DE102010011645A1 - Anordnung und Verfahren zur Datenverarbeitung in einem Fahrzeug - Google Patents

Anordnung und Verfahren zur Datenverarbeitung in einem Fahrzeug Download PDF

Info

Publication number
DE102010011645A1
DE102010011645A1 DE102010011645A DE102010011645A DE102010011645A1 DE 102010011645 A1 DE102010011645 A1 DE 102010011645A1 DE 102010011645 A DE102010011645 A DE 102010011645A DE 102010011645 A DE102010011645 A DE 102010011645A DE 102010011645 A1 DE102010011645 A1 DE 102010011645A1
Authority
DE
Germany
Prior art keywords
data
vehicle
change
power
consumption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102010011645A
Other languages
English (en)
Inventor
Werner Kampert
Rolf Banzhaf
Michael Hinrichs
Georg Peschers
Stephan Günther
Uwe Böhm
Wolfgang Kutz
Uwe Garbe
Claus-Peter Schuster
Andree Altmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Francotyp Postalia GmbH
Original Assignee
Francotyp Postalia GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Francotyp Postalia GmbH filed Critical Francotyp Postalia GmbH
Priority to DE102010011645A priority Critical patent/DE102010011645A1/de
Publication of DE102010011645A1 publication Critical patent/DE102010011645A1/de
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/04Billing or invoicing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/20Administration of product repair or maintenance
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Marketing (AREA)
  • Computer Hardware Design (AREA)
  • Human Resources & Organizations (AREA)
  • General Business, Economics & Management (AREA)
  • Economics (AREA)
  • Strategic Management (AREA)
  • Development Economics (AREA)
  • Computer Security & Cryptography (AREA)
  • Mathematical Physics (AREA)
  • Accounting & Taxation (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Finance (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)

Abstract

Die vorliegende Erfindung betrifft eine Anordnung zur Datenverarbeitung in einem Fahrzeug, insbesondere einem Kraftfahrzeug, mit einer Fahrzeugkomponente (104, 105, 106, 118, 119, 120, 121) des Fahrzeugs (103), einer Verarbeitungseinrichtung (109.1) und einer Speichereinrichtung (110), wobei die Speichereinrichtung (110) mit der Verarbeitungseinrichtung (109.1) verbunden ist und erste Daten speichert und die Verarbeitungseinrichtung (109.1) dazu ausgebildet ist, die ersten Daten in Abhängigkeit von einer Zustandsänderung der Fahrzeugkomponente (104, 105, 106, 118, 119, 120, 121) zu modifizieren. Die Verarbeitungseinrichtung (109.1) und/oder die Speichereinrichtung (110) ist dazu ausgebildet, die modifizierten ersten Daten in der Speichereinrichtung (110) in einer vor unerkannter Manipulation abgesicherten Form zur Verfügung zu stellen.

