T_CAAMTB 97.10-2022 电动中重卡共享换电车辆及换电站建设技术规范 第10部分：数据安全管理技术要求 - 副本.docx

T/CAAMTB 97.102022目次前言 . II1范围 . 12规范性引用文件 . 13术语和定义 . 14数据上传要求、数据质量评估 . 15换电站与服务平台通信 . 46数据安全管理 . 47换电站与车载换电通讯控制器通讯 . 5IT/CAAMTB 97.102022电动中重卡共享换电车辆及换电站建设技术规范第 10 部分：数据安全管理技术要求1范围本文件规定了电动中重卡换电站的数据安全管理等技术要求。本文件适用于电动中重型卡车吊装式换电站。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 22239信息安全技术网络安全等级保护基本要求GB/T 22240信息安全技术网络安全等级保护定级指南GB/T 32960.3电动汽车远程服务与管理系统技术规范 第3部分：通讯协议与格式NB/T 33005-2013电动汽车充电站及电池更换站监控系统技术规范NB/T 33007-2013电动汽车充电站/电池更换站监控系统与充换电设备通信协议NB/T 33017-2015电动汽车智能充换电服务网络运营监控系统技术规范T/CEC 102-2016电动汽车充换电服务信息交换3术语和定义本文件没有术语和定义。4数据上传要求、数据质量评估4.1监控系统4.1.1建设原则有利于实现全系统的信号采集、安全稳定控制和事故/故障处理，提供系统运行的可靠性、经济性，确保充电及电池更换的安全性。系统宜采用数字化、网络化、智能化、集成化的先进高效技术，简化硬件配置，避免重复，实现资源共享。4.1.2系统构成监控系统宜由换电管理平台、站控层、功能层三部分组成，并用分层、分布、开放式网络实现连接。换电管理平台宜采用分区分层架构，满足总部、运营商、站级三级应用。站控层由计算机网络连接的主机/操作员工作站和各种功能站构成，提供站内运行的人机界面，实现控制、管理功能层设备等功能，形成全站的监控、管理中心，并具备与换电管理平台通信的功能。功能层由站内充电监控单元、电池更换监控单元、供电监控单元、视频及环境监控单元、各种网络、通信接口设备等构成，其中充电监控单元和电池更换监控单元为标配设备，其他为选配设备，可根据换电站功能配置选配。4.1.3系统功能换电管理平台宜具备收费账务、清分结算、资产管理、综合统计分析及系统管理等功能。换电管理平台应建立数据库，可进行实时数据和历史数据查询，且便于数据统计，汇总，分析。1T/CAAMTB 97.102022换电管理平台应具有站点监控，站点管理，电池管理，车辆管理等功能。站控系统应具备站内设备监视、设备状态报警、站内设备控制与操作、事件记录等功能。站控系统应建立数据库，具备人机交互界面、统计计算等功能。功能层应具备充电监控、电池更换监控、视频及环境监控等功能。功能层宜具备就地数据采集、控制、显示、传输、时间同步等功能。4.1.4站控系统与上级平台通信协议结构优选 http 和 tcp 协议服务端平台对接收到的数据进行校验，当校验正确时，服务端平台做正确应答。当校验错误时，服务端平台做错误应答。服务端平台的应答信息错误时，客户端应重发本条实时信息，若重发3次都无法正确应答，客户端应停止发送并报警提示。平台交换数据和用户自定义数据存在时，完成平台交换数据和用户自定义数据的上报。向服务端平台上报信息的时间周期应可调整。当终端发送数据为加密状态时，客户端平台应先进行数据解密，并重新加密后发送至服务端平台，如平台间传输无加密需求则无需重新加密。补发机制：当数据通信链路异常时，客户端平台应将实时上报数据进行本地存储。在数据通信链路恢复正常后，在发送实时上报数据的空闲时间完成补发存储的上报数据。传输规则：协议应采用大端模式的网络字节序来传递字和双字。4.1.5数据包结构一个完整的数据包应由起始符、命令单元、识别码、数据加密方式、数据单元长度、数据单元和校验码组成。4.1.6指标要求参照NB/T 33017-2015第10章、NB/T 33005-2013第7章部分，应包括：a)  换电管理平台响应速度；b)  系统容量、并发量；c)  系统实时性指标；d)  连续运行要求；e)  年可用率；f)  接收终端数据的成功率。4.1.7换电站路由服务统一接收站控系统的硬件设备数据，通过tcp协议实时转发至监控系统。4.2 站控系统数据要求4.2.1通用规范区分上传与下载数据。区分本地保存和云端交互数据。站控主机与云端交互数据应分为上传数据和下载数据，上传数据包括实时信息、换电过程信息、补发信息和告警信息，下载数据包括配置信息和控制。