-
Die vorliegende Erfindung betrifft ein Verfahren zur Vorbereitung einer Betankung. Die vorliegende Erfindung betrifft darüber hinaus eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium.
-
Stand der Technik
-
US2013139897A1 stellt ein System und ein Verfahren zum sicheren Befüllen von Wasserstoff unter Verwendung von Echtzeit-Wasserstofftank-Ausdehnungsdaten bereit. Das System umfasst eine Ausdehnungs-Messeinheit, eine fahrzeugseitige Steuereinheit, eine tankstellenseitige Steuereinheit und eine drahtlose Kommunikationseinheit. Die Ausdehnungs-Messeinheit ist auf einem Wasserstofftank des Fahrzeugs angeordnet und misst den Grad der Ausdehnung des Wasserstofftanks und erzeugt ein entsprechendes Ausgangssignal. Die fahrzeugseitige Steuereinheit wandelt das Ausgangssignal in ein drahtloses Ausgangssignal um. Die tankstellenseitige Steuereinheit stoppt das Wasserstoffnachfüllen durch eine Wasserstoff-Füllvorrichtung, wenn das drahtlose Ausgangssignal einen unsicheren Grad der Tankausdehnung anzeigt. Die drahtlose Kommunikationseinheit ist vorgesehen, um eine drahtlose Datenkommunikation zwischen der fahrzeugseitigen Steuereinheit und der tankstellenseitigen Steuereinheit durchzuführen.
-
US2020276909A1 ,
US10800281B2 und
US2020346554A1 beschreiben weitere Kommunikationssysteme und Verfahren zur Wasserstoffbetankung und Aufladung von Elektrofahrzeugen.
-
Die in
US20130091042A1 vorgeschlagene Methode und das darauf beruhende Sicherheitssystem bieten eine auf dem geografischen Standort basierende Sicherheit mit unterschiedlichen Zugriffsebenen und ermöglichen es dem Benutzer, zu schützende Einheiten auszuwählen, geografische Standorte, geografische Grenzen, Berechtigungen und Zugriffsebenen für bestimmte geografische Standorte und geografische Grenzen sowie Sicherheitswarnungen zu konfigurieren. Sie treffen anhand des aktuellen geografischen Standortes des Benutzers und dessen eigener Konfiguration für diesen geografischen Standort oder dessen Grenze die Entscheidung, Berechtigungen zu erteilen, zu verweigern oder eine bestimmte Zugriffsebene zuzuweisen, und senden Sicherheitswarnungen aus.
-
US2018213376A1 offenbart ein Verfahren zur Konfiguration sogenannter V2X-Kommunikation.
-
Offenbarung der Erfindung
-
Die Erfindung stellt ein Verfahren zur Vorbereitung einer Betankung, eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes maschinenlesbares Speichermedium gemäß den unabhängigen Ansprüchen bereit.
-
Der erfindungsgemäße Ansatz fußt auf der Erkenntnis, dass das beschleunigte Tanken zum Beispiel von Wasserstoffgas die Thermodynamik des Betankungsvorgangs berücksichtigen und damit den Vorgang geschlossen regeln sollte. Dabei dürfen aus Gründen der (funktionalen und allgemeinen) Sicherheit die für den Tankbehälter festgelegten Werte für Maximaltemperatur und Maximaldruck zu keiner Zeit überschritten werden.
-
Bekannte Verfahren zur Übertragung von Daten vom Fahrzeug zur Tanksäule weisen in dieser Hinsicht verschiedene Nachteile auf. So wird eine herkömmliche unidirektionale Infrarotverbindung des Fahrzeuges zur Tanksäule durch Kratzer auf der Sende- oder Empfangs-Optik sowie durch Eisbildung um den Tankrüssel oder -stutzen stark beeinträchtigt und ist deshalb in der Praxis von Ausfällen betroffen, was ein beschleunigtes Betanken vereitelt. Eine solche unidirektionale Verbindung sieht zudem keinen Rückkanal von der Tanksäule zum Fahrzeug vor, sodass kein Abruf der unterstützten Tankverfahren und somit keine Einigung auf ein für die vorliegende Kombination von Fahrzeug und Tanksäule optimales Verfahren stattfinden kann.