Description

  • Die vorliegende Erfindung betrifft eine Anordnung zur Datenverarbeitung in einem Fahrzeug, insbesondere einem Kraftfahrzeug, mit einer Fahrzeugkomponente des Fahrzeugs, einer Verarbeitungseinrichtung und einer Speichereinrichtung, wobei die Speichereinrichtung mit der Verarbeitungseinrichtung verbunden ist und erste Daten speichert und die Verarbeitungseinrichtung dazu ausgebildet ist, die ersten Daten in Abhängigkeit von einer Zustandsänderung der Fahrzeugkomponente zu modifizieren. Sie betrifft weiterhin ein entsprechendes Verfahren zur Datenverarbeitung, welches im Zusammenhang mit der erfindungsgemäßen Anordnung verwendet werden kann.
  • Im Kraftfahrzeugsektor wird die Fahrzeugtechnik selbst aber auch die Infrastruktur (Mautsysteme, Tankstellen etc.) immer stärker von elektronischen bzw. softwarebasierten Lösungen dominiert. Nicht zuletzt der immer stärker an Bedeutung gewinnende Bereich der Elektromobilität erzeugt eine erhebliche Dynamik, welche diesen Trend noch weiter verstärkt.
  • In diesem Zusammenhang besteht häufig der Bedarf für die Inanspruchnahme bestimmter Leistungen durch das Fahrzeug bzw. dessen Nutzer eine zuverlässige Abrechnung zur Verfügung zu stellen. So sind beispielsweise aus der EP 0 780 801 A1 und der WO 01/59711 A1 unterschiedliche Systeme zur Erfassung und Abrechnung von Straßenmaut oder Parkgebühren bekannt, bei denen die Signale ortsfester Sender und mobiler Empfänger im Fahrzeug genutzt werden, um die Benutzung eines Verkehrswegs oder eines Parkplatzes abzurechen.
  • Ebenso besteht auch im Zusammenhang mit dem Aufladen der Batterien eines Elektrofahrzeugs an einer Ladestation natürlich der Bedarf eine manipulationssichere adäquate Abrechnung der Ladung zu gewährleisten. Typischerweise geschieht dies über herkömmliche Bezahlmodelle, bei denen der Nutzer eine Kreditkarte, Geldkarte oder dergleichen verwendet, die er beispielsweise in einen Leser der Ladestation einführt, um für die bezogene Lademenge zu bezahlen. Dieses Verfahren ist jedoch vergleichsweise umständlich und erfordert einen erheblichen Aufwand hinsichtlich der Infrastruktur (Kartenleser etc.). Zudem sind derartige Systeme mit Kartenlesern oder dergleichen anfällig für Vandalismus.
  • Der vorliegenden Erfindung liegt daher die Aufgabe zu Grunde, eine Anordnung bzw. ein Verfahren zur Datenverarbeitung der eingangs genannten Art zur Verfügung zu stellen, welche bzw. welches die oben genannten Nachteile nicht oder zumindest in geringerem Maße aufweist und insbesondere in einfacher Weise die Verhinderung von Fehlfunktionen oder unerkannten Manipulationen im Bereich sicherheitsrelevanter bzw. abrechnungsrelevanter Fahrzeugdaten ermöglicht.
  • Die vorliegende Erfindung löst diese Aufgabe mit einer Anordnung gemäß Anspruch 1. Sie löst diese Aufgabe weiterhin mit einem Verfahren gemäß Anspruch 13.
  • Der vorliegenden Erfindung liegt die technische Lehre zu Grunde, dass man in einfacher Weise Fehlfunktionen oder unerkannte Manipulationen im Bereich sicherheitsrelevanter bzw. abrechnungsrelevanter Fahrzeugdaten ermöglicht, wenn im Fahrzeug selbst ein (kompaktes oder verteilt angeordnetes) Sicherheitsmodul implementiert wird, welches mit entsprechender Sicherheitsfunktionalität ausgestattet ist, um die modifizierten ersten Daten in der Speichereinrichtung in einer vor unerkannter Manipulation abgesicherten Form zur Verfügung zu stellen.
  • Durch die hiermit im Fahrzeug vorhandene Sicherheitsfunktionalität ist es zum einen möglich, in einfacher und für den Nutzer komfortabler Weise ein zuverlässiges und manipulationssicheres Zahlungssystem für eine Reihe von Leistungen zu implementieren, die der Nutzer in Anspruch nimmt und die mit einer Zustandsänderung unterschiedlichster Fahrzeugkomponenten einhergehen. Hierbei versteht es sich, dass das Sicherheitsmodul nicht notwendigerweise fest im Fahrzeug installiert sein muss. Vielmehr kann das Sicherheitsmodul auch an der betreffenden Fahrzeugkomponente installiert sein und gegebenenfalls alleine oder mit dieser Fahrzeugkomponente zusammen austauschbar sein.
  • Mit der vorliegenden Erfindung können sowohl so genannte Postpaid-Systeme implementiert werden, bei denen der Verbrauch der Leistung zunächst lediglich in abgesicherter Weise erfasst bzw. protokolliert wird und erst zu einem späteren Zeitpunkt eine Abrechnung der Leistung mit dem Bereitsteller der betreffenden Leistung erfolgt. Ebenso können aber auch so genannte Prepaid-Systeme realisiert werden, bei denen in das Sicherheitsmodul zunächst ein bestimmtes Guthaben für eine bestimmte Leistung geladen und abgesichert hinterlegt wird, welches vorab mit dem Bereitsteller der Leistung abgerechnet wird. Bei der späteren Inanspruchnahme der Leistung wird dann das geladene Guthaben entsprechend reduziert.
  • Weiterhin kann die Sicherheitsfunktionalität im bzw. am Fahrzeug genutzt werden, im Fahrzeug mit einer solchen Zustandsänderung einer Fahrzeugkomponente anfallenden Daten in abgesicherter Weise zu speichern bzw. zu protokollieren und diese abgesicherten Daten für weitere Dienste zu nutzen. So können Diagnosedaten einer oder mehrerer Fahrzeugkomponenten dank der abgesicherten Erfassung und Speicherung zuverlässig verwendet werden, um beispielsweise an eine Datenzentrale zur Analyse übersandt zu werden, welche dann ausgehend von dieser Analyse weitere Leistungen auslöst bzw. zur Verfügung stellt (z. B. die Bestellung von Ersatzteilen, die Vereinbarung von Wartungsterminen etc.)
  • Ein Gegenstand der vorliegenden Erfindung ist daher eine Anordnung zur Datenverarbeitung in einem Fahrzeug, insbesondere einem Kraftfahrzeug, mit einer Fahrzeugkomponente des Fahrzeugs, einer Verarbeitungseinrichtung und einer Speichereinrichtung, wobei die Speichereinrichtung mit der Verarbeitungseinrichtung verbunden ist und erste Daten speichert und die Verarbeitungseinrichtung dazu ausgebildet ist, die ersten Daten in Abhängigkeit von einer Zustandsänderung der Fahrzeugkomponente zu modifizieren. Die Verarbeitungseinrichtung und/oder die Speichereinrichtung ist dazu ausgebildet, die modifizierten ersten Daten in der Speichereinrichtung in einer vor unerkannter Manipulation abgesicherten Form zur Verfügung zu stellen.
  • Die Sicherheitsfunktionalität der Verarbeitungseinrichtung und/oder der Speichereinrichtung kann auf beliebige geeignete Weise zur Verfügung gestellt werden, solange sie einen ausreichend hohen Sicherheitslevel zur Verfügung stellt, der gewährleistet, dass die ersten Daten vor unerkannter Manipulation geschützt sind. Dies kann dadurch bewerkstelligt werden, dass ein nicht autorisierter Zugriff auf die ersten Daten überhaupt verhindert wird (beispielsweise über eine entsprechend stark abgesicherte Zugriffskontrolle). Ebenso ist es aber auch möglich, den nicht autorisierten Zugriff auf die Daten bis hin zur Manipulation der Daten zuzulassen, diese Manipulation jedoch zumindest erkennbar zu gestalten (beispielsweise mittels elektronischer Signaturen). Bevorzugt ist die Verarbeitungseinrichtung und/oder die Speichereinrichtung daher in einer logisch und/oder physikalisch vor unerkanntem unautorisiertem Zugriff abgesicherten sicheren Umgebung angeordnet.
  • Hierbei wird bevorzugt ein möglichst hoher, dem jeweiligen Sicherheitsbedürfnis angepasster Sicherheitslevel realisiert. Bevorzugt ist zumindest die Verarbeitungseinrichtung eine Komponente eines kryptographischen Moduls, welches wenigstens die Sicherheitsstufe 2, vorzugsweise wenigstens die Sicherheitsstufe 3, nach dem FIPS 140-2 Standard (FIPS PUB 140-2, 25 Mai 2001, National Institute of Standards and Technology, Gaithersburg, MD, USA) aufweist. Ein besonders hoher Sicherheitslevel kann unter anderem erreicht werden, wenn die Verarbeitungseinrichtung wenigstens eine Echtzeituhr aufweist, sodass sie dann bevorzugt zur Erzeugung eines vor unerkanntem unautorisierten Zugriff abgesicherten Zeitstempels für die ersten Daten ausgebildet ist.
  • Wie bereits erwähnt wurde, kann die Erfindung im Zusammenhang mit der Abrechnung für den Verbrauch einer durch das Fahrzeug oder einen Nutzer in Anspruch genommenen Leistung verwendet werden. Bei bevorzugten Varianten der erfindungsgemäßen Anordnung ist daher vorgesehen, dass die Zustandsänderung der Fahrzeugkomponente in Verbindung mit einem Verbrauch wenigstens einer Leistung erfolgt und die ersten Daten Abrechnungsdaten für den Verbrauch der wenigstens einen Leistung umfassen, welche die Verarbeitungseinrichtung in Abhängigkeit von dem Verbrauch der wenigstens einen Leistung modifiziert. Hierbei versteht es sich zum einen, dass neben einem „positiven” Verbrauch der Leistung, für den der Bereitsteller der Leistung (über die Verarbeitung der Abrechnungsdaten) eine letztlich meist monetäre Gegenleistung erhält, auch der Fall eines „negativen” Verbrauchs berücksichtigt werden kann, bei dem der „negative” Verbraucher letztlich (über die Verarbeitung der Abrechnungsdaten) eine ebenfalls meist monetäre Gegenleistung, eine Gutschrift oder dergleichen erhält.
  • So kann beispielsweise im Falle der Ladung eines Energiespeichers des Fahrzeugs aus einem Energieversorgungsnetz vorgesehen sein, dass für den Fall einer Rückspeisung von Energie aus dem Energiespeicher in das Energieversorgungsnetz eine Rückerstattung bzw. Gutschrift in Form einer entsprechenden Modifikation der Abrechnungsdaten erfolgt.
  • Hierbei kann ein oben erwähntes Postpaid-System realisiert werden. Vorzugsweise wird jedoch ein ebenfalls oben erwähntes Prepaid-System realisiert, da dieses eine besonders einfache und unkomplizierte Inanspruchnahme der Leistung bei ausreichender Sicherheit gewährleistet. Vorzugsweise ist daher vorgesehen, dass die Abrechnungsdaten für ein zuvor in die Speichereinrichtung geladenes Guthaben, insbesondere ein über eine Kommunikationseinrichtung der Verarbeitungseinrichtung und ein Telekommunikationsnetz aus einer entfernten Datenzentrale geladenes Guthaben, repräsentativ sind, das die Verarbeitungseinrichtung in Abhängigkeit von dem Verbrauch der wenigstens einen Leistung reduziert oder erhöht.
  • Das Sicherheitsmodul kann lediglich für einen einzigen Anbieter bzw. Bereitsteller einer bestimmten Leistung ausgelegt sein, mithin also nur für diese Leistung dieses Anbieters die Inanspruchnahme der Leistung und eine entsprechende Abrechnung gewährleisten.