本地保存的补发信息，数据保存时长至少不应低于24小时。数据采集的间隔时间宜不大于1s。4.2.2电池箱数据参照NB/T 33005-2013附录B,应包含：电池箱电压、电池箱充电电流、电池箱充电功率、电池箱充电时间、电池箱充电电能、单体蓄电池电压、单体蓄电池荷电、电池箱温度、电池箱标识、电池箱类型、电池箱参数、电池箱故障代码等信息。应包含绝缘电阻、绝缘等故障信息、故障前后实时信息以用于故障分析。宜包含功率、电流请求信息、充放电状态、车辆运行状态、GPS等实时信息数据产生时间。应具有数据续传功能。2T/CAAMTB 97.1020224.2.3充电设备数据参照NB/T 33005-2013附录B,应包含充电机直流输出电压、充电机直流输出电流、充电机温度、充电机状态、充电机故障代码等信息。宜包含充电机交流侧开关状态、充电机直流侧开关跳闸/熔断器熔断、监控单元故障、监控单元与站内监控系统通信中断、充电架空置/就位状态、充电架充电进行/充电完成状态等信息。4.2.4换电系统数据参照NB/T 33005-2013附录B,应包含换电过程数据/信号，如：启动/停止/工作状态。应具有远程控制功能。4.2.5供电设备数据参照NB/T 33005-2013附录B,应包含：功率，电压，电流，温度等，工作状态。4.3监控上级平台系统数据要求4.3.1通用规范区分上传与下载数据。区分本地保存和云端交互数据。站控主机与云端交互数据应分为上传数据和下载数据，上传数据包括实时信息、换电过程信息、补发信息和告警信息，下载数据包括配置信息和控制。部分数据需要进行本地保存，本地保存数据包括补发信息，数据采集周期不应超过30分钟，数据保存周期不应超过1小时。数据采集的间隔时间应不大于1s。云端在相关定义和要求下，可通过远程对站控主机下达控制命令。4.3.2电池类数据参照NB/T 33005-2013附录B,应包括电池包电压、工作电流、SOC、剩余容量、充电次数、换电次数、电池累计运行里程、电池充电总容量、电池充电总能量、电池换电站内充电总容量、电池换电站内充电总能量、电池输出总容量、电池输出总能量、站内输出总容量、站内输出总能量。宜包括电池单体电压、单体温度、最高温度、最高电压、故障信息等。应包含数据实际产生时间。4.3.3换电站数据上传信息包括换电站运行状态数据、车辆信息数据、整站相关子系统运行状态数据。下载信息包括：换电站配置数据、换电站远程操作数据等。4.4数据质量4.4.1主要技术指标数据上传周期应在30秒以内,除充电机充电启动过程外。4.4.2可靠性指标可靠性指标包括以下内容：a)  模拟量测量综合误差1%；b)  系统可用率99.9%；c)  遥测合格率98%；d)  遥控正确率99.99%；e)  遥信正确率99%；f)  站控层平均故障间隔时间（MTBF）5000h；3T/CAAMTB 97.102022g)  功能层平均故障间隔时间（MTBF）5000h。4.4.3系统实时性指标系统实时性指标包括以下内容：a)  模拟量越死区传送时间（至站控层显示屏）2s；b)  开关量变位传送时间（至站控层显示屏）1s；c)  开关量信号输至画面显示相应时间2s；d)  系统控制操作响应时间（从发出指令到现场变位信号返回）4s；e)  实时数据扫描周期2s；f)  画面实时数据更新周期3s；g)  动态画面响应时间2s。5换电站与服务平台通信站控系统与云平台的通信协议结构宜参照T/CEC 102-2016 电动汽车充换电服务信息交换的规定，采用其中的通讯定义。换电站与服务平台的通讯应采用以太网通讯。6数据安全管理6.1基本要求应根据平台系统的重要程度以及遭到破坏后的危害程度，参照GB/T 22240的规定确定其安全保护等级，并具备GB/T 22239规定的基本安全保护能力。应根据平台系统的应用、数据和技术架构，将系统信息进行分等级管理，根据其重要程度划分安全信息区域，采取不同的系统安全保护措施，实现同等级信息集中管理。6.2数据信息完整性应确保采取的数据信息管理和技术措施以及覆盖范围的完整性。应能够检测网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性措施采取必要的恢复措施。应具备完整的用户访问、处理、删除数据信息的操作记录能力。在传输数据信息时，经过不完全网络时，应对传输的数据提供完整性校验。应具备完善的权限管理测试，支持权限最小化原则、合理授权。6.3数据信息保密性数据信息保密性安全规范用于保障业务平台重要业务数据信息的安全传递与处理应用，确保数据信息能够被安全、方便、透明的使用。