DE102022004836A1 - Fahrzeugbatterie, Zellmodul für eine Fahrzeugbatterie und Verfahren zur Herstellung und zum Betreiben einer Fahrzeugbatterie - Google Patents

Fahrzeugbatterie, Zellmodul für eine Fahrzeugbatterie und Verfahren zur Herstellung und zum Betreiben einer Fahrzeugbatterie Download PDF

Info

Publication number
DE102022004836A1
DE102022004836A1 DE102022004836.1A DE102022004836A DE102022004836A1 DE 102022004836 A1 DE102022004836 A1 DE 102022004836A1 DE 102022004836 A DE102022004836 A DE 102022004836A DE 102022004836 A1 DE102022004836 A1 DE 102022004836A1
Authority
DE
Germany
Prior art keywords
cell module
certificate
bmc
vehicle battery
cell
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102022004836.1A
Other languages
English (en)
Inventor
Jan Kipping
Friedrich Emanuel Hust
Julien Hennig
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mercedes Benz Group AG
Original Assignee
Mercedes Benz Group AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mercedes Benz Group AG filed Critical Mercedes Benz Group AG
Priority to DE102022004836.1A priority Critical patent/DE102022004836A1/de
Publication of DE102022004836A1 publication Critical patent/DE102022004836A1/de
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Secondary Cells (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Betreiben einer Fahrzeugbatterie (1) umfassend mindestens ein zur elektrischen Ladungsspeicherung eingerichtetes austauschbares Zellmodul (10, 10.1, 10.n, 10'.1, 10".1) und einen Battery Management Controller (BMC) (100). Von einem Zellmodul (10, 10.1, 10.n, 10'.1, 10".1) wird an den BMC (100) mindestens ein Datensatz übertragen, wobei der Datensatz zusammen mit einem dem Zellmodul (10, 10.1, 10.n, 10'.1, 10".1) jeweils zugeordneten Zellmodul-Zertifikat (16, 16.1, 16.n, 16'.1) durch Anwendung eines dem Zellmodul (10, 10.1, 10.n, 10'.1, 10".1) zugeordneten privaten kryptographischen Schlüssels (14) digital signiert wird, wobei das Zellmodul-Zertifikat (16, 16.1, 16.n, 16'.1) den zu dem privaten Schlüssel (14) korrespondierenden öffentlichen kryptographischen Schlüssel (15) umfasst und die Gültigkeit eines empfangenen Datensatzes von dem BMC (100) mindestens anhand der digitalen Signatur und des Zellmodul-Zertifikats (16, 16.1, 16.n, 16'.1) überprüft wird, wobei ein Zellmodul-Zertifikat (16, 16.1, 16.n, 16'.1) als valide ermittelt wird, wenn es entlang einer Zertifikatskette bis zu einer vertrauenswürdigen, von einem vorbestimmten Zertifikatsaussteller ausgestellten Ursprungsbeglaubigung verfolgbar ist. Ferner betrifft die Erfindung eine Fahrzeugbatterie (1), ein Verfahren zur Herstellung einer Fahrzeugbatterie (1) sowie ein Zellmodul (10, 10.1, 10.n, 10'.1, 10".1) für eine Fahrzeugbatterie (1).