  • Vorzugsweise ist das Sicherheitsmodul jedoch so gestaltet, dass es eine oder mehrere unterschiedliche Leistungen eines oder mehrerer unterschiedlicher Anbieter verarbeiten kann.
  • Bevorzugt ist daher vorgesehen, dass die Abrechnungsdaten wenigstens erste Abrechnungsdaten und zweite Abrechnungsdaten umfassen, die ersten Abrechnungsdaten einem ersten Bereitsteller der wenigstens einen Leistung zugeordnet sind, die zweiten Abrechnungsdaten einem zweiten Bereitsteller der wenigstens einen Leistung zugeordnet sind. Die Verarbeitungseinrichtung ist in diesem Fall dazu ausgebildet, für einen aktuellen Verbrauchsvorgang der wenigstens einen Leistung den Bereitsteller der wenigstens einen Leistung zu identifizieren. Weiterhin ist die Verarbeitungseinrichtung dazu ausgebildet, bei einer Identifikation des ersten Bereitstellers die ersten Abrechnungsdaten in Abhängigkeit von dem Verbrauch der wenigstens einen Leistung zu modifizieren und bei einer Identifikation des zweiten Bereitstellers die zweiten Abrechnungsdaten in Abhängigkeit von dem Verbrauch der wenigstens einen Leistung zu modifizieren.
  • Ebenso versteht es sich aber, dass über einen Bereitsteller einer Abrechnungsleistung eine Abrechnung einer oder mehrerer durch das Fahrzeug oder dessen Nutzer in Anspruch genommener Leistungen eines oder mehrerer unterschiedlicher Anbieter eine Abrechnung vorgenommen werden kann, obwohl die gespeicherten Abrechnungsdaten gegebenenfalls keine Unterscheidung der in Anspruch genommenen Leistungen und/oder der Bereitsteller der in Anspruch genommenen Leistungen vorsehen.
  • Mit der vorliegenden Erfindung ist wie erwähnt eine einfache Abwicklung eines Bezahlvorgangs für die Inanspruchnahme einer Leistung zu realisieren. Dies liegt unter anderem daran, dass die abgesicherte Hinterlegung von einer oder mehreren Identifikationen in dem Sicherheitsmodul möglich ist, sodass die Berechtigung zur Inanspruchnahme der Leistung in einfacher Weise anhand dieser Identifikation(en) überprüft werden kann.
  • Bevorzugt ist in diesem Zusammenhang daher vorgesehen, dass die Verarbeitungseinrichtung dazu ausgebildet ist, die Berechtigung zum Verbrauch der wenigstens einen Leistung gegenüber einem Bereitsteller der wenigstens einen Leistung unter Verwendung wenigstens einer ersten Identifikation nachzuweisen. Die wenigstens eine erste Identifikation ist bevorzugt eine einmalige eindeutige Identifikation. Weiterhin ist die Identifikation bevorzugt vor unerkanntem unautorisiertem Zugriff abgesichert, wobei diese Absicherung vorzugsweise durch die Verarbeitungseinrichtung selbst vorgenommen wird. Die wenigstens eine erste Identifikation identifiziert bevorzugt eine identifizierte Einheit und/oder einen Betreiber einer identifizierten Einheit und/oder einen Nutzer einer identifizierten Einheit, wobei die identifizierte Einheit die Verarbeitungseinrichtung und/oder die Fahrzeugkomponente und/oder das Fahrzeug ist.
  • Mit der vorliegenden Erfindung ist es weiterhin in einfacher Weise möglich, für eine bestimmte Leistung, die von mehreren Bereitstellern angeboten wird, einen bestimmten Bereitsteller anhand einer entsprechend in dem Sicherheitsmodul abgelegten, dem betreffenden Bereitsteller zugeordneten Identifikation auszuwählen. Ebenso ist es möglich, für eine bestimmte Leistung anhand einer in dem Sicherheitsmodul abgelegten Identifikation einen bestimmten Tarif für die Inanspruchnahme einer bestimmten Leistung auszuwählen. So kann beispielsweise über eine entsprechende im Sicherheitsmodul abgelegte Identifikation definiert werden, dass beim Laden eines Energiespeichers an einer Ladestation, über welche die Energie von mehreren Anbietern bezogen werden kann, ein bestimmter Anbieter sowie gegebenenfalls ein bestimmter Tarif des betreffenden Anbieters ausgewählt wird.
  • Vorzugsweise ist daher vorgesehen, dass die Verarbeitungseinrichtung dazu ausgebildet ist, für den Verbrauch der wenigstens einen Leistung einen Bereitsteller der wenigstens einen Leistung und/oder wenigstens einen Verbrauchstarif des Bereitstellers der wenigstens einen Leistung unter Verwendung wenigstens einer zweiten Identifikation auszuwählen. Die wenigstens eine zweite Identifikation ist wiederum bevorzugt vor unerkanntem unautorisierten Zugriff abgesichert, wobei auch hier die Absicherung bevorzugt durch die Verarbeitungseinrichtung erfolgt. Die wenigstens eine Identifikation identifiziert bevorzugt den Bereitsteller der wenigstens einen Leistung und/oder wenigstens einen Verbrauchstarif des Bereitstellers.
  • Die vorliegende Erfindung kann im Zusammenhang mit beliebigen Fahrzeugkomponenten und deren Zustandsänderungen zum Einsatz kommen. So kann die Erfindung zum Beispiel im Zusammenhang mit dem Laden eines Energiespeichers des Fahrzeugs, also beispielsweise einer Fahrzeugbatterie, zum Einsatz kommen. Die Fahrzeugkomponente ist dann ein Energiespeicher des Fahrzeugs, wobei die Zustandsänderung eine Änderung eines Ladezustands des Energiespeichers ist und die verbrauchte Leistung das Aufladen des Energiespeichers ist. Hierbei kann wie erwähnt sowohl ein Laden des Energiespeichers abgerechnet werden als auch eine Rückspeisung aus dem Energiespeicher in ein Energieversorgungsnetz zu einer entsprechenden Gutschrift bzw. Rückerstattung genutzt werden.
  • Bei weiteren Varianten wird die Erfindung für die Abrechnung der Nutzung des Fahrzeugs verwendet, beispielsweise zur nutzungsabhängigen Abrechnung von Mietfahrzeugen oder Leasingfahrzeugen oder aber auch zur nutzungsabhängigen Abrechnung der Kraftfahrzeugsteuer. Demgemäß ist die Fahrzeugkomponente eine erste Erfassungseinrichtung zur Erfassung des Umfangs der Nutzung des Fahrzeugs, wobei die Zustandsänderung eine Änderung eines Zustands der ersten Erfassungseinrichtung ist und die verbrauchte Leistung die Nutzung des Fahrzeugs ist.
  • Bei weiteren Varianten wird die Erfindung für eine emissionsabhängige Abrechnung der Kraftfahrzeugsteuer verwendet. In diesem Fall ist die Fahrzeugkomponente bevorzugt eine zweite Erfassungseinrichtung zur Erfassung wenigstens eines Emissionswertes einer Emissionsgröße, insbesondere ein Wert eines Kohlendioxidausstoßes, eines Antriebsstrangs des Fahrzeugs, wobei die Zustandsänderung eine Änderung eines Zustands der zweiten Erfassungseinrichtung ist und die verbrauchte Leistung die Emission der Emissionsgröße ist.
  • Bei weiteren Varianten wird die Erfindung für die Abrechnung temporärer Modifikationen am Antriebsstrang des Fahrzeugs genutzt. Hiermit ist es beispielsweise möglich, auf Anforderung des Fahrers temporäre Modifikationen an der Motorelektronik vorzunehmen (so genanntes Chip-Tuning), beispielsweise temporär die Leistung des Motors zu erhöhen, und diese Modifikationsleistung abzurechnen. Dies kann insbesondere dann von Interesse bzw. von Vorteil sein, wenn die zu entrichtende Kraftfahrzeugsteuer von der Motorleistung bzw. der damit einhergehenden Schadstoffemission abhängt, da die erhöhte Steuerlast dann nur anfällt, wenn die erhöhte Motorleistung eingestellt ist. Besonders vorteilhaft ist es, wenn auch die Abrechnung der Kraftfahrzeugsteuer unter Einsatz der vorliegenden Erfindung erfolgt. Demgemäß ist die Fahrzeugkomponente bei diesen Varianten eine Antriebsstrangskomponente eines Antriebsstrangs des Fahrzeugs, insbesondere eine Motoreinrichtung des Antriebsstrangs. Die Zustandsänderung ist dann eine Änderung einer Eigenschaft der Antriebsstrangskomponente des Antriebsstrangs, während die verbrauchte Leistung die Änderung der Eigenschaft der Antriebsstrangskomponente und/oder der Umfang der Nutzung des Fahrzeugs bei dieser Eigenschaft der Antriebsstrangskomponente ist;
  • Bei weiteren Varianten wird die Erfindung für die Abrechnung temporärer Modifikationen an Steuerungskomponenten des Fahrzeugs genutzt. So kann beispielsweise vorgesehen sein, dass (auf Anforderung des Fahrers) temporäre Modifikationen an der Fahrzeugsteuerung vorgenommen werden, um beispielsweise bestimmte Fahrerassistenzsysteme temporär zu nutzen, und diese Modifikationsleistung abzurechnen. Ebenso können natürlich auch Modifikationen an der Fahrwerksabstimmung etc. vorgenommen und abgerechnet werden. Bei diesen Varianten ist die Fahrzeugkomponente somit eine Fahrzeugsteuerungskomponente des Fahrzeugs, insbesondere ein Fahrerassistenzsystem. Die Zustandsänderung ist dann eine Änderung einer Eigenschaft der Fahrzeugsteuerungskomponente, während die verbrauchte Leistung die Änderung der Eigenschaft der Fahrzeugsteuerungskomponente ist.
  • Bei weiteren Varianten wird die Erfindung zur Abrechnung von temporären Modifikationen an Benutzerschnittstellen des Fahrzeugs genutzt. So kann beispielsweise (ausgelöst durch den Fahrer) eine temporäre Buchung bzw. Freischaltung von Navigationsleistungen an einem Navigationssystem (als Benutzerschnittstelle) des Fahrzeugs vorgenommen werden, wobei diese Modifikation dann entsprechend abgerechnet wird. Bei diesen Varianten ist also die Fahrzeugkomponente eine Nutzerschnittstelle des Fahrzeugs, insbesondere eine Navigationseinrichtung. Die Zustandsänderung ist dann eine Änderung einer Eigenschaft der Nutzerschnittstelle, während die verbrauchte Leistung die Änderung der Eigenschaft der Nutzerschnittstelle ist.
  • Die Erfindung kann jedoch nicht nur für die Abrechnung der oben genannten Modifikationsleistungen genutzt werden. Vielmehr kann das Sicherheitsmodul zum einen dazu genutzt werden, diese Modifikationen auf Anforderung (beispielsweise des Nutzers) außerhalb einer autorisierten Werkstatt erst zu ermöglichen, da es einen ausreichend hohen Sicherheitslevel zur Verfügung stellt, welcher für derartige Modifikationen an zum Teil vitalen bzw. hoch fahrsicherheitsrelevanten Komponenten des Fahrzeugs zwingend erforderlich ist. So kann das Sicherheitsmodul dank seiner (durch kryptographische Mittel zur Verfügung gestellten) Sicherheitsfunktionalität erst eine entsprechend manipulationssichere Kommunikation mit bzw. innerhalb der Fahrzeugelektronik zur Verfügung stellen, welche für derart sicherheitsrelevante Modifikationen erforderlich ist.
  • Weiterhin kann vorgesehen sein, dass die vorgenommenen Modifikationen in dem Sicherheitsmodul entsprechend abgesichert protokolliert werden, um sie später beispielsweise nachvollziehen bzw. analysieren zu können. Ebenso können natürlich beliebige andere auf die betreffende Fahrzeugkomponente bezogene Daten, beispielsweise Diagnosedaten oder Fehlerdaten in dieser Form abgesichert protokolliert werden. Demgemäß ist bevorzugt vorgesehen, dass die ersten Daten Protokolldaten umfassen, welche die Zustandsänderung der Fahrzeugkomponente dokumentieren.
