Beschreibung
Verfahren und Vorrichtung zum manipulationssicheren Aufladen eines Elektrofahrzeuges über eine Ladesäule
Die vorliegende Erfindung betrifft ein Verfahren und eine Vorrichtung zum manipulationssicheren Aufladen eines Elektro- fahrzeuges über eine Ladesäule. Weithin bekannt ist eine Abrechnung von Strombezug auf einem Parkplatz über Parkscheine oder direkten Münzeinwurf, d.h. der Strombedarf wird direkt vor Ort bezahlt. Darüber hinaus sind Parkscheinautomaten mit Elektrotankstellen bekannt, wobei der Zugriff auf die Ladestation über einen mechanischen Schlüssel geregelt wird und eine Berechtigung des Elektro- fahrzeuges über eine Vignette von einer Aufsichtsperson geprüft werden kann.
Die JP 2008042984 offenbart, dass an einer Stromtankstelle eine Vehicle-ID eines Fahrzeuges ausgelesen wird und mittels eines Servers überprüft wird, ob diese Vehicle-ID des Fahr¬ zeuges registriert ist. Davon abhängig ist eine Ausstellung einer Berechtigung zum Laden des Fahrzeuges an der Stromtankstelle .
Die CN 201018298 Y beschreibt ein drahtloses Übertragungsge¬ rät zur Verwendung von Ladeparametern für das Laden eines Elektrofahrzeuges , wobei die Ladeparameter drahtlos übertra¬ gen werden. Das beschriebene drahtlose Übertragungsgerät um- fasst einen Signalprozessor, eine Kommunikationseinrichtung und eine Speichereinheit.
Elektrofahrzeuge können an Ladestationen, ähnlich einer Tankstelle, aufgeladen werden. Dabei können verschiedene Bezahl- modalitäten genutzt werden wie etwa über eine Guthabenkarte
( ' Prepaid cards ' ) , über eine direkte Abbuchung oder über eine Kreditkarte. Dabei ist es wünschenswert, einen Betrugsversuch verhindern zu können. Insbesondere, da die Ladestation im Ge-
gensatz zu herkömmlichen Tankstellen eher unbemannt ist, muss möglichen Betrugsversuchen vorgebeugt werden. Wird ein Elekt- rofahrzeug geladen, möchte auf der einen Seite der Besitzer des Elektrofahrzeuges sicherstellen, dass er nur für die beim Elektrofahrzeug angekommene Energiemenge bezahlt. Auf der an¬ deren Seite möchte ein Ladestationsbetreiber sicherstellen, dass nur der bezahlende Kunde den angeforderten Strom erhält. Dabei kann es vorkommen, dass die Ladestation von einem aus der Sicht des Energielieferanten oder des Kunden nur teilwei- se vertrauenswürdigen Betreiber angeboten wird. Es wird ein Verfahren benötigt, bei dem sichergestellt wird, dass ein Kunde nur für die empfangene Leistung bezahlt, unabhängig da¬ von, ob die Ladestation vertrauenswürdig ist oder nicht. Dar¬ über hinaus soll sichergestellt werden, dass ein Betreiber erkennen und darauf geeignet reagieren kann, wenn Strom an bestimmten Ladestationen ohne Bezahlung abgegriffen wird.
Es ist daher eine Aufgabe der vorliegenden Erfindung, ein sicheres Verfahren und eine sichere Vorrichtung zum Aufladen eines Elektrofahrzeuges zur Verfügung zu stellen, bei dem ge¬ währleistet wird, dass die tatsächlich transferierte Energie¬ mengen von allen Beteiligten erfasst werden.
Diese Aufgabe wird erfindungsgemäß durch ein Verfahren zum manipulationssicheren Aufladen eines Elektrofahrzeuges über eine Ladesäule mit den Merkmalen des Patentanspruchs 1 und durch eine Vorrichtung gemäß Patentanspruch 15 gelöst.