-
Die vorgeschlagene Methode trägt ferner dem Umstand Rechnung, dass metallische Kontakte, wie sie für eine drahtgebundene Kommunikation unerlässlich sind, im Rahmen einer Wasserstoffbetankung insbesondere in der Nähe der Tankkupplung zu vermeiden sind, weil hier ein etwaiger Funkenschlag das Wasserstoffgas explosiv entzünden könnte. Zum Schutz der Tankstelle vor Explosionen ist die drahtlose (funkbasierte) Kommunikation somit der drahtgebundenen vorzuziehen.
-
Die Anwendung von Funk birgt aufgrund der ungehinderten Ausbreitung der Funkwellen jedoch besondere Herausforderungen, die erfindungsgemäß bewältigt werden. So bedarf es eines auslösenden Ereignisses zur Aktivierung des Gesamtvorgangs. Ferner muss die Funkverbindung so zuverlässig Daten übertragen, dass die funktionale und allgemeine Sicherheit der Betankung garantiert werden kann. Insbesondere sollten Dritte, die sich in Funkreichweite von Fahrzeug oder Tanksäule befinden, den Ablauf weder - etwa durch Störsendung (jamming) oder Überlastungsangriffe (denial of service, DoS) - beeinträchtigen noch manipulieren können. Schließlich ist zu bedenken, dass sämtliche Fahrzeuge und Tanksäulen innerhalb der Funkreichweite, die in der Regel eine gesamte Tankstelle erfasst, gegenseitige Funksignale empfangen. Die im Rahmen einer einzelnen Betankung interagierenden Teilnehmer, also Fahrzeug und Tanksäule, müssen einander deshalb selbstständig finden und identifizieren.
-
Zusammenfassend muss die Funkverbindung folglich vor der Betankung informations- und betriebssicher sein. Das nachfolgend beschriebene Verfahren erreicht dieses Ziel unabhängig von der verwendeten Funktechnologie, Tankstellen-Infrastruktur und Hardware. Es ist ebenso unabhängig von der zur Standortbestimmung eingesetzten Technologie und kann für die Betankung beliebiger (gasförmiger oder flüssiger) Kraftstoffe sowie das Laden von Elektrofahrzeugen verwendet werden.
-
Ein Grundgedanke der vorgeschlagenen Lösung besteht hierbei darin, dass entweder ein Signalgeber (z. B. in Fahrzeug oder Tanksäule) aktiv ein Ranging-Signal aussendet (aktive Variante), welche von der Oberflächenstruktur der Gegenseite (Tanksäule oder Fahrzeug) reflektiert wird, oder Reflexionen bereits existierender Signalquellen passiv, d. h. ohne direkte Ansteuerung der Quelle genutzt werden (passive Variante).
-
Ein Detektor bestimmt aus den reflektierten Signalen eine charakteristische Signatur der Gegenseite. Durch den Abruf der für jede Instanz eindeutigen Signatur in einer Tabelle oder Datenbank eindeutiger Signaturen wird die vorliegende Instanz identifiziert und wahlweise entsprechend dort verzeichneter Berechtigungen zum Durchführen weiterer Aktionen autorisiert.
-
Das erfindungsgemäße Verfahren kann vorteilhaft mit einer ortsabhängigen Autorisierung des Gegenübers kombiniert werden. Auf diese Weise lassen sich die IT-Sicherheit und die funktionale Sicherheit kostengünstig erhöhen, da z. B. Lidar-, Radar- oder Ultraschallsysteme zur Umfeld-Erfassung in großer Vielfalt am Markt verfügbar und in Tankstellen bzw. - insbesondere teilautomatisierten - Fahrzeugen in der Regel bereits vorgesehen sind, sodass sie im Rahmen des Verfahrens ohne nennenswerten konstruktiven Mehraufwand wiederverwendet werden können.
-
Zusätzlich wird die IT-Sicherheit durch die systemimmanente Reichweitenbeschränkung der Radar-, Lidar- bzw. Ultraschalltechnologie verbessert, die Cyberangriffe durch weiter entfernte Sender erschwert.