  • Das Sicherheitsmodul kann im Übrigen auch als manipulationssicheres digitales Fahrtenbuch genutzt werden, welches aufgrund seiner Manipulationssicherheit beispielsweise von Finanzbehörden anerkannt wird. Hierzu kann beispielsweise der jeweilige Standort des Fahrzeugs über die Zeit (vorzugsweise verknüpft mit einem abgesicherten Zeitstempel) protokolliert werden. Zusätzlich oder alternativ zu dem Standort des Fahrzeugs kann gegebenenfalls auch der Nutzer (z. B. über eine mit den Zeitdaten verknüpfte Nutzeridentifikation) erfasst und protokolliert werden, sodass das Sicherheitsmodul beispielsweise als mobiles Zeiterfassungsterminal genutzt werden kann.
  • Weiterhin kann das Sicherheitsmodul verwendet werden, um die Autorisierung zur Vornahme einer Modifikation an einer Fahrzeugkomponente zu überprüfen und gegebenenfalls die Modifikation zu verhindern, sofern diese Überprüfung fehlschlägt. So kann beispielsweise vorgesehen sein, dass das Sicherheitsmodul im Bereich der Zugangskontrolle zum Fahrzeug oder im Bereich der Wegfahrsperre des Fahrzeugs ebenso zum Einsatz kommt, wie im Bereich des Diebstahlschutzes für Komponenten des Fahrzeugs (Navigationssystem, Radio etc.). So können in diesem Zusammenhang beispielsweise nicht erlaubte Modifikationen an diesen Komponenten festgestellt werden und dann entsprechende Maßnahmen zur Abwehr bzw. Unterbindung solcher Manipulationen vorgenommen werden. Bei bevorzugten Varianten der Erfindung ist die Verarbeitungseinrichtung daher dazu ausgebildet, die Autorisierung der Zustandsänderung zu überprüfen und bei Fehlschlagen der Überprüfung eine weitere Zustandsänderung der Fahrzeugkomponente und/oder einer weiteren Fahrzeugkomponente zu blockieren.
  • Das Sicherheitsmodul kann weiterhin dazu genutzt werden, Teile der ersten Daten oder daraus abgeleitete Daten (insbesondere in entsprechend abgesicherter Form) an eine entfernte Datenzentrale zur weiteren Verarbeitung zu übermitteln. So können beispielsweise Abrechnungsdaten und/oder Diagnosedaten an eine derartige entfernte Datenzentrale übermittelt werden und dort anhand dieser Daten weitere Aktionen ausgelöst werden. Hierbei kann es sich beispielsweise um eine Abrechnung gegenüber dem Bereitsteller der Leistung handeln. Ebenso können aber beispielsweise die Diagnosedaten genutzt werden, um entsprechende weitere Leistungen zu initiieren, wie beispielsweise eine automatisierte Ersatzteilbestellung, eine automatisierte Vereinbarung von Wartungsterminen etc.
  • Bevorzugt ist daher vorgesehen, dass die Verarbeitungseinrichtung eine Kommunikationseinrichtung umfasst, wobei die Verarbeitungseinrichtung dazu ausgebildet ist, aus wenigstens einem Teil der ersten Daten erste Kommunikationsdaten zu generieren, und die ersten Kommunikationsdaten über ein Telekommunikationsnetz an eine entfernte Datenzentrale zu übermitteln, wobei die an die entfernte Datenzentrale zu übermittelnden ersten Kommunikationsdaten insbesondere Anforderungsdaten zur Anforderung einer weiteren Leistung umfassen.
  • Ebenso kann natürlich auch vorgesehen sein, dass das Sicherheitsmodul Daten aus einer entfernten Datenzentrale empfängt und dann in Abhängigkeit hiervon beispielsweise Modifikationen an den ersten Daten vornimmt. Insbesondere kann bei einem implementierten Prepaid-System das Nachschlagen von Guthaben in das Sicherheitsmodul hierüber abgewickelt werden. Bevorzugt ist daher vorgesehen, dass die Verarbeitungseinrichtung dazu ausgebildet ist, über die Kommunikationseinrichtung zweite Kommunikationsdaten, insbesondere über ein Telekommunikationsnetz zu empfangen und wenigstens einem Teil der ersten Daten in Abhängigkeit von den zweiten Kommunikationsdaten zu modifizieren.
  • Die vorliegende Erfindung betrifft weiterhin ein Datenverarbeitungssystem mit einer erfindungsgemäßen Anordnung zur Datenverarbeitung in einem Fahrzeug sowie einer entfernten Datenzentrale, wobei die Verarbeitungseinrichtung eine erste Kommunikationseinrichtung umfasst und dazu ausgebildet ist, mittels der ersten Kommunikationseinrichtung Kommunikationsdaten über ein Telekommunikationsnetz an die entfernte Datenzentrale zu übermitteln. Kommunikation kann zumindest abschnittsweise drahtlos über beliebige geeignete langreichweitige oder kurzreichweitige Kommunikationsverfahren (Mobilfunk, WLAN, Bluetooth, Infrarot etc.) erfolgen. Insbesondere kann die erste Kommunikationseinrichtung unmittelbar mit der entfernten Datenzentrale kommunizieren.
  • Es sei an dieser Stelle angemerkt, dass der Begriff „Telekommunikation” in Sinne der vorliegenden Erfindung jegliche Art der Übertragung umfassen soll, über welche die entsprechenden Daten zumindest abschnittsweise drahtlos und/oder zumindest abschnittsweise drahtgebunden zwischen zwei voneinander entfernten Kommunikationspartnern übertragen werden können. Insbesondere kann die Übertragung hierbei über ein herkömmliches Telefonnetz, ein Funknetz und/oder das Internet oder dergleichen erfolgen.
  • Bei weiteren bevorzugten Varianten der Erfindung ist jedoch eine zweite, insbesondere stationäre, Kommunikationseinrichtung vorgesehen ist, die mit der ersten Kommunikationseinrichtung verbindbar ist und über das Telekommunikationsnetz mit der entfernten Datenzentrale verbindbar ist. In diesen Fällen kann dann die erste Kommunikationseinrichtung vergleichsweise einfach gestaltet sein und gegebenenfalls lediglich über eine kurze Strecke eine drahtlose oder aber auch drahtgebundene Kommunikation mit der zweiten Kommunikationseinrichtung herstellen, wer welche dann die weitere Kommunikation zur entfernten Datenzentrale erfolgt.
  • Dies ist insbesondere im Zusammenhang mit Systemen von Vorteil, bei denen sich das Fahrzeug ohnehin zum Empfang der Leistung an einem vorgegebenen Ort befindet, wie dies beispielsweise beim Laden eines Energiespeichers des Fahrzeugs der Fall ist. Bevorzugt ist daher vorgesehen, dass die Fahrzeugkomponente ein Energiespeicher des Fahrzeugs ist und die zweite Kommunikationseinrichtung eine Komponente einer Ladestation zur Energieversorgung des Energiespeichers ist. Die Kommunikation kann dabei über eine separate Leitung erfolgen. Bei bevorzugten Varianten ist jedoch vorgesehen, dass die Kommunikation unmittelbar über die Leitungen erfolgt, über welche die Energie transferiert wird. Vorzugsweise wird daher eine Verbindung zwischen der ersten Kommunikationseinrichtung und der zweiten Kommunikationseinrichtung über eine für die Energieversorgung mit dem Energiespeicher verbindbare Energieversorgungsleitung, insbesondere ein Ladekabel, der Ladestation hergestellt.
  • Bei weiteren bevorzugten Varianten des erfindungsgemäßen Datenverarbeitungssystems erfolgt die Zustandsänderung der Fahrzeugkomponente in Verbindung mit einem Verbrauch wenigstens einer Leistung, wobei die ersten Daten Abrechnungsdaten für den Verbrauch der wenigstens einen Leistung umfassen. In einem Postpaid-System ist die Verarbeitungseinrichtung dazu ausgebildet, aus wenigstens einem Teil der ersten Daten erste Kommunikationsdaten zu generieren und die ersten Kommunikationsdaten an die entfernte Datenzentrale übermitteln. Die entfernte Datenzentrale ist in diesem Fall dazu ausgebildet, zur Abrechnung des Verbrauchs der wenigstens einen Leistung gegenüber dem Bereitsteller der wenigstens einen Leistung unter Verwendung wenigstens eines Teils der ersten Kommunikationsdaten dritte Kommunikationsdaten zu generieren und an eine weitere Datenzentrale zu übermitteln, in welcher dann die weitere Abwicklung der Abrechnung erfolgt.
  • In einem Prepaid-System sind die Abrechnungsdaten für ein zuvor in die Speichereinrichtung geladenes Guthaben für den Verbrauch der wenigstens einen Leistung repräsentativ. Die entfernte Datenzentrale ist in diesem Fall dazu ausgebildet, zweite Kommunikationsdaten zu generieren und an die Verarbeitungseinrichtung zu übermitteln, während die Verarbeitungseinrichtung ausgebildet ist, wenigstens einen Teil der Abrechnungsdaten in Abhängigkeit von den zweiten Kommunikationsdaten zu modifizieren. Mithin wird also das Guthaben aufgeladen bzw. das Guthaben reduziert, wobei dann natürlich eine Erstattung an den Nutzer erfolgt. Zudem ist die entfernte Datenzentrale dazu ausgebildet, zur Abrechnung des Guthabens gegenüber dem Bereitsteller der wenigstens einen Leistung bzw. einer Rückerstattung (für zurückgegebenes Guthaben) gegenüber dem Nutzer unter Verwendung wenigstens eines Teils der zweiten Kommunikationsdaten vierte Kommunikationsdaten zu generieren und an eine weitere Datenzentrale zu übermitteln, welche dann der entsprechenden Geldtransfer zu dem Bereitsteller bzw. Nutzer veranlasst.
  • Die vorliegende Erfindung betrifft weiterhin ein Verfahren zur Datenverarbeitung in einem Fahrzeug, insbesondere einem Kraftfahrzeug, bei dem in einer Speichereinrichtung des Fahrzeugs gespeicherte erste Daten in Abhängigkeit von einer Zustandsänderung einer Fahrzeugkomponente des Fahrzeugs modifiziert werden. Die modifizierten ersten Daten werden in der Speichereinrichtung in einer vor unerkannter Manipulation abgesicherten Form zur Verfügung gestellt. Hiermit lassen sich die oben beschriebenen Vorteile und Varianten in demselben Maße realisieren, sodass zur Vermeidung von Wiederholungen lediglich auf die obigen Ausführungen verwiesen wird.
  • Weitere bevorzugte Ausgestaltungen der Erfindung ergeben sich aus den Unteransprüchen bzw. der nachstehenden Beschreibung eines bevorzugten Ausführungsbeispiels, welche auf die beigefügten Zeichnungen Bezug nimmt. Es zeigt
  • 1 eine schematische Darstellung einer bevorzugten Ausführungsform des erfindungsgemäßen Systems zur Datenverarbeitung mit einer Ausführungsform der erfindungsgemäßen Anordnung zur Datenverarbeitung in einem Fahrzeug, mit welcher eine bevorzugte Variante des erfindungsgemäßen Verfahrens zur Datenverarbeitung in einem Fahrzeug durchgeführt werden kann.
  • Im Folgenden wird unter Bezugnahme auf die 1 eine bevorzugte Ausführungsform des erfindungsgemäßen Systems 101 zur Datenverarbeitung mit einer bevorzugten Ausführungsform der erfindungsgemäßen Anordnung zur Datenverarbeitung 102 in einem Fahrzeug 103 beschrieben, mit welcher eine bevorzugte Variante des erfindungsgemäßen Verfahrens zur Datenverarbeitung in dem Fahrzeug 103 durchgeführt wird.