Description

  • Die Erfindung betrifft ein Verfahren zum Betreiben einer Fahrzeugbatterie gemäß dem Oberbegriff des Anspruchs 1, eine Fahrzeugbatterie gemäß dem Oberbegriff des Anspruchs 5, ein Verfahren zur Herstellung einer solchen Fahrzeugbatterie gemäß dem Oberbegriff des Anspruchs 6 sowie ein zur Verwendung in einer Fahrzeugbatterie eingerichtetes Zellmodul gemäß dem Oberbegriff des Anspruchs 7.
  • Das Dokument US 11,081,733 B1 beschreibt ein intelligentes Batteriesystem sowie Verfahren zur Herstellung und zum Betreiben eines intelligenten Batteriesystems. Das Batteriesystem umfasst ein Paket von Zellen sowie ein Batteriemanagementsystem zum unterstützenden Schutz dieses Pakets von Zellen. Das Paket von Zellen umfasst Zellen mit Betriebsparametern wie Kapazitäten, Spannungen, Strömen, Lade- oder Entladeraten und/oder Lebenszyklen, welche innerhalb der Zellen gleich oder verschieden sein können. Das Batteriemanagementsystem umfasst einen Ladungszähler, einen Mikrocontroller und einen Metalloxid-Halbleiter (MOS) Schalter, welcher das Paket von Zellen steuert und, basierend auf den chemischen Charakteristiken und Betriebsparametern der Zellen, unterstützend schützt. In vorteilhafter Weise kann das intelligente Batteriesystem austauschbare Zellen umfassen, in welche es für die Lagerung und/oder den Transport zerlegt und aus denen es wieder zusammengesetzt werden kann, ohne dass die Kapazität und die Leistungsfähigkeit des Batteriesystems beeinträchtigt wird.
  • Der Erfindung liegt die Aufgabe zu Grunde, ein verbessertes Verfahren zum Betreiben einer Fahrzeugbatterie anzugeben. Diese Aufgabe wird erfindungsgemäß mit einem Verfahren gelöst, das die Merkmale des Anspruchs 1 aufweist.
  • Der Erfindung liegt ferner die Aufgabe zu Grunde, eine verbesserte Fahrzeugbatterie anzugeben. Diese Aufgabe wird erfindungsgemäß mit einer Fahrzeugbatterie gelöst, die die Merkmale des Anspruchs 5 aufweist.
  • Der Erfindung liegt ferner die Aufgabe zu Grunde, ein Verfahren zur Herstellung einer solchen verbesserten Fahrzeugbatterie anzugeben. Diese Aufgabe wird erfindungsgemäß mit einem Verfahren gelöst, das die Merkmale des Anspruchs 6 aufweist.
  • Der Erfindung liegt ferner die Aufgabe zu Grunde, ein verbessertes Zellmodul anzugeben, das zur Ladungsspeicherung und zur Verwendung in einer verbesserten Fahrzeugbatterie eingerichtet ist. Diese Aufgabe wird erfindungsgemäß mit einem Zellmodul gelöst, das die Merkmale des Anspruchs 7 aufweist.
  • Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand der Unteransprüche.
  • Nach einem ersten Aspekt der Erfindung wird bei einem Verfahren zum Betreiben einer Fahrzeugbatterie, die mindestens ein zur elektrischen Ladungsspeicherung eingerichtetes austauschbares Zellmodul und einen Battery Management Controller (im Folgenden als BMC bezeichnet) umfasst, mindestens ein Datensatz von einem Zellmodul an den BMC übertragen. Beispielsweise kann ein solcher Datensatz Angaben zum Hersteller, zum Herstellzeitpunkt, zum Lebenszyklus, zur bereitgestellten Spannung und/oder zum bereitgestellten Strom und/oder Parameter umfassen, welche den aktuellen elektrochemischen Zustand des austauschbaren Zellmoduls charakterisieren.
  • Erfindungsgemäß wird ein solcher Datensatz mit einem Zellmodul-Zertifikat zusammen digital signiert, das heißt: in die Bestimmung der digitalen Signatur wird ein Zellmodul-Zertifikat einbezogen, das als digitales Zertifikat eindeutig und ausschließlich dem jeweiligen Zellmodul zugeordnet ist. Zur digitalen Signierung wird ein dem Zellmodul zugeordneter privater kryptographischer Schlüssel verwendet, wobei der korrespondierende (das heißt: zur Prüfung der digitalen Signatur geeignete) öffentliche Schlüssel im jeweiligen Zellmodul-Zertifikat enthalten ist. Darüber hinaus kann das Zellmodul-Zertifikat einen definierten, eindeutigen Namen des Zellmoduls sowie weitere Angaben, beispielsweise eine Seriennummer, enthalten, die in ihrer Gesamtheit eine unverwechselbare digitale Identität des Zellmoduls festlegen.
  • Ein von einem Zellmodul empfangener Datensatz wird auf seine Gültigkeit von dem BMC anhand seiner digitalen Signatur und anhand des enthaltenen Zellmodul-Zertifikats überprüft. Die Überprüfung der digitalen Signatur erfolgt durch Anwendung des in dem Zellmodul-Zertifikat enthaltenen öffentlichen Schlüssels. Die Überprüfung des Zellmodul-Zertifikats erfolgt, indem die Gültigkeit der digitalen Signatur des Zellmodul-Zertifikats geprüft wird.
  • Diese Signatur kann von einer wohlbekannten, vertrauenswürdigen Stammzertifizierungsstelle erstellt worden sein. Dann erfolgt die Prüfung durch Anwendung des öffentlichen Schlüssels dieser Stammzertifizierungsstelle.
  • Typischerweise wird die Gültigkeitsprüfung jedoch entlang einer Kette von aufeinander verweisenden digitalen Zertifikaten erfolgen, indem geprüft wird, ob jedes Zertifikat von der Instanz digital signiert wurde, auf welche das in der Zertifikatskette folgende Zertifikat ausgestellt wurde. Diese Prüfung wird fortgesetzt, bis ein Zertifikat erreicht wird, das von einer als vertrauenswürdig betrachteten Instanz, beispielsweise einer Stammzertifizierungsstelle oder einem anderen vorbestimmten Zertifikatsaussteller, ausgestellt wurde und das als vertrauenswürdige Ursprungsbeglaubigung angesehen wird.
  • Mit dem vorgeschlagenen Verfahren wird ein Schutz der Authentizität, der Integrität und der Vertrauenswürdigkeit der von einem Zellmodul übertragenen Daten erzielt. Zellmodule, die von einem nicht vertrauenswürdigen Hersteller bereitgestellt werden, verfügen nicht über ein Zellmodul-Zertifikat, das bis auf eine vertrauenswürdige Ursprungsbeglaubigung zurückgeführt werden kann. Sie können auch Daten anderer (vertrauenswürdiger) Zellmodule nicht nachbilden, beispielsweise durch Einbindung eines von einem solchen anderen Zellmodul gestohlenen Zellmodul-Zertifikats, da diese Daten zusammen mit dem jeweiligen Zellmodul-Zertifikat über einen privaten Schlüssel signiert werden, auf den der nicht vertrauenswürdige Hersteller keinen Zugriff hat.
  • Ein Vorteil des erfindungsgemäßen Verfahrens besteht somit darin, dass von dem BMC verlässlich geprüft werden kann, ob ein nachträglich in die Fahrzeugbatterie integriertes Zellmodul von einem zugelassenen Hersteller gefertigt worden ist. Zellmodule von nicht zugelassenen Herstellern können die Betriebssicherheit, die Effizienz und/oder die Lebensdauer einer Fahrzeugbatterie beeinträchtigen. Dies kann mit dem vorgeschlagenen Verfahren vermieden werden. Zudem können durch das Zellmodul-Zertifikat in Verbindung mit der digitalen Signatur womöglich falsche Parameter, beispielsweise falsche Angaben zum Herstellzeitpunkt oder zur Zahl der Lade- / Entladezyklen für ein Zellmodul, einem namentlich bekannten Hersteller eines Zellmoduls zugeordnet werden.