Demgemäß wird erfindungsgemäß ein Verfahren zum manipulati- onssicheren Aufladen eines Elektrofahrzeuges über eine Lade¬ säule bereitgestellt, mit den Schritten: Freigeben eines Auf¬ ladevorgangs zum Aufladen des Elektrofahrzeuges an der Lade¬ säule eines Ladestationsbetreibers nach erfolgreicher Prüfung von Berechtigungsdaten des Elektrofahrzeuges durch eine Lade- berechtigungsprüfeinheit der Ladesäule, Vergleichen von Ener¬ gieabgabe-Informationsdaten, welche von einer Lademengenmess- einheit der Ladesäule bestimmt werden und an die Lademen- genmessprüfeinheit des Elektrofahrzeuges übertragen werden,
mit Energiebezugs-Informationsdaten, welche durch eine Lade- mengenmessprüfeinheit des Elektrofahrzeuges bestimmt werden, durch die Lademengenmessprüfeinheit des Elektrofahrzeuges während des Aufladevorgangs zur Ermittelung eines Ladekon- trollergebnisses und kryptografisch geschütztes Übertragen des Ladekontrollergebnisses von der Lademengenmessprüfeinheit des Elektrofahrzeuges an die Ladeberechtigungsprüfeinheit der Ladesäule, wobei bei Übereinstimmung der Energieabgabe- Informationsdaten mit den Energiebezugs-Informationsdaten der Aufladevorgang fortgesetzt wird und bei einer Abweichung der Energieabgabe-Informationsdaten von den Energiebezugs- Informationsdaten die Ladeberechtigungsprüfeinheit der Lade¬ säule den Aufladevorgang des Elektrofahrzeuges an der Lade¬ säule unterbricht. Das Ladekontrollergebnis kann ein Zahlen- wert sein oder auch nur eine Bestätigung, dass die dem Elekt- rofahrzeug angezeigte Energiemenge der empfangen Energiemenge entspricht .
Darüber hinaus schafft die vorliegende Erfindung eine Vor- richtung zum manipulationssicheren Aufladen eines Elektro- fahrzeuges an einer Ladesäule mit mindestens einer Ladestati¬ on, welche eine oder mehrere Ladesäulen aufweist, die zum Aufladen des mit einer Lademengenmessprüfeinheit ausgestatte¬ ten Elektrofahrzeuges vorgesehen ist und die eine Ladeberech- tigungsprüfeinheit zur Prüfung von Berechtigungsdaten des
Elektrofahrzeuges sowie eine Lademengenmesseinheit zur Erfas¬ sung von Energieabgabe-Informationsdaten aufweist, wobei die Lademengenmessprüfeinheit des Elektrofahrzeuges zur Erfassung von Energiebezugs-Informationsdaten vorgesehen ist, und mit einer Verbindung zu einem Daten- und Stromnetzwerk, welches mehrere Ladestationen von einem oder mehreren Ladestationsbetreibern und mindestens ein Backend aufweist, welches zur Überprüfung von Berechtigungsdaten und/oder zur Versorgung der Ladesäulen der Ladestation mit Energie vorgesehen ist.
In den Unteransprüchen finden sich vorteilhafte Weiterbildungen und Verbesserungen des jeweiligen Gegenstandes der Erfindung .
Gemäß einer bevorzugten Weiterbildung werden bei dem Verfahren zum manipulationssicheren Aufladen für das Freigeben des Aufladevorgangs eine Ladeberechtigung der Ladesäule anhand von Ladesäuleberechtigungsdaten der Ladesäule durch eine Ladevergabeeinheit geprüft.
Gemäß einer weiteren Weiterbildung wird bei einer erfolgreichen Prüfung der Ladesäuleberechtigungsdaten eine digital signierten Nachricht zur Freigabe des Aufladevorgangs von ei¬ ner Backend-Ladeberechtigungsprüfeinheit an das Elektrofahr- zeug übertragen.
Gemäß einer weiteren Weiterbildung erfolgt die Prüfung der Ladesäuleberechtigungsdaten der Ladesäule und/oder die Prüfung der Berechtigungsdaten des Elektrofahrzeuges nach einem Challenge-Response-Verfahren .