  • Bei dem Fahrzeug 103 handelt es sich um ein Kraftfahrzeug mit einem Hybridantrieb, der einen Antriebsblock mit einem Verbrennungsmotor 104 und einem aus einem Energiespeicher 105 gespeisten Elektromotor 106 umfasst. Es versteht sich jedoch, dass die vorliegende Erfindung auch bei reinen Elektrofahrzeugen sowie bei herkömmlichen Fahrzeugen eingesetzt werden kann, die lediglich einen Verbrennungsmotor aufweisen.
  • Das Fahrzeug 103 weist eine Fahrzeugsteuerung 107 auf, welche die Steuerung sämtlicher Funktionen des Fahrzeugs 103 vornimmt und unter anderem ein Sicherheitsmodul 108 umfasst. Dieses Sicherheitsmodul 108 erfüllt die Sicherheitsstufe 3 nach dem FIPS 140-2 Standard. Es umfasst eine Verarbeitungseinrichtung 109 und einen damit verbundenen Speicher 110. Die Verarbeitungseinrichtung 109 umfasst ihrerseits einen sicheren Prozessor 109.1 sowie eine erste Kommunikationseinrichtung 109.2
  • Das Sicherheitsmodul 108 ist im vorliegenden Beispiel als eine kompakte Einheit ausgeführt, die eine sichere Umgebung bildet. Die sichere Umgebung des Sicherheitsmoduls 108 stellt dabei eine physikalische und logische Absicherung unter anderem des Prozessors 109.1 sowie des Speichers 110 vor unerkanntem unautorisiertem Zugriff zur Verfügung. Die physikalische Absicherung der sicheren Umgebung wird dabei durch eine Vergussmasse zur Verfügung gestellt, in welche der erste Prozessor sowie die weiteren Komponenten des Sicherheitsmoduls 108 innerhalb der sicheren Umgebung eingegossen sind.
  • Die logische Absicherung der sicheren Umgebung des Sicherheitsmoduls 108 wird durch einen Algorithmus zur Überprüfung der Zugriffsberechtigung auf die Komponenten des Sicherheitsmoduls 108 (sowie geeignete Mittel zur Überprüfung der Integrität der Vergussmasse bzw. einer Erfassung einer Manipulation bzw. Beschädigung der Vergussmasse) zur Verfügung gestellt.
  • Sobald versucht wird, auf den ersten Prozessor 105.1 zuzugreifen, überprüft dieser die Zugriffsberechtigung des Zugreifenden. Hierzu greift der erste Prozessor 109.1 auf ein Kryptographiemodul in Form eines ebenfalls in der sicheren Umgebung angeordneten Teil des Speichers 110 zu. Das Kryptographiemodul beherbergt in hinlänglich bekannter Weise entsprechende Algorithmen und Daten zur Verifizierung der Zugriffsberechtigung auf das Sicherheitsmodul. Hierbei kann es sich beispielsweise im einfachsten Fall um ein gespeichertes Passwort handeln, welches der Zugreifende eingeben muss, um sich zu autorisieren. Ebenso kann es sich aber um einen entsprechenden Algorithmus zur Überprüfung digitaler Signaturen oder Zertifikate handeln, welche der Zugreifende im Rahmen seiner Autorisierung verwendet.
  • Das Laden bzw. Entladen des Energiespeichers 105 stellt dabei im Sinne der vorliegenden Erfindung eine Leistung dar, welche mit einer Zustandsänderung des Energiespeichers 105 (Änderung des Ladezustands) als einer Fahrzeugkomponente des Fahrzeugs 103 einhergeht. Dieses Laden aus einem Energieversorgungsnetz kann unter anderem an einer stationären Ladesäule 111 mittels eines Ladekabels 112 erfolgen, welches in eine Schnittstelleneinrichtung 105.1 des Energiespeichers 105 eingesteckt wird. Für die Leistung des Aufladens erfolgt eine Abrechnung gegenüber dem Bereitsteller dieser Leistung.
  • Hierzu kann im vorliegenden Beispiel sowohl ein Postpaid-System als auch ein Prepaid-System realisiert sein. Bei einem Postpaid-System speichert der Prozessor 109.1 mit jedem Ladevorgang in den Speicher 110 in gegen unerkannte nicht autorisierte Manipulation abgesicherter Form Abrechnungsdaten, die für die geladene Energiemenge bzw. das hierfür zu entrichtende Entgelt repräsentativ sind. Zu einem späteren Zeitpunkt generierter Prozessor 109.1 aus diesen Abrechnungsdaten an erster Kommunikationsdaten, die er dann in entsprechender gegen unerkannte nicht autorisierte Manipulation abgesicherter Form an eine entfernte Datenzentrale 113 übermittelt.
  • Der Prozessor 109.1 versieht dabei (in gegen unerkannte nicht autorisierte Manipulation abgesicherter Form) entweder bereits die Abrechnungsdaten oder gegebenenfalls auch erst die ersten Kommunikationsdaten mit einer einmaligen und eindeutigen ersten Identifikation, welche als identifizierte Einheit den Prozessor 109.1 und/oder den Energiespeicher 105 und/oder das Fahrzeug 103 identifiziert. Diese erste Identifikation wird im Übrigen auch vor dem Beginn des Lagevorgangs an die Ladesäule übermittelt und von dieser verwendet, um die Berechtigung zum Empfang der Ladung zu überprüfen.
  • Die Datenzentrale 113 prüft diese ersten Kommunikationsdaten auf ihre Authentizität und verwendet sie, um eine Abrechnung für die durch das Fahrzeug bzw. seinen Nutzer oder Halter in Anspruch genommenen Leistungen durchzuführen, im Zuge derer der Stromlieferant (also der Bereitsteller der Leistung) eine vereinbarte Bezahlung für die insgesamt geladene Energiemenge erhält, während beispielsweise ein vereinbartes Konto des Nutzers bzw. Halters des Fahrzeugs 103 belastet wird. Hierzu übermittelt die Datenzentrale 113 im vorliegenden Beispiel über ein Telekommunikationsnetz 114 unter anderem entsprechende aus den ersten Kommunikationsdaten abgeleitete Verrechnungsdaten (also dritte Kommunikationsdaten im Sinne der vorliegenden Erfindung) an eine zweite Datenzentrale 115 übermittelt.
  • Bei dem Betreiber des ersten Datenzentrums 113 kann es sich um eine von dem Stromlieferanten (also dem Bereitsteller der Leistung) abweichende Person handeln, welche lediglich die Abrechnung der Leistungen gegenüber dem Stromlieferanten und dem Nutzer oder Halter des Fahrzeugs 103 vornimmt. Hierbei kann beispielsweise vorgesehen sein, dass der Stromlieferant das zweite Datenzentrum 115 betreibt. Es versteht jedoch, dass hier weitere Entitäten (wie z. B. Banken etc.) zwischengeschaltet sein können.
  • Vergleichbares geschieht, wenn aus den Energiespeicher 105 (beispielsweise über die Ladesäule 111) Energie in das Versorgungsnetz zurück gespeist wird. Dann wird beispielsweise ein entsprechendes Konto des Stromlieferanten belastet, während der Nutzer/Halter des Fahrzeugs 103 auf seinem Konto eine entsprechende Gutschrift erhält.
  • Bei einem Prepaid-System, welches eine besonders einfache und unkomplizierte Inanspruchnahme der Leistung bei ausreichender Sicherheit gewährleistet, wird zu diesem Zweck vor dem Ladevorgang des Energiespeichers 105 ein Guthaben in den Speicher 110 geladen, welches dort in Form von abgesicherten Abrechnungsdaten abgelegt wird.
  • Das Laden des Guthabens aus der ersten Datenzentrale 113 erfolgt über entsprechende (gegen unerkannte nicht autorisierte Manipulation abgesicherte) zweite Kommunikationsdaten, welche über die erste Kommunikationseinrichtung 109.2 in das Sicherheitsmodul 108 geladen werden. Der Prozessor 109.1 prüft diese zweiten Kommunikationsdaten auf ihre Authentizität und erzeugt aus diesen zweiten Kommunikationsdaten entsprechende Abrechnungsdaten, die er (in gegen unerkannte nicht autorisierte Manipulation abgesicherter Form) in dem Speicher 110 ablegt.
  • Es versteht sich hierbei, dass das Guthaben so gestaltet sein kann, dass es einem bestimmten Geldbetrag entspricht, der beim Laden des Energiespeichers 105 maximal verbraucht werden kann. Ebenso kann das Guthaben aber auch einer bestimmten Energiemenge entsprechen, die beim Laden des Energiespeichers 105 geladen werden kann.
  • Weiterhin führt die erste Datenzentrale 113 eine Abrechnung für das in das Fahrzeug geladene Guthaben durch, im Zuge derer der Stromlieferant (also der Bereitsteller der Leistung) eine vereinbarte Bezahlung für das Guthaben erhält, während beispielsweise ein vereinbartes Konto des Nutzers bzw. Halters des Fahrzeugs 103 belastet wird. Hierzu übermittelt die Datenzentrale 113 im vorliegenden Beispiel über ein Telekommunikationsnetz 114 unter anderem wiederum entsprechende aus den zweiten Kommunikationsdaten abgeleitete Verrechnungsdaten (also vierte Kommunikationsdaten im Sinne der vorliegenden Erfindung) an eine zweite Datenzentrale 115 auch hier gelten wiederum die obigen Feststellungen hinsichtlich des Betreibers der ersten Datenzentrale 113 und des Stromlieferanten.
  • Soll nun über die Ladesäule 111 Energie in den Energiespeicher 100 und geladen werden, sendet das Sicherheitsmodul 108 zunächst die oben beschriebene erste Identifikation zusammen mit aus den in dem Speicher abgelegten Abrechnungsdaten (also dem Guthaben) generierten Daten an die Ladesäule 111. Die Ladesäule 111 überprüft anhand dieser Daten (erste Identifikation und Höhe des Guthabens) zum einen die Berechtigung zum Empfang der Leistung sowie die Höhe des verfügbaren Guthabens und löst den Ladevorgang aus, sofern die Prüfung positiv verläuft. Vor, während oder nach Abschluss des Aufladevorgangs des Energiespeichers 105 modifiziert der Prozessor 109.1 die Abrechnungsdaten in den ersten Speicher 110 in entsprechender Weise, sodass das dort repräsentierte verfügbare Guthaben entsprechend reduziert wird. Im umgekehrten Fall einer Rückspeisung von Energie aus dem Energiespeicher 105 zurück in das Versorgungsnetz kommt es dann natürlich zu einer entsprechenden Erhöhung des durch die Abrechnungsdaten in den ersten Speicher repräsentierten Guthabens.
  • Die Kommunikation zwischen dem Sicherheitsmodul 108 und der entfernten Datenzentrale 113 kann im vorliegenden Beispiel direkt drahtlos über die erste Kommunikationseinrichtung 109.2 erfolgen, wie dies in 1 durch die gestrichelte Kontur 116.1 dargestellt ist. Es versteht sich jedoch, dass diese Kommunikation auch über eine zweite Kommunikationseinrichtung 111.1 der Ladesäule 111 erfolgen kann, welche ihrerseits über das (gegebenenfalls ebenfalls zumindest abschnittsweise drahtlos gestaltete) Telekommunikationsnetz 114 mit der ersten Datenzentrale 113 verbindbar ist.
  • Die Kommunikation zwischen der ersten Kommunikationseinrichtung 109.2 und der zweiten Kommunikationseinrichtung 111 kann gegebenenfalls wiederum zumindest abschnittsweise drahtlos gestaltet sein, wie dies in 1 durch die gestrichelte Kontur 116.2 angedeutet ist. Ebenso kann aber auch eine drahtgebundene Kommunikation über das Ladekabel 112 erfolgen. Dabei kann insbesondere vorgesehen sein, dass keine separaten Informationsleitungen vorgesehen sind, sondern die Übertragung der Informationen über die Energie führenden Leitungen des Ladekabels 112 erfolgt.