  • Ein weiterer Vorteil besteht darin, dass für das erfindungsgemäße Verfahren ein Kontakt zwischen dem Hersteller einer Fahrzeugbatterie und einem oder mehreren Herstellern von Zellmodulen, beispielsweise zum Austausch von Zertifikaten, nicht erforderlich ist. Es ist vielmehr ausreichend, wenn jeder der Hersteller direkt oder mittelbar über Zwischenzertifikate von einer Instanz zertifiziert wurde, der alle Beteiligten vertrauen können, beispielsweise vom Hersteller eines Fahrzeugs, für das eine Fahrzeugbatterie entwickelt wurde, oder von einem Herstellerverband oder einer anderen, gemeinsam akkreditierten Stelle. Dadurch kann die Logistik für die Entwicklung und Fertigung von Komponenten für Fahrzeugbatterien beträchtlich vereinfacht werden.
  • Bei einer Ausführungsform des Verfahrens wird jedem Datensatz ein Zählerstand zugeordnet, der von einem nicht-dekrementierbaren monotonischen Zähler erzeugt wird. Derartige monotonische Zähler können beispielsweise in besonderen Sicherheits - Logikschaltkreisen umgesetzt sein, in denen durch hardwaretechnische Maßnahmen (beispielsweise durch irreversible Programmierung) sichergestellt ist, dass der Zählerstand eines solchen monotonischen Zählers nicht dekrementiert und insbesondere nicht zurückgesetzt werden kann.
  • Mit der Erzeugung und/oder der Übertragung eines Datensatzes in beziehungsweise von dem Zellmodul wird ein solcher Zählerstand jeweils inkrementiert und dem erzeugten beziehungsweise übertragenen Datensatz zugeordnet. Der zugeordnete Zählerstand bildet somit die zeitliche Reihenfolge der Erzeugung beziehungsweise Übertragung der Datensätze eine Zellmoduls ab, insbesondere können zwei verschiedene, vom selben Zellmodul erzeugte beziehungsweise übertragene Datensätze nicht einen gleichen Zählerstand tragen.
  • Von dem BMC wird ein empfangener Datensatz als ungültig ermittelt, wenn der darin enthaltene (das heißt: dem Datensatz zugeordnete) Zählerstand kleiner oder gleich einem Zählerstand eines Datensatzes ist, der von demselben Zellmodul zuvor empfangen worden ist.
  • Auf diese Weise können als Replay Attack bezeichnete Angriffe verhindert werden, bei denen gültig signierte und (mittels Zellmodul-Zertifikat) zertifizierte Datensätze eines ersten, vertrauenswürdigen Zellmoduls von einem Angreifer erfasst, gespeichert und anschließend von einem nicht zertifizierten, nicht vertrauenswürdigen zweiten Zellmodul wieder versendet werden, wobei das zweite Zellmodul die digitale Identität des ersten Zellmoduls beansprucht beziehungsweise vortäuscht. Durch die vorgeschlagene Ausführungsform kann somit die Sicherheit gegen ein unberechtigtes Austauschen von Zellmodulen in einer Fahrzeugbatterie weiter verbessert werden.
  • In einer weiteren Ausführungsform wird mindestens eine Sicherheitsreaktion ausgelöst, wenn ein Datensatz als ungültig ermittelt wurde, beispielsweise indem ein unplausibler (beispielsweise gegenüber bereits vom selben Zellmodul empfangenen Datensätzen gleicher oder niedrigerer) Zählerstand, eine inkorrekte digitale Signatur und/oder ein ungültiges oder fehlendes Zellmodul-Zertifikat festgestellt wurden. Eine Sicherheitsreaktion kann beispielsweise die Zuschaltung der Fahrzeugbatterie zum Hochvolt-System eines Fahrzeugs oder die Zuschaltung des Zellmoduls innerhalb der Fahrzeugbatterie unterbinden, das den als ungültig ermittelten Datensatz abgesendet hat.
  • In einer weiteren Ausführungsform wird dem BMC ein BMC-Zertifikat zugeordnet und auf einem Datenspeicher des BMC abgelegt, wobei das BMC-Zertifikat entlang einer Zertifikatkette bis zu einer vertrauenswürdigen, von einem vorbestimmten Zertifikatsaussteller ausgestellten Ursprungsbeglaubigung zurück verfolgbar und somit validierbar ist.
  • Ferner wird bei dieser Ausführungsform ein ursprüngliches Zellmodul-Zertifikat ersetzt, das vom BMC mit einem Datensatz empfangen wird und das zwar validierbar ist (das heißt: auf eine vertrauenswürdige Ursprungsbeglaubigung zurückführbar ist), dessen Zertifikatskette (das heißt: die Folge von aufeinander verweisenden digitalen Zertifikaten bis hin zur vertrauenswürdigen Ursprungsbeglaubigung) jedoch das BMC-Zertifikat selbst nicht umfasst. Eine solche Situation kann beispielsweise dann auftreten, wenn der Hersteller des Zellmoduls und der Hersteller des BMC (oder der Hersteller der Fahrzeugbatterie) von einer gemeinsamen Instanz (beispielsweise dem Hersteller eines Fahrzeugs, für das die Fahrzeugbatterie geeignet ist), jedoch unabhängig voneinander zertifiziert wurden.
  • Bei dieser Ausführungsform wird das ursprüngliche Zellmodul-Zertifikat durch ein neues Zellmodul-Zertifikat ersetzt oder ergänzt, dem das BMC-Zertifikat beigefügt ist. Mit anderen Worten: das neue Zellmodul-Zertifikat ist entlang einer Zertifikatkette validierbar, die das BMC-Zertifikat umfasst. Dadurch kann die Validierung des Zellmodul-Zertifikats beschleunigt und insbesondere autark (ohne Zugriff auf fremde öffentliche Schlüssel) durchgeführt werden. Ferner kann die Integration von Zellmodulen in eine Fahrzeugbatterie sowohl im initialen Fertigungsprozess als auch bei einem nachträglichen Austausch beispielsweise verschlissener Zellmodule erheblich vereinfacht werden, da es keiner zentralen Registrierung zulässiger (vertrauenswürdiger) Zellmodule mehr bedarf.
  • Nach einem zweiten Aspekt der Erfindung umfasst eine Fahrzeugbatterie einen Battery Management Controller (BMC), der erfindungsgemäß zur Ablage eines BMC-Zertifikats und zur Überprüfung einer digitalen Signatur und eines Zellmodul-Zertifikats eingerichtet ist. Diese Überprüfung stellt sicher, dass die digitale Signatur mit einem privaten digitalen Schlüssel erstellt wurde, welcher zu dem in dem Zellmodul-Zertifikat umfassten öffentlichen digitalen Schlüssel korrespondiert (das heißt: mit letzterem ein kryptographisches Schlüsselpaar bildet). Das BMC-Zertifikat sowie das Zellmodul-Zertifikat sind hierbei entlang jeweils einer Zertifikatkette auf eine Ursprungsbeglaubigung zurückführbar (validierbar), die von demselben Zertifikatshersteller ausgestellt wurde.
  • Die Vorteile der erfindungsgemäßen Fahrzeugbatterie entsprechen den Vorteilen des Verfahrens zum Betreiben einer Fahrzeugbatterie gemäß dem ersten Aspekt der Erfindung.
  • Nach einem dritten Aspekt der Erfindung wird bei einem Verfahren zur Herstellung einer Fahrzeugbatterie gemäß dem zweiten Aspekt der Erfindung ein BMC mit einem BMC-Zertifikat sowie mindestens ein Zellmodul mit jeweils einem Zellmodul-Zertifikat, welches in seiner Zertifikatskette auf das BMC-Zertifikat verweist, bereitgestellt. Die Vorteile dieses Verfahrens entsprechen den Vorteilen des Verfahrens zum Betreiben einer Fahrzeugbatterie gemäß dem ersten Aspekt der Erfindung. Ferner weist eine nach diesem Verfahren hergestellte Fahrzeugbatterie den Vorteil auf, dass von dem mindestens einen Zellmodul an den BMC gesendete Datensätze besonders leicht und autark (ohne Zugriff auf fremde öffentliche Schlüssel) auf ihre Vertrauenswürdigkeit geprüft werden können.