Gemäß einer weiteren Weiterbildung erfolgt die Übertragung der Ladesäuleberechtigungsdaten der Ladesäule und/oder der
Berechtigungsdaten des Elektrofahrzeuges kryptographisch geschützt .
Gemäß einer weiteren Weiterbildung erfolgt die Übertragung der Energieabgabe-Informationsdaten und/oder der Energiebe- zugs-Informationsdaten kryptographisch geschützt.
Gemäß einer weiteren Weiterbildung wird die Ladesäule an ein Daten- und Stromnetzwerk mit einem Backend angeschlossen, wo- bei mit dem Daten- und Stromnetzwerk und/oder dem Backend Informationsdaten und/oder Energiemengen ausgetauscht werden.
Gemäß einer weiteren Weiterbildung ist die Ladesäule von dem Backend getrennt angeordnet, wobei die Ladesäule den Auflade- Vorgang in einem Offline-Modus ohne Verbindung zu dem Backend durchführt .
Gemäß einer weiteren Weiterbildung ist die Ladesäule mit dem Backend verbunden, wobei der Aufladevorgang in einem Online- Modus mit Verbindung zu dem Backend durchführt wird. Gemäß einer weiteren Weiterbildung ist der Ladestationsbetreiber der Ladesäule einem anderen, fremden Daten- und Stromnetzwerk als einem Heimnetzwerk des Elektrofahrzeuges zugehörig, wobei ein Backend eine Ladeberechtigung des Elekt- rofahrzeuges überprüft und bei erfolgreicher Überprüfung eine Nachricht zur Freigabe des Aufladevorgangs an die Ladesäule sendet .
Gemäß einer weiteren Weiterbildung umfasst das Verfahren die Schritte, Ausstellen eines Ladeberechtigungs-Tokens über eine bestimmte Strommenge und Übermitteln des Ladeberechtigungs- Tokens von einer Ladeprüfeinheit an die Ladesäule und an das Elektrofahrzeug, Liefern der bestimmten Strommenge nach einer Überprüfung des Ladeberechtigungs-Tokens und Messen einer ge¬ lieferten Strommenge durch die Ladesäule und Übertragen von Abgabe-Informationsdaten von der Ladesäule über die gelieferte Strommenge an die Ladeprüfeinheit , Messen einer erhaltenen Strommenge durch das Elektrofahrzeug und Übertragen von Be- zugs-Informationsdaten über die erhaltene Strommenge von dem Elektrofahrzeug an die Ladeprüfeinheit , Überprüfen der Be- zugs-Informationsdaten und der Abgabe-Informationsdaten durch die Ladeprüfeinheit .
Gemäß einer weiteren Weiterbildung erfolgt das Ausstellen des Ladeberechtigungs-Tokens durch den Ladestationsbetreiber oder durch die Ladeprüfeinheit .
Gemäß einer weiteren Weiterbildung erfolgt bei einer fehlerhaften Ladeberechtigungs-Information ein Abbruch des Aufladevorgangs des Elektrofahrzeuges .
Gemäß einer weiteren Weiterbildung erfolgt das Übertragen von Abgabe-Informationsdaten über die gelieferte Strommenge und/oder das Übertragen von Bezugs-Informationsdaten über die
erhaltene Strommenge kryptographisch geschützt und/oder digi¬ tal signiert.