  • Das Sicherheitsmodul 108 kann lediglich für einen einzigen Anbieter bzw. Bereitsteller einer bestimmten Leistung ausgelegt sein, mithin also nur für diese Leistung dieses Anbieters die Inanspruchnahme der Leistung und eine entsprechende Abrechnung gewährleisten. Im vorliegenden Fall ist das Sicherheitsmodul 108 jedoch so gestaltet, dass es eine oder mehrere unterschiedliche Leistungen eines oder mehrerer unterschiedlicher Anbieter verarbeiten kann.
  • Hierzu umfassen die in dem Speicher 110 gespeicherten Abrechnungsdaten unter anderem erste Abrechnungsdaten und zweite Abrechnungsdaten, wobei die ersten Abrechnungsdaten einem ersten Bereitsteller der wenigstens einen Leistung zugeordnet sind, die zweiten Abrechnungsdaten einem zweiten Bereitsteller der wenigstens einen Leistung zugeordnet sind. Der Prozessor identifiziert für einen aktuellen Ladevorgang dann den aktuell gewählten Energieversorger sowie gegebenenfalls auch einen spezifischen ausgewählten Tarif dieses Energieversorgers anhand einer entsprechenden Identifikation, die in einem Teil des ersten Speichers 110 abgelegt ist. Es versteht sich, dass hierbei dann natürlich nur die dem ausgewählten Bereitsteller zugeordneten Abrechnungsdaten in dem ersten Speicher entsprechend modifiziert werden.
  • Ebenso versteht es sich aber, dass über den Betreiber der ersten Datenzentrale 113 (also den Bereitsteller der Abrechnungsleistung) eine Abrechnung einer oder mehrerer durch das Fahrzeug oder dessen Nutzer in Anspruch genommener Leistungen eines oder mehrerer unterschiedlicher Anbieter eine Abrechnung vorgenommen werden kann, obwohl die gespeicherten Abrechnungsdaten gegebenenfalls keine Unterscheidung der in Anspruch genommenen Leistungen und/oder der Bereitsteller der in Anspruch genommenen Leistungen vorsehen.
  • Eine weitere Möglichkeit des Ladens des Energiespeichers 105 besteht über eine induktive Ladung mittels beispielsweise in der Fahrbahn eingelassener induktiver Ladeelemente 117. Auch hier erfolgt ähnlich wie mit der Ladesäule 111 eine (abschnittsweise drahtlose) Kommunikation zwischen dem Sicherheitsmodul 108 und dem Ladeelemente 117, wie dies in 1 durch die gestrichelte Kontur 116.3 angedeutet ist.
  • Wegen der gegebenenfalls sehr kurzen Ladezyklen bei einem solchen induktiven System ist es (insbesondere in einem Postpaid-System) von besonderem Vorteil, dass das Sicherheitsmodul 108 mit einer Echtzeituhr versehen ist, sodass der Prozessor 109.1 die jeweils zugeordneten Abrechnungsdaten mit einem manipulationssicheren Echtzeitstempel versieht und in dem Speicher 110 ablegt.
  • Es versteht sich im Übrigen, dass der beschriebenen Aufladevorgang oder Entladevorgang des Energiespeichers 105 weiterhin auch in analoger Weise zwischen zwei Fahrzeugen 103 erfolgen kann, wobei dann die Abrechnungsdaten in den jeweiligen 110 entsprechend modifiziert werden.
  • Das Sicherheitsmodul 108 wird bei dem Fahrzeug 103 neben der Abrechnung des Ladevorgangs des Energiespeichers 105 auch für die Abrechnung weiterer Leistungen verwendet. So wird das Sicherheitsmodul 108 in analoger Weise für die Abrechnung der Nutzung des Fahrzeugs 103 (als verbrauchte Leistung) verwendet, wenn es sich bei dem Fahrzeug 103 beispielsweise um ein Mietfahrzeug oder Leasingfahrzeug handelt. Ebenso kann das Sicherheitsmodul in analoger Weise zur nutzungsabhängigen Abrechnung der Kraftfahrzeugsteuer für das Fahrzeug 103 verwendet werden. So kann beispielsweise die Zustandsänderung eines Kilometerzählers 118 (als relevante Fahrzeugkomponente im Sinne der vorliegenden Erfindung) erfasst und seitens des Prozessors 109.1 in entsprechende (gegen unerkannte nicht autorisierte Manipulation abgesicherte) Abrechnungsdaten in dem Speicher 110 transferiert werden.
  • Bei weiteren Varianten wird das Sicherheitsmodul 108 in analoger Weise für eine emissionsabhängige Abrechnung der Kraftfahrzeugsteuer verwendet. In diesem Fall ist die betreffende Fahrzeugkomponente, deren Zustandsänderung erfasst wird, eine zweite Erfassungseinrichtung 119 zur Erfassung wenigstens eines Emissionswertes einer Emissionsgröße, hier eines Werts des Kohlendioxidausstoßes der Verbrennungsmotors 104, wobei die verbrauchte Leistung die Kohlendioxid-Emission ist.
  • Weiterhin wird das Sicherheitsmodul 108 in analoger Weise für die Abrechnung temporärer Modifikationen am Antriebsstrang des Fahrzeugs genutzt. So kann auf Anforderung des Fahrers eine temporäre Modifikation an der Motorelektronik des Verbrennungsmotors 104 (so genanntes Chip-Tuning) vorgenommen werden, beispielsweise temporär die Leistung des Motors 104 erhöht werden, und diese Modifikationsleistung (als verbrauchte Leistung) in analoger Weise abgerechnet werden. Analog kann natürlich auch ein entsprechender Eingriff in die Elektronik des Elektromotors 106 durchgeführt und abgerechnet werden.
  • Dies kann insbesondere dann von Interesse bzw. von Vorteil sein, wenn die zu entrichtende Kraftfahrzeugsteuer von der Motorleistung bzw. der damit einhergehenden Schadstoffemission des Motors 104 abhängt, da die erhöhte Steuerlast dann nur anfällt, wenn die erhöhte Motorleistung eingestellt ist. Besonders vorteilhaft ist es, wenn auch die Abrechnung der Kraftfahrzeugsteuer in der oben beschriebenen Weise unter Einsatz des Sicherheitsmoduls 108 erfolgt.
  • Das Sicherheitsmodul 108 wird weiterhin in analoger Weise für die Abrechnung temporärer Modifikationen an Steuerungskomponenten des Fahrzeugs genutzt. So kann beispielsweise vorgesehen sein, dass (auf Anforderung des Fahrers) temporäre Modifikationen an der Fahrzeugsteuerung vorgenommen werden, um ein Fahrerassistenzsystem 120 temporär zu nutzen, und diese Modifikationsleistung abzurechnen. Ebenso können natürlich auch Modifikationen an der Fahrwerksabstimmung etc. vorgenommen und abgerechnet werden.
  • Schließlich wird das Sicherheitsmodul 108 in analoger Weise zur Abrechnung von temporären Modifikationen an Benutzerschnittstellen des Fahrzeugs genutzt. So kann beispielsweise (ausgelöst durch den Fahrer) eine temporäre Buchung bzw. Freischaltung von Navigationsleistungen an einem Navigationssystem 121 (als Benutzerschnittstelle) des Fahrzeugs 103 vorgenommen werden, wobei über das Sicherheitsmodul 108 diese Modifikation dann entsprechend abgerechnet wird.
  • Die Abrechnung dieser Leistungen erfolgt dann wiederum in analoger Weise gegenüber einer oder mehreren Entitäten (Fahrzeughersteller, Finanzamt etc.), indem die erste Datenzentrale 113 beispielsweise entsprechende Verrechnungsdaten an eine weitere Datenzentrale 122 der betreffenden Entität übermittelt.
  • Neben der Abrechnung wird das Sicherheitsmodul 108 auch für die manipulationssichere Protokollierung von Zustandänderungen beliebiger Fahrzeugkomponenten verwendet, um sie später beispielsweise nachvollziehen bzw. analysieren zu können. Hierbei kann es sich natürlich um beliebige auf die betreffende Fahrzeugkomponente bezogene Daten, beispielsweise Diagnosedaten oder Fehlerdaten handeln. Ebenso können beliebige Sensordaten (Temperatur, Luftfeuchtigkeit etc.) protokolliert werden. Alle diese Daten werden abgesichert protokolliert, indem der Prozessor 109.1 in die ersten Daten in dem Speicher 110 entsprechende Protokolldaten einfügt, welche die Zustandsänderung der Fahrzeugkomponente dokumentieren.
  • Weiterhin kann das Sicherheitsmodul 108 verwendet werden, um die Autorisierung zur Vornahme einer Modifikation an einer Fahrzeugkomponente zu überprüfen und gegebenenfalls die Modifikation zu verhindern, sofern diese Überprüfung fehlschlägt. So kann beispielsweise vorgesehen sein, dass das Sicherheitsmodul 108 im Bereich der Zugangskontrolle zum Fahrzeug 103 oder im Bereich der Wegfahrsperre des Fahrzeugs 103 ebenso zum Einsatz kommt, wie im Bereich des Diebstahlschutzes für Komponenten des Fahrzeugs 103 (Navigationssystem, Radio etc.). So können in diesem Zusammenhang beispielsweise nicht erlaubte Modifikationen an diesen Komponenten festgestellt werden und dann entsprechende Maßnahmen zur Abwehr bzw. Unterbindung solcher Manipulationen vorgenommen werden.
  • Das Sicherheitsmodul 108 kann weiterhin dazu genutzt werden, Teile der in dem Speicher 110 abgelegten ersten Daten oder daraus abgeleitete Daten (insbesondere in entsprechend abgesicherter Form) an die Datenzentrale 113 zur weiteren Verarbeitung zu übermitteln. So können beispielsweise die oben beschriebenen Diagnosedaten an die Datenzentrale 113 übermittelt werden, welche diese selbst bearbeitet oder an eine weitere Datenzentrale 122 weiterleitet. Anhand dieser Daten können weitere Aktionen ausgelöst werden. So können beispielsweise die Diagnosedaten genutzt werden, um entsprechende weitere Leistungen zu initiieren, wie beispielsweise eine automatisierte Ersatzteilbestellung, eine automatisierte Vereinbarung von Wartungsterminen etc.
  • Insbesondere für den Fall, dass das gesamte Fahrzeug oder Fahrzeugkomponenten, beispielsweise der Energiespeicher 105, nicht das Eigentum des Fahrzeughalters sind, können die Diagnosedaten in vorteilhafter Weise verwendet werden, um den Eigentümer des Fahrzeugs bzw. der betreffenden Fahrzeugkomponente zuverlässig über den Zustand und das Verhalten der betreffenden Komponente (beispielsweise der Einfluss von Witterungsverhältnissen, dem Fahrverhalten, der Ladezyklen etc. auf die Laufzeit des Energiespeichers) auf dem laufenden zu halten und hieraus in einfacher Weise zeitnahe Informationen über den Lebenszyklus bzw. die Lebensdauer dieser Komponente zu erhalten.
  • Die vorliegende Erfindung wurde vorstehend ausschließlich anhand eines Beispiels beschrieben, bei welchem das Sicherheitsmodul zentral im Fahrzeug angeordnet ist. Es versteht sich jedoch, dass bei anderen Varianten der Erfindung auch vorgesehen sein kann, dass das Sicherheitsmodul an der betreffenden Fahrzeugkomponente befestigt ist. Beispielsweise kann das Sicherheitsmodul auch an einem austauschbaren Energiespeicher befestigt sein und zusammen mit diesem ausgetauscht werden. Dies ist insbesondere von Vorteil, wenn der Energiespeicher nicht Eigentum des Nutzers/Halters des Fahrzeugs ist.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • EP 0780801 A1 [0003]
    • WO 01/59711 A1 [0003]
  • Zitierte Nicht-Patentliteratur
    • FIPS PUB 140-2, 25 Mai 2001, National Institute of Standards and Technology, Gaithersburg, MD, USA [0013]
    • FIPS 140-2 [0049]