  • Nach einem vierten Aspekt der Erfindung ist ein Zellmodul, das zur Speicherung einer elektrischen Ladung für die Verwendung in einer Fahrzeugbatterie eingerichtet ist, zur Ablage eines privaten digitalen Schlüssels eingerichtet und umfasst einen Datenspeicher, der zur Ablage von mindestens einem Zellmodul-Zertifikat sowie zur Ablage von Herstell- und/oder Betriebsparametern dieses Zellmoduls eingerichtet ist. Derartige Herstell- und/oder Betriebsparameter können einmalig geschriebene Daten, beispielsweise ein Herstelldatum oder eine Seriennummer sein. Alternativ oder zusätzlich können dies bewegliche (mehrfach geschriebene) Daten sein, beispielsweise eine Anzahl von Lade- und Entladezyklen, denen das Zellmodul seit seiner Herstellung ausgesetzt war.
  • Ferner umfasst ein solches Zellmodul gemäß dem vierten Aspekt der Erfindung eine Zellüberwachungseinheit, die zur digitalen Signatur von Datensätzen eingerichtet ist, welche mindestens ein auf dem Datenspeicher abgelegtes Zellmodul-Zertifikat umfassen, wobei die digitale Signatur durch Anwendung des auf dem Zellmodul abgelegten digitalen Schlüssels erstellt wird.
  • Zur sicheren (gegen Manipulation geschützten) Ablage von Datensätzen reicht die digitale Signatur in Verbindung mit dem Zellmodul-Zertifikat. Daher sind besondere Schutz- oder Sicherheitsmaßnahmen bezüglich des Datenspeichers selbst nicht erforderlich. Es ist vielmehr ausreichend, wenn der dem Zellmodul zugeordnete private digitale Schlüssel gegen unberechtigtes Auslesen oder Verändern geschützt ist. Somit kann an Stelle eines speziell entwickelten sicheren Speichermoduls ein vergleichsweise einfacher und kostengünstiger Datenspeicher, beispielsweise ein üblicher EEPROM (electrically erasable programmable read-only memory), eingesetzt werden. Weitere Vorteile des Zellmoduls entsprechen den Vorteilen des Verfahrens zum Betreiben einer Fahrzeugbatterie gemäß dem ersten Aspekt der Erfindung.
  • In einer Ausführungsform umfasst das Zellmodul eine Sicherheitslogik, die zur geschützten Ablage des privaten digitalen Schlüssels und zum digitalen Signieren von Datensätzen durch Anwendung dieses privaten digitalen Schlüssels eingerichtet ist. Mit einer derartigen Sicherheitslogik kann die digitale Signatur der von dem Zellmodul abgelegten und/oder übermittelten Datensätze besonders einfach, effizient und sicher erfolgen.
  • In einer weiteren Ausführungsform umfasst die Sicherheitslogik zudem einen nicht-dekrementierbaren monotonischen Zähler. Ein solcher monotonischer Zähler ist in einer Sicherheitslogik besonders leicht und gegen Angriffe geschützt umsetzbar. Die Vorteile eines von einem Zellmodul zur Identifizierung der Reihenfolge des Erzeugens und/oder Übermittelns von Datensätzen verwendbaren monotonischen Zählers entsprechen den Vorteilen der Ausführungsform eines Verfahrens zum Betreiben einer Fahrzeugbatterie unter Verwendung eines Zählerstandes eines solchen monotonischen Zählers.
  • Ausführungsbeispiele der Erfindung werden im Folgenden anhand von Zeichnungen näher erläutert.
  • Dabei zeigen:
    • 1 schematisch eine Fahrzeugbatterie mit einer Batterieüberwachungseinheit und einem Zellmodul mit einer Zellüberwachungseinheit sowie
    • 2 schematisch den Ablauf des Anlernens eines ersatzweise in einer Fahrzeugbatterie eingebauten Zellmoduls.
  • Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen.
  • 1 zeigt schematisch und ausschnittsweise eine Fahrzeugbatterie 1 für ein nicht näher dargestelltes Kraftfahrzeug mit einem Elektroantrieb. Eine Fahrzeugbatterie 1 umfasst üblicherweise eine Mehrzahl von Zellmodulen 10, in denen jeweils mehrere elektrochemische Zellen, beispielsweise Lithium-Ionen-Zellen, zusammengefasst sind.
  • Zur verbesserten Übersichtlichkeit ist in 1 lediglich ein einziges Zellmodul 10 schematisch dargestellt, das einen Zellenblock 11 umfasst, in dem mehrere elektrochemische Zellen zusammengefasst sind. Die elektrochemischen Zellen des Zellenblocks 11 sind im Detail in 1 nicht dargestellt. Zudem wird eine Fahrzeugbatterie 1 typischerweise weitere Zellmodule 10 umfassen, die vorliegend nicht dargestellt sind.
  • Das Zellmodul 10 umfasst außer dem Zellenblock 11 eine Zellüberwachungseinheit 12, die auch als Cell Supervision Electronics (CSE) bezeichnet wird. Die Zellüberwachungseinheit 12 überwacht und regelt den Ladezustand des Zellenblocks 11, beispielsweise unter Berücksichtigung der Ladezustände der einzelnen darin enthaltenen elektrochemischen Zellen und/oder der Betriebstemperatur.
  • Zellüberwachungseinheiten 12, die einen Microcontroller oder einen Application Specific Integrated Circuit (ASIC) umfassen, sind aus dem Stand der Technik bekannt. Typischerweise umfassen derartige Zellüberwachungseinheiten 12 auch mindestens einen Datenspeicher 13, auf dem technische Parameter und Betriebsdaten des zugeordneten Zellenblocks 11 protokolliert werden. Lediglich beispielhaft und stark vereinfacht können auf dem Datenspeicher 13 Angaben zur Anzahl der umfassten elektrochemischen Zellen, Details der elektrochemischen Zellen, ein Herstelldatum und/oder ein Hersteller sowie Parameter bislang erfolgter Auf- und Entladungen des Zellenblocks 11 und/oder einzelner umfasster Zellen abgelegt werden. Diese Daten sind für einen effizienten und sicheren Betrieb des Zellmoduls 10 gemeinsam mit weiteren (in 1 jedoch aus Übersichtlichkeitsgründen nicht dargestellten) Zellmodulen 10 derselben Fahrzeugbatterie 1 erforderlich.
  • Die Koordination der Mehrzahl von Zellmodulen 10 einer Fahrzeugbatterie 1 erfolgt durch ein übergeordnetes Steuergerät, das als Battery Management Controller BMC 100 bezeichnet wird. Der BMC 100 erfasst aus den Parametern der (im Allgemeinen) mehreren Zellmodule 10 den aktuellen Ladezustand der gesamten Fahrzeugbatterie 1, steuert die Auf- und Entladung der einzelnen Zellmodule 10 und übernimmt die Kommunikation mit weiteren, hier nicht näher dargestellten Steuergeräten des Fahrzeugs.
  • Die von den Zellmodulen 10 empfangenen Daten können in einem Datenspeicher 103 des BMC 100 abgelegt werden.
  • Zellmodule 10 können während der Lebensdauer einer Fahrzeugbatterie 1 ausgetauscht werden. Daher können Daten, die ohne weitere Sicherheitsmaßnahmen von einem Zellmodul 10 an das BMC 100 übermittelt werden, nicht von vornherein als vertrauenswürdig angesehen werden. Beispielsweise könnten durch einen Angreifer, aber auch durch einen Dritthersteller eines Zellmoduls 10 Daten auf dessen Datenspeicher 13 manipuliert und in der Folge bezüglich des Herstelldatums, des Herstellers oder der bereits vollzogenen Lade- und Entladezyklen falsche Angaben an das BMC 100 übermittelt werden. Dadurch wird der Betrieb einer Fahrzeugbatterie 1 nach dem Austausch eines Zellmoduls 10 in seiner Sicherheit und Effizienz beeinträchtigt.
  • Der Erfindung liegt die Idee zu Grunde, die Authentizität, die Integrität und die Vertrauenswürdigkeit von Daten, die von einem Zellmodul 10 an das BMC 100 übermittelt werden, durch eine digitale Signatur beziehungsweise durch mindestens ein digitales Zertifikat sicherzustellen.