-
Durch die in den abhängigen Ansprüchen aufgeführten Maßnahmen sind vorteilhafte Weiterbildungen und Verbesserungen des im unabhängigen Anspruch angegebenen Grundgedankens möglich. So kann vorgesehen sein, dass ein Fahrzeug die es versorgende Tankstelle oder Ladesäule finden und eindeutig sowie betriebs- und informationssicher identifizieren kann und umgekehrt. Die sich aus einer Mehrzahl anwesender Fahrzeuge und Tanksäulen ergebende Mehrdeutigkeit kann auf diesem Wege aufgelöst und erhöhte Anforderungen an die funktionale Sicherheit erfüllt werden.
-
Gemäß weiteren Aspekten kann vorgesehen sein, dass Fahrzeug und Tanksäule sich gegenseitig authentifizieren und für den Betankungsvorgang autorisieren. Dies wiederum ermöglicht automatisierte Betankungsvorgänge und Abrechnungen. Auf diese Weise kann ferner sichergestellt werden, dass Fahrzeug und Tanksäule zueinander kompatibel sind, weil sie beiderseits gestellte und durch die Kommunikation nachgewiesene Anforderungen an die funktionale Sicherheit erfüllen.
-
Figurenliste
-
Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und in der nachfolgenden Beschreibung näher erläutert. Es zeigt:
- 1 die Vorbereitung und Initialisierungsphase einer Betankung gemäß einer ersten Ausführungsform.
- 2 schematisch ein Steuergerät gemäß einer zweiten Ausführungsform.
-
Ausführungsformen der Erfindung
-
Exemplarisch wird ein Betankungsszenario an einer Tankstelle betrachtet, an der beispielsweise ein Brennstoffzellenfahrzeug mit gasförmigem Wasserstoff betankt werden soll. Das Verfahren ist jedoch auf alle Arten von Kraftstoffen (gasförmig, flüssig, kryogen etc.) sowie auf das Laden von Elektrofahrzeugen anwendbar. Außerdem ist es unerheblich, ob die Betankung manuell oder automatisch erfolgt bzw. abgerechnet wird oder ein konventionelles, (teil- )automatisiertes oder autonomes Fahrzeug betrifft. In Betracht kommt ferner, dass ein herkömmliches, teilautomatisiertes oder autonomes Betankungsfahrzeug zum zu betankenden Fahrzeug fährt und dieses betankt. Schließlich kann das Verfahren mit beliebigen anderen Verfahren der IT-Sicherheit oder der funktionalen Sicherheit kombiniert werden.
-
Erfindungsgemäß werden vor, während oder nach dem Betankungsvorgang über eine Funktechnologie Ausprägungen von Sicherheitsmerkmalen übertragen, beispielsweise die Werte für Druck und Temperatur im Tankbehälter. Denkbar ist, dass zumindest ein Teil dieser Datenübertragung erhöhte Anforderungen an IT-Sicherheit und funktionale Sicherheit erfüllen muss.
-
1 zeigt das erfindungsgemäße Verfahren (10) zur Vorbereitung einer solchen Betankung. In dieser Phase wird beiderseits - an der Tankstelle und am Fahrzeug - durch übereinstimmende oder unterschiedliche Ereignisse (11, 12) der Kommunikationsbeginn ausgelöst. Seitens der Tanksäule kommen beispielsweise die Entnahme (11) der Zapfpistole aus ihrer Halterung, das Überfahren eines Kontakts durch das Fahrzeug oder die Auslösung einer Lichtschranke, seitens des Fahrzeuges indes etwa eine Befehlseingabe oder das Öffnen (12) des Tankdeckels in Betracht.
-
Auf dieses auslösende Ereignis (11, 12) hin führen Tanksäule und Fahrzeug - letzteres vorzugsweise nach Aktivierung einer Wegfahrsperre (13) - unabhängig voneinander eine Leckage-Prüfung (14) des eigenen Systems durch. Bei bestandener Prüfung (14) wird das Verfahren (10) durch Freigabe (15) eines Tankventiles für die Betankung fortgesetzt. Anschließend koppeln (16) sich beide Systeme miteinander, um eine informationssichere (17) und betriebssichere (18) Verbindung aufzubauen.