Im Weiteren werden Ausführungsformen der vorliegenden Erfin- dung anhand von Ausführungsbeispielen unter Bezugnahme auf die beigelegten Figuren näher erläutert. Es zeigen:
Fig. 1 eine schematische Darstellung des Aufladevorgangs zum Aufladen des Elektrofahrzeuges an der Ladesäule gemäß einer ersten Ausführungsform der vorliegenden
Erfindung;
Fig. 2 eine schematische Darstellung des Aufladevorgangs zum Aufladen des Elektrofahrzeuges an der Ladesäule gemäß einer weiteren Ausführungsform der vorliegenden Erfindung;
Fig. 3 ein Ablaufdiagramm des Aufladevorgangs zum Aufladen des Elektrofahrzeuges an der Ladesäule in einem Off- line-Modus gemäß einer weiteren Ausführungsform der vorliegenden Erfindung;
Fig. 4 ein Ablaufdiagramm des Aufladevorgangs zum Aufladen des Elektrofahrzeuges an der Ladesäule in einem On- line-Modus gemäß einer weiteren Ausführungsform der vorliegenden Erfindung;
Fig. 5 ein Ablaufdiagramm des Aufladevorgangs zum Aufladen des Elektrofahrzeuges an der Ladesäule in einem On- line-Modus an einer netzfremden Ladesäule gemäß ei¬ ner weiteren Ausführungsform der vorliegenden Erfindung;
Fig. 6 ein Ablaufdiagramm des Aufladevorgangs zum Aufladen des Elektrofahrzeuges an der Ladesäule mit einer To- ken-Kontrolle gemäß einer weiteren Ausführungsform der vorliegenden Erfindung.
In den Figuren sind gleiche oder funktionsgleiche Elemente, sofern nicht anders angegeben ist, mit denselben Bezugszei¬ chen versehen worden. In der Figur 1 ist eine schematische Darstellung des Auflade¬ vorgangs zum Aufladen des Elektrofahrzeuges an der Ladesäule gemäß einer ersten Ausführungsform der vorliegenden Erfindung dargestellt. Ein Elektrofahrzeug 1 eines Kunden K wird an ei¬ ner Ladestation LS eines Energieproviders aufgeladen. Die La- destation LS ist beispielsweise mit einem Clearing House oder einem sonstigen Verbund eines Daten- und Stromnetzwerkes N verbunden. Das Clearing House hat hierbei die Aufgabe, die Abrechnung für die erbrachte Leistung und die bereitgestellte Energiemenge gegenüber dem Kunden zu realisieren. Diese Auf- gäbe wird beispielsweise von einem Backend BE als eine zent¬ rale Recheneinheit des Energieproviders übernommen. Das Ba¬ ckend BE ist beispielsweise auch eine Verbindungseinheit zu einer Energiebörse, über welche der Energieprovider Energie zum Aufladen der Elektrofahrzeuge bezieht.
Die Figur 2 zeigt eine schematische Darstellung des Auflade¬ vorgangs zum Aufladen des Elektrofahrzeuges 1 an der Ladesäu¬ le LS gemäß einer weiteren Ausführungsform der vorliegenden Erfindung. Das Elektrofahrzeug 1 des Kunden K, welches eine Lademengenmessprüfeinheit LMMPE aufweist, ist an eine Lade¬ säule LS vorgefahren, um einen Ladevorgang vorzunehmen. Die Ladesäule LS verfügt über eine geeichte Lademengenmesseinheit LMME und eine Ladeberechtigungsprüfeinheit LBPE. Die Ladesäu¬ le LS ist über das Daten- und Stromnetzwerk N mit dem Backend BE verbunden, welches eine Backend-
Ladeberechtigungsprüfeinheit LBPEB und eine Ladevergabeein¬ heit LBVE aufweist.