  • Hierzu wird einem Zellmodul 10 jeweils mindestens ein digitales Schlüsselpaar zugeordnet, das einen privaten Schlüssel 14 zur Erstellen einer digitalen Signatur sowie einen korrespondierenden öffentlichen Schlüssel 15 umfasst, mit dem die Echtheit einer mit dem privaten Schlüssel 14 erstellten digitalen Signatur geprüft werden kann. Mit dem öffentlich, somit auch für das BMC 100, verfügbaren Schlüssel 15 kann das BMC 100 sicherstellen, dass empfangene Daten vollständig und nicht manipuliert sind und von einer Instanz abgesendet wurden, die im Besitz des zugeordneten privaten Schlüssels 14 ist. Damit sind die Authentizität und die Integrität der übermittelten Daten gesichert. Jedoch ist die Vertrauenswürdigkeit des Absenders, vorliegend des Zellmoduls 10, dadurch noch nicht gewährleistet.
  • Erfindungsgemäß wird dem Zellmodul 10 über das digitale Schlüsselpaar hinaus mindestens ein digitales Zellmodul-Zertifikat 16 zugeordnet, das auf eine vertrauenswürdige Ursprungsbeglaubigung (Root of Trust) zurückführbar ist. Bevorzugt ist hierbei das digitale Zellmodul-Zertifikat 16 als eine Kette von aufeinander verweisenden digitalen Zertifikaten (Chain of Trust) ausgebildet, die auf eine solche vertrauenswürdige Ursprungsbeglaubigung zurückführbar ist.
  • Beispielsweise kann ein Fahrzeughersteller Lieferanten von Fahrzeugbatterien 1 jeweils ein von ihm signiertes und auf den jeweiligen Fahrzeughersteller ausgestelltes digitales Zertifikat zuordnen, dessen Echtheit mit einem öffentlichen Schlüssel des Fahrzeugherstellers geprüft werden kann. Die Zuordnung des digitalen Zertifikats eines Lieferanten erfolgt bevorzugt dadurch, dass ein öffentlicher Schlüssel, den der jeweilige Lieferant zur Prüfung seiner eigenen digitalen Signatur vorsieht und bereitstellt, in das von dem Fahrzeughersteller ausgestellte digitale Zertifikat einbezogen wird.
  • Typischerweise wird sich ein Hersteller hierzu eines digitalen Zertifikats bedienen, das ihm selbst von einer übergeordneten Instanz ausgestellt wurde, welcher allgemein und von allen Beteiligten vertraut werden kann und das somit die Anforderungen an eine vertrauenswürdige Ursprungsbeglaubigung (Root of Trust) erfüllt. Beispielsweise kann ein Hersteller ein digitales Zertifikat von einer Stammzertifizierungsstelle beziehen, die sich durch ein von ihr selbst ausgestelltes Stammzertifikat ausweist.
  • Jeder Lieferant von Fahrzeugbatterien 1 kann seinerseits digitale Zertifikate für Sublieferanten von Zellmodulen 10 oder von Komponenten solcher Zellmodule 10 ausstellen, indem er neben den Angaben und dem öffentlichen Schlüssel des Sublieferanten sein eigenes (vom Fahrzeughersteller ausgestelltes) Herstellerzertifikat beifügt und mit einem eigenen privaten Schlüssel digital signiert. Auf diese Weise kann eine im Prinzip beliebig lange Kette von Zertifikaten aufgebaut und lückenlos bis zu der vertrauenswürdigen Ursprungsbeglaubigung (Root of Trust) zurückverfolgt werden.
  • Die Echtheit irgendeines der Zertifikate dieser Kette lässt sich somit stets dadurch prüfen, dass die Echtheit der digitalen Signatur der ersten, von der allgemein vertrauenswürdigen Instanz ausgestellten Ursprungsbeglaubigung (Root of Trust) anhand von deren öffentlichem Schlüssel verifiziert wird und ferner geprüft wird, dass jedes in der Kette nachfolgende Zertifikat korrekt von der Instanz signiert wurde, auf welche das in der Kette vorangehende Zertifikat ausgestellt ist.
  • In gleicher Weise wie dem Zellmodul 10 kann auch dem BMC 100 ein digitales Zertifikat zugewiesen werden, das im Folgenden als BMC-Zertifikat 102 bezeichnet wird und ebenfalls als Zertifikatskette ausgebildet ist.
  • Bevorzugt wird bei der Fertigung und Integration einer Fahrzeugbatterie 1 von einer vertrauenswürdigen Fertigungsinstanz 200 zunächst dem BMC 100 das BMC-Zertifikat 102 zugewiesen und auf einem nicht-flüchtigen Speicher abgelegt, der in 1 nicht näher dargestellt ist. Zugleich wird dem BMC 100 ein Schlüsselpaar zugewiesen, wobei ein privater Schlüssel 101 in einem geschützten Bereich des nicht-flüchtigen Speichers abgelegt wird und der zugeordnete (das heißt: zur Verifizierung digitaler Signaturen mit dem privaten Schlüssel 101 geeignete) öffentliche Schlüssel Bestandteil des BMC-Zertifikats 102 ist.
  • Ausgehend von seinem eigenen BMC-Zertifikat 102 stellt der BMC 100 nachfolgend jedem der bei der Integration umfassten Zellmodule 10 jeweils ein Zellmodul-Zertifikat 16 aus, indem zu den das jeweilige Zellmodul 10 identifizierenden Angaben (darunter bevorzugt auch dessen öffentlicher Schlüssel 15) das BMC-Zertifikat 102 hinzugefügt und die Gesamtheit dieser Daten mit dem privaten Schlüssel 101 des BMC 100 signiert wird. Somit erhält jedes Zellmodul 10 der Fahrzeugbatterie 1 ein individuelles, auf den jeweiligen öffentlichen Schlüssel 15 angepasstes Zellmodul-Zertifikat 16.
  • Im anschließenden operativen Betrieb wird jeder Datensatz, der auf dem internen Datenspeicher 13 des Zellmoduls 10 abgelegt und/oder an den BMC 100 übertragen wird, um das Zellmodul-Zertifikat 16 ergänzt und anschließend mittels des privaten Schlüssels 14 des Zellmoduls 10 digital signiert. Dadurch ist neben der Authentizität und Integrität nun auch die Vertrauenswürdigkeit sämtlicher auf dem Datenspeicher 13 abgelegter oder vom Zellmodul 10 übertragener Daten gesichert.
  • Ein Vorteil der erfindungsgemäßen Lösung besteht darin, dass der Datenspeicher 13 für die Speicherung von Protokolldaten nicht besonders geschützt sein muss, da auch bei einem erfolgreichen Angriff auf den Datenspeicher 13 die dort abgelegten Datensätze nicht verändert werden können, ohne die Integrität der digitalen Signatur zu verletzen. Insbesondere können für den Datenspeicher 13 auch kostengünstige Speichertechnologien, beispielsweise nicht wiederbeschreibbare EEPROM (electrically erasable programmable read-only memory) oder wiederbeschreibbare Flash-EEPROM Speicher, eingesetzt werden. Besondere Schutzvorkehrungen müssen nur hinsichtlich der Ablage des privaten Schlüssels 14 innerhalb des Zellmoduls 10 getroffen werden. In der vorliegend dargestellten Ausführung sind der private Schlüssel 14 und der öffentliche Schlüssel 15 in einer Sicherheitslogik 17 gegen Zugriffe von außen geschützt abgelegt. Die Sicherheitslogik 17 kann darüber hinaus eine eigene, über ein nicht näher dargestelltes digitales Zertifikat abgesicherte digitale Identität verfügen.
  • In einer Ausführungsform umfasst die Sicherheitslogik 17 zusätzlich einen nicht-dekrementierbaren monotonischen Zähler (Monotonic Counter, MC) 18. Der Zählerstand des MC 18 wird mit jeder Protokollierung (das heißt: mit jedem erfassten und auf dem Datenspeicher 13 abgelegten und/oder an den BMC 100 übertragenen Datensatz) inkrementiert und diesem Datensatz als eindeutige Datensatz-Nummer hinzugefügt.
