电子数据鉴定结果与现场痕迹勘验结果、驾驶员的口供均能相互印证,成为办案机关的定案依据。
某市市郊高速公路发生一起由大货车导致的16 车连环相撞的交通事故,由于事故现场情况较为复杂,办案机关将肇事大货车的车载行驶记录仪送检,要求鉴定大货车在事发时间的行驶状态,以确定事故原因。
从大货车驾驶室中拆下的型号为BSJ_A6BD的“北斗双模”行驶记录仪,正面检见USB 接口,背面检见连接通信天线和车辆的数据接口,未检见内置电源。使用背面的24 针接口为其供12V 直流电,将空白U 盘连接到USB 接口, 通过菜单中的导出选项导出数据,得到以“D+年月日_ 时分_ 车牌号.VDR”形式命名的文件。
经过检验发现,该VDR 文件数据格式符合GB/T 19056—2012《汽车行驶记录仪》附录 A 的规定:在03H 数据帧处,解析得到车辆在2021-05-19 的累计行驶里程数为430 210.9km;在05H 数据帧处,解析得到本车辆识别码、车辆号牌信息(如图4 所示);后续可继续解析得到行驶速度记录、位置信息记录、事故疑点记录、超时驾驶记录等重点数据。 其中,行驶速度记录信息如表3 所示,超时驾驶记录数据如表4 所示,部分数据已经过脱敏处理。
表3 车辆行驶速度记录
表4 超时驾驶记录
图4 VDR 文件数据示例
经分析可知:该车在事发时最高行驶速度为76 km·h;事发当天,车辆驾驶员自早上 6 时 45 分开始驾驶车辆,直至中午12 时18 分事发,已连续驾驶5.5 h。 根据以上结果,办案机关结合现场勘验(事发路段限速80 km·h)以及司机供述(该车仅有一名随车驾驶员)综合分析认定,造成该起事故的主要原因是大货车司机疲劳驾驶、精力不集中,因而未及时采取有效制动而追尾。
随着汽车智能化程度的日益提高和新能源汽车的快速普及推广,汽车中包含的海量电子数据能够为交通事故调查和现场重建、刑事案件侦查分析工作提供很多帮助。 同时,自动驾驶、人工智能和车联网等技术使得汽车和云服务器、手机智能终端的结合也更为紧密,因此,汽车电子数据鉴定必将很快成为电子数据检验鉴定不可或缺的组成部分。 由于智能网联汽车涉及的品牌、车型和系统众多,针对不同车型的取证技术研究将有多个研究分支,在该层面上各种汽车取证工具预期将形成差异化竞争。 此外,相当数量的车载电子模块尚无统一的标准约束,其安装位置、硬件平台、系统平台再到上层应用都不尽相同,通常涉及复杂的技术和操作方法,而这些不确定性将成为汽车电子数据鉴定的另一挑战。