为此，业务平台应采用加密等安全措施开展数据信息保密性工作。应采用加密有效措施实现重要业务数据信息传输保密性。应采用加密实现重要业务数据信息存储保密性。6.4数据信息备份与恢复数据信息备份数据信息备份应采用性能可靠、不宜损坏的介质，如光盘、硬盘等备份数据信息的物理介质应注明数据信息的来源、备份日期、恢复步骤等信息，并置于安全环境保管。系统应提供重要数据的本地数据备份或者云端数据定期备份功能，防止未经授权的备份数据访问。系统应具备故障后数据恢复功能，应能实现本地数据和云端数据的同步。运维操作员应根据不同业务系统实际拟定需要测试的备份数据信息以及测试的周期。本地数据和云数据操作时需要具备相应权限，不同权限的人员只能对数据执行授权范围内的数据操作。4T/CAAMTB 97.102022对于因设备故障、操作失误等造成的一般故障，需要恢复部分设备上的备份数据信息，遵循异常事件处理流程，由运维操作员负责恢复。应尽可能地定期检查和测试备份介质和备份信息，保持其可用性和完整性，并确保在规定的时间内恢复系统。应确定重要业务信息的保存期以及其它需要永久保存的归档拷贝的保存期;恢复程序应定期接受检查及测试，以确保在恢复操作程序所预定的时间内完成。6.5应用安全系统应能对登录的用户进行身份标识和鉴别，只有在系统注册后合法用户才能接入。系统应对登录的用户分配账户和权限。7换电站与车载换电通讯控制器通讯换电站站控层与车载换电通讯控制器的数据交互，整体遵循GB/T 32960.3-2016 电动汽车远程服务与管理系统技术规范协议。扩展协议，基于“GB/T 32960.3-2016”协议进行扩展，用于换电站站控层与车载TBOX之间进行鉴权认证。通讯使用TCP协议。7.1数据包结构一个完整的数据包，需满足GB/T 32960.3-2016中表B.1对数据包结构的定义。其中，VIN为必要数据字段，必须包含。7.2车辆登入数据车辆登入数据格式，需满足GB/T 32960.3-2016中表6的要求。车辆电池编号，重卡换电站控系统取“可充电储能系统编码”。7.3车辆实时信息7.3.1实时信息上报格式车辆实时信息上报格式，需满足GB/T 32960.3-2016中表7的要求。7.3.2信息类型标准车辆信息类型编码，需满足GB/T 32960.3-2016中表8的要求。其中，整车数据类型编码为0x01，车辆位置数据编码类型为0x05。7.3.3信息体-整车数据整车数据格式，需满足GB/T 32960.3-2016中表9的要求。其中，车辆状态、累计里程、SOC、DC-DC状态、档位为必要数据字段，必须上报数据。7.3.4信息体-车辆位置数据车辆位置数据格式，需满足GB/T 32960.3-2016中表14和表15的要求。7.3.5自定义消息自定义消息以GB/T 32960.3-2016进行扩展，按照8.58.9章所述内容。7.4命令标识和应答标志约定终端和平台交互命令如图 1 所示。5启始字节字段数据类型描述和要求0自定义协议主版本号BYTE1自定义协议修订版本号BYTE2自定消息IDWORD4消息流水号WORD登录后自动加1，从1开始循环，最大值为65531.6消息长度WORDn8消息内容BYTEn启始字节字段数据类型描述和要求0客户信息BYTE1扩展数据消息内容BYTEn表4-2 扩展数据消息内容数据结构T/CAAMTB 97.102022TSP终端命令 标识：0x81，应答 标志0xFD命令 标识：0x81，应答 标志0xFC图1终端和平台交互命令命令标识符应按照GB/T 32960.3-2016中表8的要求使用命令标识0x81作为自定义数据。应答标志应按照GB/T 32960.3-2016中表4的要求扩展编码0xFC为上行，扩展编码0xFD为下行。7.5自定义数据单元数据结构自定义数据单元数据结构应满足 GB/T 32960.3-2016 中表 19 中的要求。下文中用扩展数据来描叙自定义数据。7.6扩展数据定义扩展数据数据结构见表 1。表1扩展数据数据结构扩展数据消息内容数据结构见表2。表2扩展数据消息内容数据结构6启始字节字段数据类型描述和要求0应答流水号WORD对应的平台下发自定义消息的流水号2应答IDWORD对应的平台下发自定义消息ID4结果BYTE0：肯定应答1-255：否定应答启始字节字段数据类型描述和要求0应答流水号WORD对应终端自定义消息的流水号2应答IDWORD对应的平台下发自定义消息ID4结果BYTE0：肯定应答1-255：否定应答T/CAAMTB 97.1020227.7自定义消息 ID自定义消息最高位为1时表示下行数据。TSP->TBOX自定义消息最高位为0是表示上行数据。TBOX->TSP示例：0x8001 表示下行数据，0x0001 表示上行数据。