  • Bei dieser Ausführungsform erfasst die BMC 100 die jeweils übertragene Datensatz-Nummer und vergleicht sie mit der Datensatz-Nummer, die von dem jeweiligen Zellmodul 10 bei der letzten Datenübertragung empfangen worden war. Auf diese Weise wird verhindert, dass durch einen Angreifer gültig signierte, aber alte Datensätze aus dem Datenspeicher 13 ausgelesen und erneut an den BMC 100 übertragen werden. Ein Austausch nur der Datensatz-Nummer würde eine Änderung der digitalen Signatur erfordern, die ein Angreifer nicht vornehmen kann, da ihm der private Schlüssel 14 nicht vorliegt.
  • Alternativ oder zusätzlich zu einer auf jeweils einen Datensatz bezogenen digitalen Signatur ist es auch möglich, die Gesamtheit aller auf dem Datenspeicher 13 zusammen mit dem dem jeweiligen Zellmodul 10 zugeordneten Zellmodul-Zertifikat 16 digital zu signieren. Bei jeder Veränderung dieser gespeicherten Daten ist dann die digitale Signatur erneut zu bestimmen. Optional kann bei jeder Veränderung auch der Zählerstand des monotonischen Zählers 18 inkrementiert, auf dem Datenspeicher 13 abgelegt und in die digitale Signatur einbezogen werden. Somit kann, wenn der Inhalt des Datenspeichers 13 insgesamt mit dem Zellmodul-Zertifikat 16 und dem Zählerstand des MC 18 signiert und an den BMC 100 übertragen wird, die Authentizität, Integrität und Vertrauenswürdigkeit dieser Daten geprüft werden.
  • Wird ein Zellmodul 10 während der Lebensdauer einer Fahrzeugbatterie 1 ausgetauscht, so kann die Vertrauenswürdigkeit der Datensätze zunächst nicht mehr an ein Zellmodul-Zertifikat 16 gekoppelt werden, das vom BMC 100 ausgestellt wurde. In dieser Situation ist ein Anlernen des ersatzweise eingebauten Zellmoduls 10 erforderlich, das anhand von 2 erläutert wird.
  • 2 zeigt schematisch eine Fahrzeugbatterie 1 mit einer Mehrzahl von Zellmodulen 10.1 bis 10.n, von denen lediglich beispielhaft ein erstes Zellmodul 10.1 und ein n-tes Zellmodul 10.n dargestellt sind, denen ein erstes beziehungsweise n-tes Zellmodul-Zertifikat 16.1, 16.n sowie in 2 nicht näher dargestellte Schlüsselpaare zugeordnet wurden. Im Übrigen sind die Zellmodule 10.1 bis 10.n baugleich und umfassen je einen Zellenblock 11, eine Zellüberwachungseinheit 12 und einen Datenspeicher 13.
  • Zur Veranschaulichung stellt 2 zunächst eine Situation dar, bei der das erste Zellmodul 10.1 entlang des im oberen Teil der 2 dargestellten gültigen Ablaufs G gegen ein ersatzweises Original Equipment Manufacturer (OEM)-Zellmodul 10'.1 ausgetauscht wird. Der Hersteller des OEM-Zellmoduls 10'.1 verfügt über ein digitales Zertifikat, das vom digitalen Zertifikat des Herstellers der Fahrzeugbatterie 1 abweicht, welches in der Zertifikatskette des BMC-Zertifikats 102 enthalten ist, das jedoch auf dieselbe vertrauenswürdige Ursprungsbeglaubigung (Root of Trust), beispielsweise auf dasselbe Stammzertifikat derselben Stammzertifizierungsstelle zurück verfolgbar ist.
  • Beim Anlernen des OEM-Zellmoduls 10'.1 fordert der BMC 100 dessen Zellmodul-Zertifikat 16'.1 an und überprüft dessen Gültigkeit, indem die darin umfasste Zertifikatkette zurück verfolgt wird und festgestellt wird, dass am Anfang dieser Zertifikatkette ein Zertifikat steht, das von derselben vertrauenswürdigen Instanz gültig signiert wurde wie das eigene BMC-Zertifikat 102. Damit werden die von dem OEM-Zellmodul 10'.1 bereitgestellten Daten für vertrauenswürdig erkannt.
  • In einem nachfolgenden Schritt stellt das BMC 100 für das OEM-Zellmodul 10'.1 anhand von dessen digitaler Identität, die beispielsweise durch den öffentlichen Schlüssel eines in 2 nicht näher gezeigten Schlüsselpaares und/oder durch einen definierten, eindeutig zugewiesenen Namen bestimmt ist, ein neues digitales Zertifikat aus. Dieses neu ausgestellte Zertifikat umfasst die Zertifikatskette des BMC-Zertifikats 102 und wird zusätzlich oder an Stelle des ursprünglichen (das heißt: vom OEM ausgestellten) Zellmodul-Zertifikats 16'.1 auf der Zellüberwachungseinheit 12 des OEM-Zellmoduls 10'.1 abgelegt.
  • Mittels dieses neu erstellten, die Zertifikatskette des BMC-Zertifikats 102 umfassenden Zellmodul-Zertifikats 16'.1 authentifiziert das ersatzweise eingebaute OEM-Zellmodul 10'.1 seine Daten in gleicher Weise, wie es für ein ursprünglich in die Fahrzeugbatterie 1 bei der Fertigung integriertes Zellmodul 10 anhand von 1 bereits erklärt worden ist.
  • Im unteren Teil der 2 ist entlang eines ungültigen Ablaufs U das Verfahren für ein ersatzweise eingebautes non-OEM-Zellmodul 10".1 dargestellt. Der Hersteller eines solchen non-OEM-Zellmoduls 10". 1 verfügt nicht über ein digitales Zertifikat, das sich bis zu derselben vertrauenswürdigen Quelle (Root of Trust) zurückverfolgen lässt wie das digitale Zertifikat des Herstellers der Fahrzeugbatterie 1, sondern über ein Fremdzertifikat 16".1.
  • Beim Abruf von Daten vom non-OEM-Zellmodul 10".1 stellt der BMC 100 fest, dass diese Daten kein durch die vertrauenswürdige Quelle bestätigtes digitales Zertifikat umfassen.
  • Dazu wird von dem BMC 100 zunächst überprüft, ob ein von einem Zellmodul 10'.1, 10".1 geliefertes Zertifikat 16'.1, 16".1 auf einer gültigen und bekannten Zertifikatskette basiert. Danach werden die aus dem Datenspeicher 13 des Zellmoduls 10'.1, 10".1 entnommenen und an den BMC 100 übertragenen Daten auf ihre Gültigkeit überprüft. Insbesondere wird die Korrektheit der auf diesen Daten ausgeführten digitalen Signatur überprüft. Optional kann die Plausibilität eines mit den Daten zusammen übermittelten Zählerstandes eines monotonischen Zählers 18 und/oder die digitale Identität der Sicherheitslogik 17 überprüft werden.
  • Bei positivem Ergebnis aller Teilüberprüfungen (gültiges Zellmodul-Zertifikat 16'.1, korrekte Signatur, plausibler Zählerstand des MC 18 und korrekte Identität der Sicherheitslogik 17) wird an das Zellmodul 10'.1 ein neues, die Zertifikatskette des BMC-Zertifikats 102 umfassendes Zellmodul-Zertifikat 16'.1 übertragen, wie oben anhand des gültigen Ablaufs G bereits erläutert.
  • Schlägt eine dieser Teilüberprüfungen fehl, so kann eine Ersatzreaktion ausgelöst werden und/oder eine Integration des non-OEM-Zellmoduls 10". 1 in das Hochvolt-System der Fahrzeugbatterie 1 unterbunden werden. Eine Ersatzreaktion kann beispielsweise ein Eintrag in einem Sicherheitsprotokoll oder die Benachrichtigung eines zentralen Sicherheits-Überwachungssystems sein, welches beispielsweise vom Hersteller des Fahrzeugs betrieben wird.
  • Bezugszeichenliste
    • 1
    Fahrzeugbatterie
    10, 10.1
    Zellmodul
    10'.1
    Original Equipment Manufacturer (OEM)-Zellmodul
    10''.1
    non-OEM-Zellmodul
    10.n
    Zellmodul
    11
    Zellenblock
    12
    Zellüberwachungseinheit
    13
    Datenspeicher
    14
    privater Schlüssel
    15
    öffentlicher Schlüssel
    16, 16.1 bis 16.n, 16'.1
    Zellmodul-Zertifikat
    16''.1
    Fremdzertifikat
    17
    Sicherheitslogik
    18
    Monotonischer Zähler, Monotonic Counter (MC)
    100
    Battery Management Controller (BMC)
    101
    privater Schlüssel
    102
    BMC-Zertifikat
    103
    Datenspeicher
    200
    Fertigungsinstanz
    G
    gültiger Ablauf
    U
    ungültiger Ablauf
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 11081733 B1 [0002]