Claims (22)

  1. Anordnung zur Datenverarbeitung in einem Fahrzeug, insbesondere einem Kraftfahrzeug, mit – einer Fahrzeugkomponente (104, 105, 106, 118, 119, 120, 121) des Fahrzeugs (103), – einer Verarbeitungseinrichtung (109.1) und – einer Speichereinrichtung (110), wobei – die Speichereinrichtung (110) mit der Verarbeitungseinrichtung (109.1) verbunden ist und erste Daten speichert und – die Verarbeitungseinrichtung (109.1) dazu ausgebildet ist, die ersten Daten in Abhängigkeit von einer Zustandsänderung der Fahrzeugkomponente (104, 105, 106, 118, 119, 120, 121) zu modifizieren, dadurch gekennzeichnet, dass – die Verarbeitungseinrichtung (109.1) und/oder die Speichereinrichtung (110) dazu ausgebildet ist, die modifizierten ersten Daten in der Speichereinrichtung (110) in einer vor unerkannter Manipulation abgesicherten Form zur Verfügung zu stellen.
  2. Anordnung nach Anspruch 1, dadurch gekennzeichnet, dass – die Verarbeitungseinrichtung (109.1) und/oder die Speichereinrichtung (110) in einer logisch und/oder physikalisch vor unerkanntem unautorisierten Zugriff abgesicherten sicheren Umgebung (108) angeordnet ist und/oder – zumindest die Verarbeitungseinrichtung (109.1) eine Komponente eines kryptographischen Moduls (108) ist, welches wenigstens die Sicherheitsstufe 2, vorzugsweise wenigstens die Sicherheitsstufe 3, nach dem FIPS 140-2 Standard aufweist, und/oder – die Verarbeitungseinrichtung (109.1) wenigstens eine Echtzeituhr aufweist und insbesondere zur Erzeugung eines vor unerkanntem unautorisierten Zugriff abgesicherten Zeitstempels ausgebildet ist.
  3. Anordnung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass – die Zustandsänderung der Fahrzeugkomponente (104, 105, 106, 118, 119, 120, 121) in Verbindung mit einem Verbrauch wenigstens einer Leistung erfolgt und – die ersten Daten Abrechnungsdaten für den Verbrauch der wenigstens einen Leistung umfassen, welche die Verarbeitungseinrichtung in (109.1) Abhängigkeit von dem Verbrauch der wenigstens einen Leistung modifiziert, wobei – die Abrechnungsdaten insbesondere für ein zuvor in die Speichereinrichtung (110) geladenes Guthaben, insbesondere ein über eine Kommunikationseinrichtung (109.2) der Verarbeitungseinrichtung (109.1) und ein Telekommunikationsnetz (114) aus einer entfernten Datenzentrale (113) geladenes Guthaben, repräsentativ sind, das die Verarbeitungseinrichtung (109.1) in Abhängigkeit von dem Verbrauch der wenigstens einen Leistung reduziert oder erhöht.
  4. Anordnung nach Anspruch 3, dadurch gekennzeichnet, dass – die Abrechnungsdaten wenigstens erste Abrechnungsdaten und zweite Abrechnungsdaten umfassen, – die ersten Abrechnungsdaten einem ersten Bereitsteller der wenigstens einen Leistung zugeordnet sind, – die zweiten Abrechnungsdaten einem zweiten Bereitsteller der wenigstens einen Leistung zugeordnet sind und – die Verarbeitungseinrichtung (109.1) dazu ausgebildet ist, für einen aktuellen Verbrauchsvorgang der wenigstens einen Leistung den Bereitsteller der wenigstens einen Leistung zu identifizieren, und – die Verarbeitungseinrichtung (109.1) dazu ausgebildet ist, bei einer Identifikation des ersten Bereitstellers die ersten Abrechnungsdaten in Abhängigkeit von dem Verbrauch der wenigstens einen Leistung zu modifizieren und bei einer Identifikation des zweiten Bereitstellers die zweiten Abrechnungsdaten in Abhängigkeit von dem Verbrauch der wenigstens einen Leistung zu modifizieren.
  5. Anordnung nach Anspruch 3 oder 4, dadurch gekennzeichnet, dass – die Verarbeitungseinrichtung (109.1) dazu ausgebildet ist, die Berechtigung zum Verbrauch der wenigstens einen Leistung gegenüber einem Bereitsteller der wenigstens einen Leistung unter Verwendung wenigstens einer ersten Identifikation nachzuweisen, wobei – die wenigstens eine erste Identifikation insbesondere vor unerkanntem unautorisierten Zugriff abgesichert ist, insbesondere durch die Verarbeitungseinrichtung (109.1) vor unerkanntem unautorisierten Zugriff abgesichert ist, – die wenigstens eine erste Identifikation insbesondere eine identifizierte Einheit und/oder einen Betreiber einer identifizierten Einheit und/oder einen Nutzer einer identifizierten Einheit identifiziert, wobei die identifizierte Einheit die Verarbeitungseinrichtung (109.1) und/oder die Fahrzeugkomponente (104, 105, 106, 118, 119, 120, 121) und/oder das Fahrzeug (103) ist.
  6. Anordnung nach einem der Ansprüche 3 bis 5, dadurch gekennzeichnet, dass – die Verarbeitungseinrichtung (109.1) dazu ausgebildet ist, für den Verbrauch der wenigstens einen Leistung einen Bereitsteller der wenigstens einen Leistung und/oder wenigstens einen Verbrauchstarif des Bereitstellers der wenigstens einen Leistung unter Verwendung wenigstens einer zweiten Identifikation auszuwählen, wobei – die wenigstens eine zweite Identifikation insbesondere vor unerkanntem unautorisierten Zugriff abgesichert ist, insbesondere durch die Verarbeitungseinrichtung (109.1) vor unerkanntem unautorisierten Zugriff abgesichert ist, – die wenigstens eine Identifikation insbesondere den Bereitsteller der wenigstens einen Leistung und/oder wenigstens einen Verbrauchstarif des Bereitstellers identifiziert.
  7. Anordnung nach einem der Ansprüche 3 bis 6, dadurch gekennzeichnet, dass – die Fahrzeugkomponente ein Energiespeicher (105) des Fahrzeugs (103) ist, die Zustandsänderung eine Änderung eines Ladezustands des Energiespeichers (105) ist und die verbrauchte Leistung das Aufladen des Energiespeichers (105) ist; und/oder – die Fahrzeugkomponente eine erste Erfassungseinrichtung (118) zur Erfassung des Umfangs der Nutzung des Fahrzeugs (103) ist, die Zustandsänderung eine Änderung eines Zustands der ersten Erfassungseinrichtung (118) ist und die verbrauchte Leistung die Nutzung des Fahrzeugs (103) ist; und/oder – die Fahrzeugkomponente eine zweite Erfassungseinrichtung (119) zur Erfassung wenigstens eines Emissionswertes einer Emissionsgröße, insbesondere ein Wert eines Kohlendioxidausstoßes, eines Antriebsstrangs des Fahrzeugs (103) ist, die Zustandsänderung eine Änderung eines Zustands der zweiten Erfassungseinrichtung (119) ist und die verbrauchte Leistung die Emission der Emissionsgröße ist; und/oder – die Fahrzeugkomponente eine Antriebsstrangskomponente (104, 106) eines Antriebsstrangs des Fahrzeugs (103), insbesondere eine Motoreinrichtung (104, 106) des Antriebsstrangs, ist, die Zustandsänderung eine Änderung einer Eigenschaft der Antriebsstrangskomponente (104, 106) des Antriebsstrangs ist und die verbrauchte Leistung die Änderung der Eigenschaft der Antriebsstrangskomponente (104, 106) und/oder der Umfang der Nutzung des Fahrzeugs (103) bei dieser Eigenschaft der Antriebsstrangskomponente (104, 106) ist; und/oder – die Fahrzeugkomponente eine Fahrzeugsteuerungskomponente (120) des Fahrzeugs (103), insbesondere ein Fahrerassistenzsystem (120), ist, die Zustandsänderung eine Änderung einer Eigenschaft der Fahrzeugsteuerungskomponente (120) ist und die verbrauchte Leistung die Änderung der Eigenschaft der Fahrzeugsteuerungskomponente (120) ist; und/oder – die Fahrzeugkomponente eine Nutzerschnittstelle (121) des Fahrzeugs (103), insbesondere eine Navigationseinrichtung (121), ist, die Zustandsänderung eine Änderung einer Eigenschaft der Nutzerschnittstelle (121) ist und die verbrauchte Leistung die Änderung der Eigenschaft der Nutzerschnittstelle (121) ist.
  8. Anordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass – die ersten Daten Protokolldaten umfassen, welche die Zustandsänderung der Fahrzeugkomponente (104, 105, 106, 118, 119, 120, 121) dokumentieren, und/oder – die die Verarbeitungseinrichtung (109.1) dazu ausgebildet ist, die Autorisierung der Zustandsänderung zu überprüfen und bei Fehlschlagen der Überprüfung eine weitere Zustandsänderung der Fahrzeugkomponente (104, 105, 106, 118, 119, 120, 121) und/oder einer weiteren Fahrzeugkomponente (104, 105, 106, 118, 119, 120, 121) zu blockieren.
  9. Anordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass – die Verarbeitungseinrichtung (109.1) eine Kommunikationseinrichtung (109.2) umfasst, wobei – die Verarbeitungseinrichtung (109.1) dazu ausgebildet ist, aus wenigstens einem Teil der ersten Daten erste Kommunikationsdaten zu generieren, und die ersten Kommunikationsdaten über ein Telekommunikationsnetz (114) an eine entfernte Datenzentrale (113) zu übermitteln, wobei die an die entfernte Datenzentrale (113) zu übermittelnden ersten Kommunikationsdaten insbesondere Anforderungsdaten zur Anforderung einer weiteren Leistung umfassen, und/oder – die Verarbeitungseinrichtung (109.1) dazu ausgebildet ist, über die Kommunikationseinrichtung (109.2) zweite Kommunikationsdaten, insbesondere über ein Telekommunikationsnetz (114) zu empfangen und wenigstens einem Teil der ersten Daten in Abhängigkeit von den zweiten Kommunikationsdaten zu modifizieren.
  10. Datenverarbeitungssystem mit – einer Anordnung zur Datenverarbeitung (102) in einem Fahrzeug (103) nach einem der vorhergehenden Ansprüche und – einer entfernten Datenzentrale (113), wobei – die Verarbeitungseinrichtung (109.1) eine erste Kommunikationseinrichtung (109.2) umfasst und dazu ausgebildet ist, mittels der ersten Kommunikationseinrichtung (109.2) Kommunikationsdaten über ein Telekommunikationsnetz (114) an die entfernte Datenzentrale (113) zu übermitteln, wobei – insbesondere eine zweite, insbesondere stationäre, Kommunikationseinrichtung (111.1) vorgesehen ist, die mit der ersten Kommunikationseinrichtung (109.2) verbindbar ist und über das Telekommunikationsnetz (114) mit der entfernten Datenzentrale (113) verbindbar ist.
  11. Datenverarbeitungssystem nach Anspruch 10, dadurch gekennzeichnet, dass – die Fahrzeugkomponente ein Energiespeicher (105) des Fahrzeugs (103) ist und – die zweite Kommunikationseinrichtung (111.1) eine Komponente einer Ladestation (111) zur Energieversorgung des Energiespeichers (105) ist, wobei – eine Verbindung zwischen der ersten Kommunikationseinrichtung (109.2) und der zweiten Kommunikationseinrichtung (111.1) insbesondere über eine für die Energieversorgung mit dem Energiespeicher (105) verbindbare Energieversorgungsleitung (112), insbesondere ein Ladekabel, der Ladestation (111) herstellbar ist.
  12. Datenverarbeitungssystem nach Anspruch 10 oder 11, dadurch gekennzeichnet, dass – die Zustandsänderung der Fahrzeugkomponente (104, 105, 106, 118, 119, 120, 121) in Verbindung mit einem Verbrauch wenigstens einer Leistung erfolgt und die ersten Daten Abrechnungsdaten für den Verbrauch der wenigstens einen Leistung umfassen, wobei – die Verarbeitungseinrichtung (109.1) dazu ausgebildet ist, aus wenigstens einem Teil der ersten Daten erste Kommunikationsdaten zu generieren und die ersten Kommunikationsdaten an die entfernte Datenzentrale (113) zu übermitteln, und die entfernte Datenzentrale (113) dazu ausgebildet ist, zur Abrechnung des Verbrauchs der wenigstens einen Leistung gegenüber dem Bereitsteller der wenigstens einen Leistung unter Verwendung wenigstens eines Teils der ersten Kommunikationsdaten dritte Kommunikationsdaten zu generieren und an eine weitere Datenzentrale (115, 122) zu übermitteln, und/oder – die Abrechnungsdaten für ein zuvor in die Speichereinrichtung (110) geladenes Guthaben für den Verbrauch der wenigstens einen Leistung repräsentativ sind, die entfernte Datenzentrale (113) dazu ausgebildet ist, zweite Kommunikationsdaten zu generieren und an die Verarbeitungseinrichtung (109.1) zu übermitteln, die Verarbeitungseinrichtung (109.1) dazu ausgebildet ist, wenigstens einen Teil der Abrechnungsdaten in Abhängigkeit von den zweiten Kommunikationsdaten zu modifizieren, und die entfernte Datenzentrale (113) dazu ausgebildet ist, zur Abrechnung des Guthabens gegenüber dem Bereitsteller der wenigstens einen Leistung unter Verwendung wenigstens eines Teils der zweiten Kommunikationsdaten vierte Kommunikationsdaten zu generieren und an eine weitere Datenzentrale (115, 122) zu übermitteln.
  13. Verfahren zur Datenverarbeitung in einem Fahrzeug, insbesondere einem Kraftfahrzeug, bei dem – in einer Speichereinrichtung (110) des Fahrzeugs gespeicherte erste Daten in Abhängigkeit von einer Zustandsänderung einer Fahrzeugkomponente (104, 105, 106, 118, 119, 120, 121) des Fahrzeugs (103) modifiziert werden, dadurch gekennzeichnet, dass – die modifizierten ersten Daten in der Speichereinrichtung (110) in einer vor unerkannter Manipulation abgesicherten Form zur Verfügung gestellt werden.
  14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass – die Verarbeitung und/oder die Speicherung der modifizierten ersten Daten in einer logisch und/oder physikalisch vor unerkanntem unautorisierten Zugriff abgesicherten sicheren Umgebung (108) erfolgt und/oder – zumindest die Verarbeitung der modifizierten ersten Daten nach einem kryptographischen Verfahren erfolgt, welches wenigstens die Sicherheitsstufe 2, vorzugsweise wenigstens die Sicherheitsstufe 3, nach dem FIPS 140-2 Standard aufweist,
  15. Verfahren nach Anspruch 13 oder 14, dadurch gekennzeichnet, dass – die Zustandsänderung der Fahrzeugkomponente (104, 105, 106, 118, 119, 120, 121) in Verbindung mit einem Verbrauch wenigstens einer Leistung erfolgt und – die ersten Daten Abrechnungsdaten für den Verbrauch der wenigstens einen Leistung umfassen, in Abhängigkeit von dem Verbrauch der wenigstens einen Leistung modifiziert werden, wobei – die Abrechnungsdaten insbesondere für ein zuvor in die Speichereinrichtung (110) geladenes Guthaben, insbesondere ein über ein Telekommunikationsnetz (114) aus einer entfernten Datenzentrale (113) geladenes Guthaben, repräsentativ sind, das in Abhängigkeit von dem Verbrauch der wenigstens einen Leistung reduziert oder erhöht wird.
  16. Verfahren nach Anspruch 15, dadurch gekennzeichnet, dass – die Abrechnungsdaten wenigstens erste Abrechnungsdaten und zweite Abrechnungsdaten umfassen, – die ersten Abrechnungsdaten einem ersten Bereitsteller der wenigstens einen Leistung zugeordnet sind, – die zweiten Abrechnungsdaten einem zweiten Bereitsteller der wenigstens einen Leistung zugeordnet sind und – für einen aktuellen Verbrauchsvorgang der wenigstens einen Leistung der Bereitsteller der wenigstens einen Leistung identifiziert wird, und – bei einer Identifikation des ersten Bereitstellers die ersten Abrechnungsdaten in Abhängigkeit von dem Verbrauch der wenigstens einen Leistung modifiziert werden und bei einer Identifikation des zweiten Bereitstellers die zweiten Abrechnungsdaten in Abhängigkeit von dem Verbrauch der wenigstens einen Leistung modifiziert werden.
  17. Verfahren nach Anspruch 15 oder 16, dadurch gekennzeichnet, dass – die Berechtigung zum Verbrauch der wenigstens einen Leistung gegenüber einem Bereitsteller der wenigstens einen Leistung unter Verwendung wenigstens einer ersten Identifikation nachgewiesen wird, wobei – die wenigstens eine erste Identifikation insbesondere vor unerkanntem unautorisierten Zugriff abgesichert ist, – die wenigstens eine erste Identifikation insbesondere eine identifizierte Einheit und/oder einen Betreiber einer identifizierten Einheit und/oder einen Nutzer einer identifizierten Einheit identifiziert, wobei die identifizierte Einheit die Verarbeitungseinrichtung (109.1) und/oder die Fahrzeugkomponente (104, 105, 106, 118, 119, 120, 121) und/oder das Fahrzeug (103) ist.
  18. Verfahren nach einem der Ansprüche 15 bis 17, dadurch gekennzeichnet, dass – für den Verbrauch der wenigstens einen Leistung einen Bereitsteller der wenigstens einen Leistung und/oder wenigstens einen Verbrauchstarif des Bereitstellers der wenigstens einen Leistung unter Verwendung wenigstens einer zweiten Identifikation ausgewählt wird, wobei – die wenigstens eine zweite Identifikation insbesondere vor unerkanntem unautorisierten Zugriff abgesichert ist, – die wenigstens eine Identifikation insbesondere den Bereitsteller der wenigstens einen Leistung und/oder wenigstens einen Verbrauchstarif des Bereitstellers identifiziert.
  19. Verfahren nach einem der Ansprüche 15 bis 18, dadurch gekennzeichnet, dass – die Fahrzeugkomponente ein Energiespeicher (105) des Fahrzeugs (103) ist, die Zustandsänderung eine Änderung eines Ladezustands des Energiespeichers (105) ist und die verbrauchte Leistung das Aufladen des Energiespeichers (105) ist; und/oder – die Fahrzeugkomponente eine erste Erfassungseinrichtung (118) zur Erfassung des Umfangs der Nutzung des Fahrzeugs (103) ist, die Zustandsänderung eine Änderung eines Zustands der ersten Erfassungseinrichtung (118) ist und die verbrauchte Leistung die Nutzung des Fahrzeugs (103) ist; und/oder – die Fahrzeugkomponente eine zweite Erfassungseinrichtung (119) zur Erfassung wenigstens eines Emissionswertes einer Emissionsgröße, insbesondere ein Wert eines Kohlendioxidausstoßes, eines Antriebsstrangs des Fahrzeugs (103) ist, die Zustandsänderung eine Änderung eines Zustands der zweiten Erfassungseinrichtung (119) ist und die verbrauchte Leistung die Emission der Emissionsgröße ist; und/oder – die Fahrzeugkomponente eine Antriebsstrangskomponente (104, 106) eines Antriebsstrangs des Fahrzeugs (103), insbesondere eine Motoreinrichtung (104, 106) des Antriebsstrangs, ist, die Zustandsänderung eine Änderung einer Eigenschaft der Antriebsstrangskomponente (104, 106) des Antriebsstrangs ist und die verbrauchte Leistung die Änderung der Eigenschaft der Antriebsstrangskomponente (104, 106) und/oder der Umfang der Nutzung des Fahrzeugs (103) bei dieser Eigenschaft der Antriebsstrangskomponente (104, 106) ist; und/oder – die Fahrzeugkomponente eine Fahrzeugsteuerungskomponente (120) des Fahrzeugs (103), insbesondere ein Fahrerassistenzsystem (120), ist, die Zustandsänderung eine Änderung einer Eigenschaft der Fahrzeugsteuerungskomponente (120) ist und die verbrauchte Leistung die Änderung der Eigenschaft der Fahrzeugsteuerungskomponente (120) ist; und/oder – die Fahrzeugkomponente eine Nutzerschnittstelle (121) des Fahrzeugs (103), insbesondere eine Navigationseinrichtung (121), ist, die Zustandsänderung eine Änderung einer Eigenschaft der Nutzerschnittstelle (121) ist und die verbrauchte Leistung die Änderung der Eigenschaft der Nutzerschnittstelle (121) ist.
  20. Verfahren nach einem der Ansprüche 13 bis 19, dadurch gekennzeichnet, dass – die ersten Daten Protokolldaten umfassen, welche die Zustandsänderung der Fahrzeugkomponente (104, 105, 106, 118, 119, 120, 121) dokumentieren, und/oder – die Autorisierung der Zustandsänderung überprüft wird und bei Fehlschlagen der Überprüfung eine weitere Zustandsänderung der Fahrzeugkomponente (104, 105, 106, 118, 119, 120, 121) und/oder einer weiteren Fahrzeugkomponente (104, 105, 106, 118, 119, 120, 121) blockiert wird.
  21. Verfahren nach einem der Ansprüche 13 bis 20, dadurch gekennzeichnet, dass – aus wenigstens einem Teil der ersten Daten erste Kommunikationsdaten generiert werden und die ersten Kommunikationsdaten über ein Telekommunikationsnetz (114) an eine entfernte Datenzentrale übermittelt werden, wobei die an die entfernte Datenzentrale (113) zu übermittelnden ersten Kommunikationsdaten insbesondere Anforderungsdaten zur Anforderung einer weiteren Leistung umfassen, und/oder – zweite Kommunikationsdaten, insbesondere über ein Telekommunikationsnetz (114), empfangen werden und wenigstens einem Teil der ersten Daten in Abhängigkeit von den zweiten Kommunikationsdaten modifiziert wird.
  22. Verfahren nach einem der Ansprüche 13 bis 21, dadurch gekennzeichnet, dass – die Zustandsänderung der Fahrzeugkomponente (104, 105, 106, 118, 119, 120, 121) in Verbindung mit einem Verbrauch wenigstens einer Leistung erfolgt und die ersten Daten Abrechnungsdaten für den Verbrauch der wenigstens einen Leistung umfassen, wobei – aus wenigstens einem Teil der ersten Daten erste Kommunikationsdaten generiert und an eine entfernte Datenzentrale (113) übermittelt werden und die entfernte Datenzentrale (113) zur Abrechnung des Verbrauchs der wenigstens einen Leistung gegenüber dem Bereitsteller der wenigstens einen Leistung unter Verwendung wenigstens eines Teils der ersten Kommunikationsdaten dritte Kommunikationsdaten generiert und an eine weitere Datenzentrale (115, 122) übermittelt und/oder – die Abrechnungsdaten für ein zuvor in die Speichereinrichtung (110) geladenes Guthaben für den Verbrauch der wenigstens einen Leistung repräsentativ sind, eine entfernte Datenzentrale (113) zweite Kommunikationsdaten generiert und an das Fahrzeug (103) übermittelt, wenigstens ein Teil der Abrechnungsdaten in Abhängigkeit von den zweiten Kommunikationsdaten zu modifiziert wird, und die entfernte Datenzentrale (113) zur Abrechnung des Guthabens gegenüber dem Bereitsteller der wenigstens einen Leistung unter Verwendung wenigstens eines Teils der zweiten Kommunikationsdaten vierte Kommunikationsdaten generiert und an eine weitere Datenzentrale (115, 122) übermittelt.
DE102010011645A 2010-03-16 2010-03-16 Anordnung und Verfahren zur Datenverarbeitung in einem Fahrzeug Ceased DE102010011645A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102010011645A DE102010011645A1 (de) 2010-03-16 2010-03-16 Anordnung und Verfahren zur Datenverarbeitung in einem Fahrzeug