Die Figur 3 zeigt ein Ablaufdiagramm des Aufladevorgangs zum Aufladen des Elektrofahrzeuges 1 an der Ladesäule LS in einem Offline-Modus gemäß einer weiteren Ausführungsform der vorliegenden Erfindung. Die Freigabe der Gesamtstrommenge durch die Lademengenmesseinheit LMME der Ladesäule LS folgt nach
der Anmeldung des Kunden K und der Übermittlung einer Stromanforderung an die Lademengenmesseinheit LMME der Ladesäule LS im Schritt Sl. Die Ladesäule LS ist in der gezeigten Aus¬ führungsform nicht mit dem Backend BE des Energieproviders verbunden. Die Lademengenmessprüfeinheit LMMPE des Elektro- fahrzeuges 1 und die Lademengenmesseinheit LMME der Ladesäule LS messen während des Ladevorgangs die transferierte Energie¬ menge im Schritt S2. Im Schritt S3 sendet die Ladesäule LS Energieabgabeinformationsdaten an die Lademengenmessprüfein- heit LMMPE des Elektrofahrzeuges 1. Im Schritt S3A vergleicht die Lademengenmessprüfeinheit LMMPE des Elektrofahrzeuges 1 die Energieabgabeinformationsdaten mit den gemessenen Ener- giebezugs-Informationsdaten . Im nächsten Schritt S4 wird eine signierte Ladestrommeldung von der Lademengenmessprüfeinheit LMMPE des Elektrofahrzeuges 1 an die an die Lademengenmess¬ einheit LMME der Ladesäule LS versendet. Als Antwort wird hierauf von der Lademengenmesseinheit LMME der Ladesäule LS eine Rechnungsstellung in Form einer Abbrechung an den Kunden K im Schritt S5 versendet.
Die Figur 4 zeigt ein Ablaufdiagramm des Aufladevorgangs zum Aufladen des Elektrofahrzeuges 1 an der Ladesäule LS in einem Online-Modus gemäß einer weiteren Ausführungsform der vorliegenden Erfindung. Der Ablauf der weiteren Ausführungsform startet mit dem Schritt Sil, wobei die Lademengenmessprüfein¬ heit LMMPE des Elektrofahrzeuges 1 eine Stromanforderung an die Backend-Ladeberechtigungsprüfeinheit LBPEB des Backends BE übermittelt. Im Schritt S12 fordert die Lademengenmess- prüfeinheit LMMPE des Elektrofahrzeuges 1 Ladesäulenberechti- gungsdaten der Ladesäule LS von der Backend- Ladeberechtigungsprüfeinheit LBPEB des Backends BE an. Im Fall einer positiven Prüfung der Anfragen versendet die Backend-Ladeberechtigungsprüfeinheit LBPEB des Backends BE im Schritt S13 eine signierte Berechtigungsmeldung an die Lade- mengenmessprüfeinheit LMMPE des Elektrofahrzeuges 1. Im nach¬ folgenden Schritt S2 startet der Aufladevorgang des Elektro- fahrzeuges 1, wobei die Lademengenmessprüfeinheit LMMPE des Elektrofahrzeuges 1 und die Lademengenmesseinheit LMME der
Ladesäule LS die transferierte Energiemenge erfassen. Nach Beendigung des Ladevorgangs versendet die Ladesäule LS im Schritt S3 Energieabgabeinformationsdaten an die Lademengen- messprüfeinheit LMMPE des Elektrofahrzeuges 1. Dies kann auch zyklisch während des Aufladens geschehen, wie in Figur 6 dargestellt. Im Schritt S3A vergleicht die Lademengenmessprüf- einheit LMMPE des Elektrofahrzeuges 1 die Energieabgabeinfor¬ mationsdaten mit den gemessenen Energiebezugs-
Informationsdaten . Im nächsten Schritt S4 wird eine signierte Ladestrommeldung von der Lademengenmessprüfeinheit LMMPE des Elektrofahrzeuges 1 an die Lademengenmesseinheit LMME der La¬ desäule LS versendet. Als Antwort wird hierauf von der Lade¬ mengenmesseinheit LMME der Ladesäule LS eine Rechnungsstel¬ lung in Form einer Abbrechung an den Kunden K im Schritt S5 versendet.