Claims (9)

  1. Verfahren zum Betreiben einer Fahrzeugbatterie (1) umfassend mindestens ein zur elektrischen Ladungsspeicherung eingerichtetes austauschbares Zellmodul (10, 10.1, 10.n, 10'.1, 10".1) und einen Battery Management Controller (BMC) (100), dadurch gekennzeichnet, dass - mindestens ein Datensatz von einem Zellmodul (10, 10.1, 10.n, 10'.1, 10".1) an den BMC (100) übertragen wird, wobei - der Datensatz zusammen mit einem dem Zellmodul (10, 10.1, 10.n, 10'.1, 10".1) jeweils zugeordneten Zellmodul-Zertifikat (16, 16.1, 16.n, 16'.1) durch Anwendung eines dem Zellmodul (10, 10.1, 10.n, 10'.1, 10".1) zugeordneten privaten kryptographischen Schlüssels (14) digital signiert wird, wobei das Zellmodul-Zertifikat (16, 16.1, 16.n, 16'.1) den zu dem privaten Schlüssel (14) korrespondierenden öffentlichen kryptographischen Schlüssel (15) umfasst und - die Gültigkeit eines empfangenen Datensatzes von dem BMC (100) mindestens anhand der digitalen Signatur und des Zellmodul-Zertifikats (16, 16.1, 16.n, 16'.1) überprüft wird, wobei ein Zellmodul-Zertifikat (16, 16.1, 16.n, 16'.1) als valide ermittelt wird, wenn es entlang einer Zertifikatskette bis zu einer vertrauenswürdigen, von einem vorbestimmten Zertifikatsaussteller ausgestellten Ursprungsbeglaubigung verfolgbar ist.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass jedem Datensatz ein Zählerstand eines nicht-dekrementierbaren monotonischen Zählers (MC) (18) des jeweiligen Zellmoduls (10, 10.1, 10.n, 10'.1, 10".1) eindeutig zugeordnet und in die digitale Signatur einbezogen wird, wobei ein empfangener Datensatz von dem BMC (100) als ungültig ermittelt wird, wenn der darin enthaltene Zählerstand kleiner oder gleich dem Zählerstand eines von demselben Zellmodul (10, 10.1, 10.n, 10'.1, 10".1) zuvor empfangenen Datensatzes ist.
  3. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eine Sicherheitsreaktion ausgelöst wird, wenn ein empfangener Datensatz als ungültig ermittelt wird.
  4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass - dem BMC (100) ein BMC-Zertifikat (102) zugeordnet und auf einem Datenspeicher (103) abgelegt wird, welches entlang einer Zertifikatkette bis zu einer vertrauenswürdigen, von einem vorbestimmten Zertifikatsaussteller ausgestellten Ursprungsbeglaubigung validierbar ist, - ein durch dieselbe Ursprungsbeglaubigung entlang einer das BMC-Zertifikat (102) nicht umfassenden Zertifikatskette validierbares Zellmodul-Zertifikat (16, 16.1, 16.n, 16'.1) durch ein Zellmodul- Zertifikat (16, 16.1, 16.n, 16'. 1) ersetzt wird, das entlang einer das BMC-Zertifikat (102) umfassenden Zertifikatskette validierbar ist.
  5. Fahrzeugbatterie (1) umfassend einen Battery Management Controller (BMC) (100), dadurch gekennzeichnet, dass der BMC (100) zur Ablage eines BMC-Zertifikats (102) und zur Überprüfung einer digitalen Signatur und eines Zellmodul-Zertifikats (16, 16.1, 16.n, 16'.1) dahingehend eingerichtet ist, dass die digitale Signatur mit dem in dem Zellmodul-Zertifikat (16, 16.1, 16.n, 16'.1) umfassten öffentlichen Schlüssel (15) korrespondiert und das BMC-Zertifikat (102) sowie das Zellmodul-Zertifikat (16, 16.1, 16.n, 16'.1) entlang jeweils einer Zertifikatkette auf eine von demselben Zertifikatsaussteller ausgestellte Ursprungsbeglaubigung führen.
  6. Verfahren zur Herstellung einer Fahrzeugbatterie (1) nach Anspruch 5, dadurch gekennzeichnet, dass ein BMC (100) mit einem BMC-Zertifikat (102) sowie mindestens ein Zellmodul (10, 10.1, 10.n, 10'.1, 10".1) mit jeweils einem Zellmodul- Zertifikat (16, 16.1, 16.n, 16'. 1), welches in seiner Zertifikatskette auf das BMC-Zertifikat (102) verweist, bereitgestellt werden.
  7. Für die Verwendung in einer Fahrzeugbatterie (1) eingerichtetes Zellmodul (10, 10.1, 10.n, 10'.1, 10".1) zur Speicherung einer elektrischen Ladung, dadurch gekennzeichnet, dass das Zellmodul (10, 10.1, 10.n, 10'.1, 10".1) zur Ablage eines privaten Schlüssels (14) eingerichtet ist und einen zur Ablage von Herstell- und/oder Betriebsparametern sowie von mindestens einem Zellmodul- Zertifikat (16, 16.1, 16.n, 16'.1) eingerichteten Datenspeicher (13) sowie eine Zellüberwachungseinheit (12) umfasst, die zur digitalen Signatur von Datensätzen mindestens umfassend das mindestens eine Zellmodul- Zertifikat (16, 16.1, 16.n, 16'.1) durch Anwendung des privaten Schlüssels (14) eingerichtet ist.
  8. Zellmodul (10, 10.1, 10.n, 10'.1, 10".1) nach Anspruch 7, dadurch gekennzeichnet, dass das Zellmodul (10, 10.1, 10.n, 10'.1, 10".1) eine Sicherheitslogik (17) umfasst, die zur geschützten Ablage des privaten Schlüssels (14) und zum digitalen Signieren damit eingerichtet ist.
  9. Zellmodul (10, 10.1, 10.n, 10'.1, 10".1) nach Anspruch 8, dadurch gekennzeichnet, dass die Sicherheitslogik (17) einen nicht-dekrementierbaren Monotonischen Zähler (18) umfasst.
DE102022004836.1A 2022-12-21 2022-12-21 Fahrzeugbatterie, Zellmodul für eine Fahrzeugbatterie und Verfahren zur Herstellung und zum Betreiben einer Fahrzeugbatterie Ceased DE102022004836A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022004836.1A DE102022004836A1 (de) 2022-12-21 2022-12-21 Fahrzeugbatterie, Zellmodul für eine Fahrzeugbatterie und Verfahren zur Herstellung und zum Betreiben einer Fahrzeugbatterie