-
Über die solchermaßen eingerichtete Verbindung tauschen sich die Teilnehmer über die jeweils angebotenen Dienste (19) aus und treffen eine geeignete Auswahl. Diese Auskunft kann die Abfrage einer Datenbank umfassen, welche lokal durch einen der Partner oder über eine Internetverbindung per Mobilfunk, Ethernet o. ä. durch einen entfernten Server verwaltet wird.
-
Nunmehr in Kenntnis des zu erbringenden Betankungsdienstes handeln Tanksäule und Fahrzeug ein einschlägiges Datenübertragungsprotokoll für die Nutzdaten des Betankungsvorganges aus (20) und legen fest, welches - ggf. standardisierte - thermodynamische Betankungsprotokoll und -verfahren Anwendung finden. Es folgt ein Austausch der Betankungsparameter (21), in dessen Rahmen zum Beispiel die Tankbehältertypen hinsichtlich ihres Werkstoffes, ihrer Form usw. auf Kompatibilität geprüft werden. Schließlich wird gemäß den Betankungsparametern ein Plan für die Betankung gefasst, über welchen die Teilnehmer einander mittels der eingerichteten Verbindung informieren (22).
-
Die Schritte (11-22) des Verfahrens (10) werden vorzugsweise durch Selbsttests und Plausibilitätsprüfungen auf erfolgreiche Ausführung überprüft. Verläuft die Überprüfung erfolgreich, so wird das Verfahren (10) mit dem jeweils nächsten Schritt fortgesetzt; andernfalls werden die Beteiligten - der Fahrer zum Beispiel durch eine Anzeige im Fahrzeug bzw. an der Tanksäule, das Tankstellenpersonal durch eine Monitoranzeige in der Tankstellenüberwachung - über den Fehler informiert, um diesen beheben zu können.
-
Im Zuge dieses Verfahrens (10) können die vorgeschlagenen Maßnahmen in verschiedenen Schritten zur Identifizierung und Authentifizierung verwendet werden.
-
Dazu werden in der aktiven Variante über einen entsprechenden Signalgenerator Funk-, Licht- oder Schallwellen ausgesendet, welche an den Oberflächen der Umgebung reflektiert werden. Besteht eine Sichtverbindung zum Gegenüber, so lassen sich Teile der reflektierten Signalwellen in Tanksäule bzw. Fahrzeug durch einen darauf abgestimmten Empfänger detektieren und daraus charakteristische Signaturen bestimmen, welche sich durch eine unterschiedliche Oberflächenbeschaffenheit und Ausbreitungsbedingungen von denen anderer Instanzen (auch gleichen Typs) unterscheiden.
-
Die genutzte Signalquelle kann hierbei fest ausgerichtet oder adaptiv gestaltet sein, z. B. in Form einer Gruppenantenne (antenna array), eines Mehrstrahl-Lasers oder eines Ultraschall-Arrays. Es können teilweise auch Radar-, Lidar-, Sonar-, Sodar- oder anderweitige Reflektoren auf der Fahrzeugkarosserie oder an der Tankstelle Einsatz finden, welche als mittelbare Signalquelle fungieren, wenn sie auf geeignete Weise angestrahlt werden.
-
In der passiven Variante werden lediglich die von Mobilfunkmasten oder anderen, nicht zum Gesamtsystem gehörenden Quellen ausgesandten Wellen reflektiert und in abgestimmten Empfängern detektiert.
-
Sowohl in der aktiven als auch in der passiven Variante nimmt ein auf die jeweiligen Signale abgestimmter Empfänger mit einer Antenne oder mehreren, auch separat ansteuerbaren Antennen bzw. Empfangseinheiten die reflektierten Signale auf und extrahiert die Signatur des Gegenübers. Darüber hinaus kann er die Signale verwenden, um letzteres zu orten.
-
Die gemessene Signatur wird mit Referenz-Signatureinträgen in einer Datenbank verglichen. Wird eine passende Signatur gefunden, ist das Fahrzeug über den Datenbankeintrag identifiziert. Zusammen mit dem Dateneintrag kann ein kryptographisches Merkmal hinterlegt sein, welches den Aufbau einer ITsicheren Verbindung (17) ermöglicht. Ebenso können in der Datenbank zur Signatur Berechtigungen des Teilnehmers zu bestimmten Interaktionen hinterlegt sein.