7.8自定义通用消息7.8.1终端通用应答自定消息ID：0x0001。自定义终端通用应答数据格式见表3。表3自定义终端通用应答7.8.2平台通用应答自定消息ID：0x8001。自定义平台通用应答数据格式见表4。表4自定义平台通用应答7.9自定义专用消息7.9.1自定义终端鉴权7.9.1.1鉴权随机数请求消息ID：0x000A。平台以ID：0x800A对本消息进行应答。功能描叙：鉴权随机数请求。鉴权随机数请求数据结构见表5。鉴权扩展参数见表6。7启始字节字段数据类型描述和要求0消息流水WORD对应请求随机数的流水号2加密算法BYTE表8    加密算法3秘钥序号BYTE表9    秘钥4Seed内容BYTE3由平台随时产生7扩展参数总长度WORDn9扩展参数内容BYTEn表10    鉴权扩展参数内容启始字节字段数据类型描述和要求0命令识别码BYTE0x55：鉴权登录；非0x55：预留1扩展参数数量BYTEn2扩展参数WORDn扩展参数ID数据类型描述0x0001STRINGVIN码，Length = 170x00020x0003T/CAAMTB 97.102022表5鉴权随机数请求数据结构表6鉴权扩展参数7.9.1.2鉴权随机数请求应答消息ID：0x800A。功能描叙：鉴权随机数请求应答。鉴权随机数请求应答数据结构见表7。加密算法见表8。密钥见表9。鉴权扩展参数内容见表10。表7鉴权随机数请求应答数据结构8启始字节字段数据类型描述和要求0命令识别码BYTE对应请求随机数的流水号2Seed内容BYTE34其他扩项消息长度WORDn6扩展信息内容BYTEn表10    鉴权扩展参数内容启始字节字段数据类型描述和要求0消息流水WORD对应请求随机数的流水号2加密数据长度WORDn4加密内容BYTEn将 表12    鉴权原始数据结构 数据按照约定算法进行加密启始字节字段数据类型描述和要求0鉴权扩展参数WORD表6    鉴权扩展参数2参数内容BYTEn表6    鉴权扩展参数秘钥序号秘钥备注10x00,0x01,0x02,0x03,0x04,0x05,0x06,0x07,0x08,0x09,0x0A,0x0B,0x0C,0x0D,0x0E,0x0E;算法ID算法描叙备注1AES128T/CAAMTB 97.102022表8加密算法表9秘钥表10鉴权扩展参数内容7.9.1.3鉴权加密数据发送消息ID：0x001A。终端以ID：0x801A对本消息进行应答。功能描叙：鉴权加密数据发送。鉴权加密数据发送数据结构见11。鉴权原始数据结构见表12。表11鉴权加密数据发送数据结构表12鉴权原始数据结构9启始字节字段数据类型描述和要求0数据采集时间BYTE(4)4流水号BYTE(2)6标识BYTE(1)0x01 成功 0x02失败7失败原因标志BYTE(4)启始字节字段数据类型描述和要求0数据采集时间BYTE(4)4流水号BYTE(2)6指令标识BYTE(1)0x01解锁0x02上锁启始字节字段数据类型描述和要求0消息流水WORD对应请求随机数的流水号2验证状态BYTE0：验证成功；1：验证失败；表15指令应答数据格式和定义10T/CAAMTB 97.1020227.9.1.4鉴权验证结果应答消息ID：0x801A.功能描叙：鉴权验证结果应答。鉴权验证结果应答数据结构见表13。表13鉴权验证结果应答数据结构7.9.2解锁/上锁指令7.9.2.1指令下发命令标识：0x90。数据格式和定义见表14。表14指令下发数据格式和定义示例：232390(命令标识)FE(应答标识)4C5A303030303032303037303330303032(唯一识别码)01(数据单元加密方式)004C(数据单元长度)150401111529(数据采集时间)0003(流水号)01（指令标识）E4(校验码)。7.9.2.2指令应答命令标识：0x12。数据格式和定义:T/CAAMTB 97.102022示例：232312(命令标识)FE(应答标识)4C5A303030303032303037303330303032(唯一识别码)01(数据单元加密方式)004C(数据单元长度)150401111529(数据采集时间)0003(流水号)01（成功 02 失败）00000000(失败原因标志)E4(校验码)。7.9.2.3服务器应答服务器应答表示见示例。示例：232312(命令标识)01(应答标识)4C5A303030303032303037303330303032(唯一识别码)01(数据单元加密方式)004C(数据单元长度)150401111529(数据采集时间)E4(校验码)。11