Die Figur 5 zeigt ein Ablaufdiagramm des Aufladevorgangs zum Aufladen des Elektrofahrzeuges an der Ladesäule in einem On¬ line-Modus an einer netzfremden Ladesäule gemäß einer weite- ren Ausführungsform der vorliegenden Erfindung. Der Kunde K ist mit seinem Elektrofahrzeug 1 an einer Ladesäule LS vorge¬ fahren, welche nicht seinem Heimnetzwerk zugehörig ist. Bei der weiteren Ausführungsform in einem Roaming-Verfahren wird die Einsatzbereitschaft der Ladesäule LS außerhalb des eige- nen Heimnetzwerkes des Kunde K durch eine Authentisierung und Autorisierung technisch unterstützt, um einen Aufladevorgang zu ermöglichen. Der Aufladevorgang in dem Roaming-Verfahren startet mit dem Versenden von Berechtigungsdaten an das
Fremdnetz von der Lademengenmessprüfeinheit LMMPE des Elekt- rofahrzeuges 1 des Kunden K an die Backend-
Ladeberechtigungsprüfeinheit LBPEB des Backends BE des Fremd¬ netzes im Schritt S21. Das Backend BE prüft die Berechti¬ gungsdaten, welche beispielsweise in Form einer Kunden-ID vorliegen, in der dafür vorgesehen Ladevergabeeinheit LBVE des Backends BE . Hierfür wird die Kunden-ID im Schritt S21A an die Ladevergabeeinheit LBVE versandt. Eine Freigabe eines Roaming-Ladevorgangs erfolgt im Schritt S23 durch das Versen¬ den einer Roaming-Zertifizierung an die Lademengenmessprüf-
einheit LMMPE des Elektrofahrzeuges 1. Im Folgenden werden die Schritte S2, S3, S3A, S4 und S5 entsprechend dem Auflade¬ vorgang zum Aufladen des Elektrofahrzeuges 1 an der Ladesäule LS in einem Online-Modus oder Offline-Modus in einem Heimnetz gemäß den Figuren 4 und 5 ausgeführt.
Die Figur 6 zeigt ein Ablaufdiagramm des Aufladevorgangs zum Aufladen des Elektrofahrzeuges 1 an der Ladesäule LS mit ei¬ ner Token-Kontrolle gemäß einer weiteren Ausführungsform der vorliegenden Erfindung. Die auf der Verwendungen von Token basierende weitere Ausführungsform des Verfahrens startet im Schritt ST1 mit dem Anmelden des Kunden K an der Ladestation LS, welche mit dem Backend BE verbunden ist, mit einer User ID. Im Schritt ST2 wird diese Stromanforderung der User ID an das Backend BE weitergeleitet. Im Schritt ST3 stellt das Ba¬ ckend BE einen Token über eine Teilstrommenge aus, welcher an die Ladestation LS versendet wird. Der Token wird im Schritt S4 von der Ladesäule LS an den Kunden K weitergeleitet. Ab¬ schließend erfolgt im Schritt ST5 eine Energielieferung ent- sprechend der Teilmenge des Tokens an den Kunden K. Nach der Energielieferung wird von dem Kunden K eine Bestätigung über die empfangene Energiemenge im Schritt ST6 signiert versen¬ det. Anschließend wird im Schritt ST7 ein weiterer Token über eine Teilstrommenge von dem Backend BE an die Ladestation LS versendet, welche den Token an den Kunden K im Schritt ST8 weiterleitet. Nach dem Erhalt einer weiteren Energielieferung versendet der Kunde K im Schritt ST9 wiederum eine signierte Bestätigung über die empfangene Energiemenge an die Ladesta¬ tion LS. In den Schritten ST10 und ST11 wird erneut ein Token von dem Backend and die Ladesäule LS und von dort an den Kun¬ den K übermittelt. Nach dem Schritt ST 12, welcher eine erneute Bestätigung der empfangenen Energiemenge durch den Kunden K umfasst, erfolgt im Schritt ST13 ein Beenden des Lade¬ zyklus. Das Ausstellen einer Rechnung wird im Schritt ST14 ausgeführt und es folgt mit dem Schritt ST15 ein Abgleichen der Rechnung über die gelieferte Gesamtmenge.
Obwohl die vorliegende Erfindung vorstehend anhand bevorzug¬ ter Ausführungsbeispielen erläutert worden ist, ist sie nicht darauf beschränkt, sondern auch in anderer Weise ausführbar.