-
Diese vertrauenswürdige und umfassende Datenbank kann im Internet oder lokal verwaltet werden, für die Fahrzeuge z. B. durch Fahrzeughersteller oder Flottenbetreiber und für die Tankstelle durch deren Betreiber. Alternativ kann eine dritte Instanz diese Information anbieten.
-
Die beschriebene Signaturerkennung erweist sich in folgenden Anwendungsfällen als besonders zweckmäßig:
- 1) Die Tanksäule kann, solange sie frei ist, periodisch Funk-, Licht- oder Schallwellen aussenden, deren Empfang durch das Fahrzeug als auslösendes Ereignis (11, 12) dient. Das Verfahren lässt sich auch mit vertauschten Rollen durchführen.
- 2) Fahrzeug und Tanksäule bestimmen anhand der Signatur eine Identifikationsnummer (ID), mittels derer sie sich miteinander koppeln (16) und Funksignale an das jeweilige Gegenüber eindeutig identifizieren können.
- 3) Ist die ID universell eindeutig, so können - z. B. durch eine weitere Datenbankabfrage - weitere Informationen über Fähigkeiten und andere Merkmale von Fahrzeug bzw. Tanksäule abgerufen werden.
- 4) Wenn mit der ID ein kryptographisches Merkmal verknüpft ist, z. B. ein öffentlicher Schlüssel eines asymmetrischen Verschlüsselungsverfahrens, so können die Parteien sich anschließend per Funk gegenseitig authentifizieren und zu bestimmten Aktionen autorisieren.
- 5) Insbesondere kann für den Aufbau einer informationssicheren Funkverbindung (17) ein Sitzungsschlüssel (session key) für ein symmetrisches Kryptosystem vereinbart werden.
- 6) Unter Verwendung eines sogenannten Zero-Knowledge-Protokolls können die Partner sich z. B. durch Abfrage der Signatur in einer weiteren vertrauenswürdigen zentralen Datenbank gegenseitig beweisen, dass sie bestimmte für den Betankungsvorgang notwendige Kenntnisse besitzen, ohne letztere selbst preiszugeben.
- 7) Unter Verwendung von Zertifikaten und weiteren Informationen, die in der Datenbank hinterlegt sind, kann das Gegenüber den Nachweis erbringen, dass es bzw. sein System standardisierte Anforderungen an die Funktionssicherheit erfüllt.
- 8) Es kann ein Keepalive-Mechanismus realisiert werden, indem mindestens eine Seite periodisch Testsignale mit gleicher oder variierender Periodendauer aussendet und die Gegenseite diese Signale jeweils überprüft und bei ihrem Ausbleiben oder Abweichung von einem gegebenen Referenzsignal in einen sicheren Zustand übergeht.
- 9) Die Identifikation oder weitere Statusinformation über den Ablauf können auf einem Display im Fahrzeug oder auf einer Anzeige an der Tanksäule angezeigt werden.
-
Im Umfeld des beschriebenen Grundverfahrens (10) können weitere Maßnahmen umgesetzt werden. So lässt sich für jede der vorgenannten Maßnahmen die Sicherheit durch eine Ortung mittels der zugrundeliegenden Radar-, Lidar-, Sonar- oder Sodar-Technologie erhöhen. Dazu wird die Position der Gegenseite dahingehend überprüft, ob sich diese innerhalb eines als sicher definierten Bereichs z. B. auf dem Tankstellengelände befindet.
-
Dieses Verfahren (10) kann beispielsweise in Software oder Hardware oder in einer Mischform aus Software und Hardware beispielsweise in einem Steuergerät (30) implementiert sein, wie die schematische Darstellung der 2 verdeutlicht.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- US 2013139897 A1 [0002]
- US 2020276909 A1 [0003]
- US 10800281 B2 [0003]
- US 2020346554 A1 [0003]
- US 20130091042 A1 [0004]
- US 2018213376 A1 [0005]