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022004836.1A DE102022004836A1 (de) 2022-12-21 2022-12-21 Fahrzeugbatterie, Zellmodul für eine Fahrzeugbatterie und Verfahren zur Herstellung und zum Betreiben einer Fahrzeugbatterie

Publications (1)

Publication Number Publication Date
DE102022004836A1 true DE102022004836A1 (de) 2024-03-21

Family

ID=90062452

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022004836.1A Ceased DE102022004836A1 (de) 2022-12-21 2022-12-21 Fahrzeugbatterie, Zellmodul für eine Fahrzeugbatterie und Verfahren zur Herstellung und zum Betreiben einer Fahrzeugbatterie

Country Status (1)

Country Link
DE (1) DE102022004836A1 (de)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0970449B1 (de) 1997-03-06 2004-09-22 Deutsche Telekom AG Tragbarer datenträger und verfahren zu dessen kryptographisch gesicherten benutzung mit austauschbaren kryptographischen schlüsseln
US11081733B2 (en) 2015-12-31 2021-08-03 SZ DJI Technology Co., Ltd. Intelligent battery and method
DE102021003609A1 (de) 2021-07-13 2021-09-09 Daimler Ag Verfahren und Vorrichtung zur Dokumentation von Betriebsdaten und deren Anwendung für ein Hochvolt-Batteriesystem
US20220113356A1 (en) 2019-06-28 2022-04-14 Analog Devices International Unlimited Company Battery fleet monitoring systems

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0970449B1 (de) 1997-03-06 2004-09-22 Deutsche Telekom AG Tragbarer datenträger und verfahren zu dessen kryptographisch gesicherten benutzung mit austauschbaren kryptographischen schlüsseln
US11081733B2 (en) 2015-12-31 2021-08-03 SZ DJI Technology Co., Ltd. Intelligent battery and method
US20220113356A1 (en) 2019-06-28 2022-04-14 Analog Devices International Unlimited Company Battery fleet monitoring systems
DE102021003609A1 (de) 2021-07-13 2021-09-09 Daimler Ag Verfahren und Vorrichtung zur Dokumentation von Betriebsdaten und deren Anwendung für ein Hochvolt-Batteriesystem

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
BLÜMKE, Julian; HOF, Hans-Joachim: Authentic Batteries: A Concept for a Battery Pass Based on PUF-enabled Certificates. In: SECURWARE 2022: The Sixteenth International Conference on Emerging Security Information, Systems and Technologies. International Academy, Research and Industry Association (IARIA), Oktober 2022. S. 76–81. URL: https://www.thinkmind.org/articles/securware_2022_1_120_30051.pdf [abgerufen am 11.10.2023]

Similar Documents

Publication Publication Date Title
DE102013222461B4 (de) Verfahren zum Starten eines Batteriemanagementsystems
DE10008974B4 (de) Signaturverfahren
DE602005001351T2 (de) Verteilte Verwaltung einer Zertifikatsrücknahmeliste
EP3655880B1 (de) Hardwaresystem mit blockchain
EP2999605B1 (de) Verfahren und vorrichtungen zum bereitstellen von informationen zu wartungs- und servicezwecken einer batterie
DE10008973A1 (de) Autorisierungsverfahren mit Zertifikat
DE102015213412A1 (de) Verfahren und Anordnung zum sicheren Austausch von Konfigurationsdaten einer Vorrichtung
WO2022028975A1 (de) System und verfahren zum verifizieren von komponenten eines industriellen kontrollsystems
DE102013219100A1 (de) Verfahren und Vorrichtungen zur Authentifizierung von Messdaten einer Batterie
WO2021233696A1 (de) Verfahren zur sicheren nutzung von kryptografischem material
DE102008054354B4 (de) Sichere Codierung von Spannungsdaten vieler Zellen bei Hybridfahrzeugen
EP2272199A1 (de) Verteilte datenspeicherungseinrichtung
DE102019212065A1 (de) Verfahren zum Protokollieren einer Verwendungshistorie eines Batteriesystems sowie Batteriesystem und Kraftfahrzeug
DE102022004836A1 (de) Fahrzeugbatterie, Zellmodul für eine Fahrzeugbatterie und Verfahren zur Herstellung und zum Betreiben einer Fahrzeugbatterie
WO2013164042A1 (de) Sicherung eines energiemengenzählers gegen unbefugten zugriff
DE102021003609A1 (de) Verfahren und Vorrichtung zur Dokumentation von Betriebsdaten und deren Anwendung für ein Hochvolt-Batteriesystem
DE102010053698A1 (de) Sichere Programmierung von Fahrzeugmodulen
DE102022002083B3 (de) Verfahren zur Überwachung des Betriebs einer Verbindungsanordnung zwischen lnterlock-Komponenten sowie lnterlock-Komponente zur Verwendung in einer lnterlock- Schleife
DE102018211139A1 (de) Steuergerät sowie Verfahren zu dessen Betrieb
EP1529257A2 (de) Übernehmen eines datensatzes in eine recheneinheit
DE102004045574A1 (de) Verfahren zum Austausch von Kryptograhiedaten
WO2024061548A1 (de) Verfahren zum durchführen einer dekomissionierung eines elektrischen energiespeichers eines kraftfahrzeugs, computerprogrammprodukt sowie system
DE102022200544A1 (de) Verfahren zur abgesicherten Bereitstellung eines zu schützenden Computerpro-gramms in einer Recheneinheit
DE102020214499A1 (de) Verfahren zum Erzeugen von Schlüsseln und Ersetzen von Teilnehmern in einem Netzwerk
DE102021006637A1 (de) Verfahren zur Implementierung und Nutzung von kryptografischem Material in wenigstens einer Systemkomponente eines informationstechnischen Systems

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R230 Request for early publication
R016 Response to examination communication
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final