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102010011645A DE102010011645A1 (de) 2010-03-16 2010-03-16 Anordnung und Verfahren zur Datenverarbeitung in einem Fahrzeug

Publications (1)

Publication Number Publication Date
DE102010011645A1 true DE102010011645A1 (de) 2011-09-22

Family

ID=44585229

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102010011645A Ceased DE102010011645A1 (de) 2010-03-16 2010-03-16 Anordnung und Verfahren zur Datenverarbeitung in einem Fahrzeug

Country Status (1)

Country Link
DE (1) DE102010011645A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018203994A1 (de) 2018-03-15 2019-09-19 Robert Bosch Gmbh System und Verfahren zum dezentralen Durchführen von Transaktionen

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0780801A1 (de) 1995-12-19 1997-06-25 GZS Gesellschaft für Zahlungssysteme mbH Verfahren und Vorrichtungen für die Verwendung und Verrechnung von elektronischen Zahlungsmitteln in einem offenen und interoperablen System zur automatischen Gebührenerhebung
WO2001059711A1 (de) 2000-02-08 2001-08-16 Efkon Ag System zum automatischen verrechnen von gebühren
EP1286312A2 (de) * 2001-08-22 2003-02-26 Matsushita Electric Industrial Co., Ltd. Fahrzeugsdatenarchivierungssystem mit gesicherter authentifizierter Datenspeicherung
DE10238093A1 (de) * 2002-08-21 2004-03-11 Audi Ag Verfahren zum Schutz gegen Manipulationen in einem Steuergerät für mindestens eine Kfz-Komponente und Steuergerät
DE10304284A1 (de) * 2003-02-03 2004-08-19 Siemens Ag Anordnung und Verfahren zur Identifikation
DE102005039128A1 (de) * 2005-08-18 2007-02-22 Siemens Ag Sicherheitseinrichtung für elektronische Geräte
DE102007048659A1 (de) * 2007-10-10 2009-04-16 Continental Automotive Gmbh Energiespeicher
EP2199990A1 (de) * 2008-12-22 2010-06-23 General Electric Company Systeme und Verfahren zur Zählung von vorausbezahltem Strom für Fahrzeuge
EP2199143A1 (de) * 2008-12-22 2010-06-23 General Electric Company System und Verfahren zur Aufladung eines Elektrofahrzeugs und Abrechnung unter Verwendung eines drahtlosen Fahrzeugkommunikationsdienstes

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0780801A1 (de) 1995-12-19 1997-06-25 GZS Gesellschaft für Zahlungssysteme mbH Verfahren und Vorrichtungen für die Verwendung und Verrechnung von elektronischen Zahlungsmitteln in einem offenen und interoperablen System zur automatischen Gebührenerhebung
WO2001059711A1 (de) 2000-02-08 2001-08-16 Efkon Ag System zum automatischen verrechnen von gebühren
EP1286312A2 (de) * 2001-08-22 2003-02-26 Matsushita Electric Industrial Co., Ltd. Fahrzeugsdatenarchivierungssystem mit gesicherter authentifizierter Datenspeicherung
DE10238093A1 (de) * 2002-08-21 2004-03-11 Audi Ag Verfahren zum Schutz gegen Manipulationen in einem Steuergerät für mindestens eine Kfz-Komponente und Steuergerät
DE10304284A1 (de) * 2003-02-03 2004-08-19 Siemens Ag Anordnung und Verfahren zur Identifikation
DE102005039128A1 (de) * 2005-08-18 2007-02-22 Siemens Ag Sicherheitseinrichtung für elektronische Geräte
DE102007048659A1 (de) * 2007-10-10 2009-04-16 Continental Automotive Gmbh Energiespeicher
EP2199990A1 (de) * 2008-12-22 2010-06-23 General Electric Company Systeme und Verfahren zur Zählung von vorausbezahltem Strom für Fahrzeuge
EP2199143A1 (de) * 2008-12-22 2010-06-23 General Electric Company System und Verfahren zur Aufladung eines Elektrofahrzeugs und Abrechnung unter Verwendung eines drahtlosen Fahrzeugkommunikationsdienstes

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
FIPS 140-2
FIPS PUB 140-2, 25 Mai 2001, National Institute of Standards and Technology, Gaithersburg, MD, USA

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018203994A1 (de) 2018-03-15 2019-09-19 Robert Bosch Gmbh System und Verfahren zum dezentralen Durchführen von Transaktionen
WO2019174860A1 (de) 2018-03-15 2019-09-19 Robert Bosch Gmbh System und verfahren zum dezentralen durchführen von transaktionen

Similar Documents

Publication Publication Date Title
EP2324327B1 (de) Mobiler stromzähler zum ortsunabhängigen strombezug und/oder zur ortsunabhängigen stromeinspeisung einer mobilen speicher- und verbrauchseinheit
EP1358635B1 (de) Verfahren zum erfassen von strassenbenutzungsgebühren
EP2640596B1 (de) Ladevorrichtung zum laden eines fahrzeugakkumulators
CN107180557A (zh) 一种停车位预约计费方法及系统
EP2467839B1 (de) Verfahren und vorrichtung zur identifizierung eines elektrofahrzeugs gegenüber einer abrechnungszentrale
DE102017105014A1 (de) Ladestation und Betriebsverfahren hierfür
DE102010026689A1 (de) Verfahren und Steuereinheit zum Laden eines Fahrzeugakkumulators
DE102011082982A1 (de) Verfahren zum rechnergestützten Verwalten von Fahrzeugen
DE102014202866A1 (de) Verfahren und Vorrichtung zum Verhindern von Kraftstoffdiebstahl an einer Tankstelle oder einer Aufladestation für Kraftfahrzeuge
DE102014204762A1 (de) Telematiksystem, Telematikeinheit und Verfahren zur Fernsteuerung oder Beeinflussung von Fahrzeugfunktionen und zur Erfassung von Fahrzeugdaten
EP4110647A1 (de) Ladeanschlussvorrichtung und ladesystem für elektrofahrzeuge
DE102012222462A1 (de) Parameterabhängiges Steuern einer Energieübertragung
DE102009049082A1 (de) Integriertes Energie- und Parkmanagement für Elektrofahrzeuge
EP2704918A2 (de) Verfahren zur erfassung eines von einer ersten einheit zu einer zweiten einheit transferierbaren, mengenmässig bestimmbaren mediums
DE102012206770A1 (de) Verfahren zur Vorbereitung oder Durchführung eines Bezahlvorgangs, Fahrzeug und Bezahlsystem
EP3033736A1 (de) System und verfahren zur verwaltung eines parkvorgangs eines fahrzeugs in einer gebührenpflichtigen parkzone und zur verwaltung eines zahlvorgangs zur begleichung von parkgebühren
CH713344A1 (de) Sicherungsanordnung und -verfahren für Elektrofahrräder.
EP3265345B1 (de) Intelligenter elektronischer schlüssel mit mobilfunk-fähigkeit
WO2010149449A2 (de) Sicherung der abrechnung von über eine ladestation bezogener energie
DE102010011645A1 (de) Anordnung und Verfahren zur Datenverarbeitung in einem Fahrzeug
DE102009034929B4 (de) Verfahren und System zur Abgabe von Energie an Elektrofahrzeuge
DE102018007472A1 (de) Ladestation für Elektrofahrzeuge
DE102020107365A1 (de) Verfahren und System zum Freischalten eines elektrischen Ladevorgangs für ein Kraftfahrzeug sowie Servervorrichtung
EP2184716B1 (de) Verfahren zur automatischen Abrechnung in einem Gebührenerhebungs- oder Mautsystem
EP1785945A1 (de) Verfahren zur automatisierten Erfassung und Abrechnung der Benutzung eines kostenpflichtigen Parkbereichs

Legal Events

Date Code Title Description
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final

Effective date: 20120530