-
Die vorliegende Erfindung betrifft eine Ladestation für Elektrofahrzeuge, umfassend einen Verbund von mehreren Ladepunkten zum Laden der Elektrofahrzeuge mit elektrischer Energie und eine Steuerung zum Steuern des Verbundes von Ladepunkten.
-
Eine Ladestation, im Folgenden auch als Ladesäule bezeichnet, ist eine elektrische Anlage, die der Speisung von Elektrofahrzeugen mit elektrischer Energie dient. Hierzu verfügen Ladestationen über eine oder mehrere Steckdosen, an denen sich die Fahrzeuge jeweils über eine Kabelverbindung aufladen lassen. Die eine solche Steckdose umfassenden Funktionseinheiten der Ladesäule werden häufig auch als Ladepunkte bezeichnet.
-
Ladesäulen vorstehend erläuterter Art sind Teil einer Ladesäuleninfrastruktur, die eine flächendeckende Versorgung von Elektrofahrzeugen mit elektrischer Energie ermöglichen. In einer solchen Ladesäuleninfrastruktur muss sichergestellt sein, dass die Abrechnung der von den jeweiligen Nutzern bezogenen Energiemengen korrekt und nachvollziehbar erfolgt. Dementsprechend enthalten die einzelnen Ladesäulen eichrechtlich relevante Komponenten, die zum einen die korrekte Erfassung der bezogenen Energiemengen und zum anderen die manipulationssichere Übertragung Daten, die den jeweiligen Ladevorgang repräsentieren, z.B. an eine Abrechnungsstelle ermöglichen. Insbesondere ist zu gewährleisten, dass sich die eichrechtlich relevanten Komponenten eine Ladesäule zuverlässig und ohne großen Aufwand von hierzu autorisiertem Personal nach eichtechnischen Gesichtspunkten prüfen lassen.
-
Vor diesem Hintergrund ist es Aufgabe der vorliegenden Erfindung, eine Ladestation sowie ein Verfahren zu deren Steuerung anzugeben, die einen zuverlässigen und aufwandsarmen Betrieb der Ladesäule inbesondere unter Berücksichtigung eichteschnischer Vorgaben ermöglichen.
-
Die Erfindung löst diese Aufgabe durch die Gegenstände der unabhängigen Ansprüche. Vorteilhafte Weiterbildungen sind in den Unteransprüchen angegeben.
-
Die erfindungsgemäße Ladestation für Elektrofahrzeuge umfasst einen Verbund von mehreren Ladepunkten zum Laden der Elektrofahrzeuge mit elektrischer Energie und eine Steuerung zum Steuern des Verbundes von Ladepunkten. Die Steuerung enthält ein Managementmodul und ein Akkreditierungsmodul, das über eine Kommunikationsschnittstelle mit dem Managementmodul gekoppelt und abgesehen von dieser Kommunikationsschnittstelle von dem Managementmodul physisch getrennt ist. Das Akkreditierungsmodul ist ausgebildet, verschiedene Ladevorgänge repräsentierende Datensätze digital zu signieren sowie die digital signierten Datensätze zu speichern und über die Kommunikationsschnittstelle an das Managementmodul zu übertragen. Das Managementmodul ist ausgebildet, die von dem Akkreditierungsmodul empfangenen, digital signierten Datensätze an eine Netzwerkkomponente außerhalb der Ladestation zu übertragen.
-
Die Erfindung sieht ein Akkreditierungsmodul vor, das eine gegenüber den übrigen Komponenten der Ladestation, insbesondere gegenüber dem Managementmodul eigenständige oder autarke Funktionseinheit bildet. Diese Eigenständigkeit des Akkreditierungsmoduls wird dadurch erreicht, dass dieses allein durch die vorgenannte Kommunikationsschnittstelle mit dem Managementmodul gekoppelt ist. Das Akkreditierungsmodul dient der eichrechtlich relevanten Signierung und Speicherung von Daten, die in der Ladestation zu ein- und demselben Ladevorgang generiert werden. Das Akkreditierungsmodul bietet als weitgehend eigenständige Funktionseinheit eichtechnischem Personal in besonders einfacher Weise die Möglichkeit, eine Überprüfung der erfassten, eichrechtlich relevanten Daten vorzunehmen. Da das Akkreditierungsmodul die gewonnenen Daten ausschließlich in Form von digital signierten Datensätzen an das Managementmodul überträgt, ermöglicht die erfindungsgemäße Lösung eine sichere Ende-zu-Ende-Verschlüsselung dieser Daten.
-
Das Managementmodul dient für das Akkreditierungsmodul als Schnittstelle in Richtung öffentlicher Kommunikationsnetzwerke. Es kann beispielsweise als Web-Anwendung auf einem Industrie-PC realisiert sein, wobei die auf einem solchen PC implementierte Software im Unterschied zu dem Akkreditierungsmodul keine eichrechtliche Relevanz besitzt. Neben der vorgenannten Schnittstellenfunktion kann das Managementmodul auch Steuerfunktionen bereitstellen, die zum Betrieb der Ladesäule genutzt werden, insbesondere zur Ansteuerung der in der Ladesäule enthaltenen Komponenten.
-
Vorzugsweise enthält das Akkreditierungsmodul eine Signatureinheit, die ausgebildet ist, eine digitale Signatur für den jeweiligen Datensatz anhand eines in dem Akkreditierungsmodul gespeicherten privaten Schlüssels und eines dem privaten Schlüssel zugeordneten öffentlichen Schlüssels zu generieren. Dabei kann der private Schlüssel in einem eigens hierfür in der Signatureinheit vorgesehenen internen Speicher vorgehalten werden.
-
Vorzugsweise enthält das Akkreditierungsmodul einen Speicher zur manipulationssicheren Speicherung der digital signierten Datensätze. Dieser Speicher ist in einer besonders bevorzugten Ausführung als nicht entnehmbarer, eichpflichtiger Messwertspeicher nach gesetzlichen Vorgaben ausgeführt.
-
In einer vorteilhaften Ausgestaltung enthält das Akkreditierungsmodul eine Uhr zum Messen einer Startzeit und einer Endzeit des jeweiligen Ladevorgangs. In einer bevorzugten Ausführung ist die genannte Uhr als Echtzeituhr ausgebildet, die gesetzlich vorgeschriebenen Genauigkeitsanforderungen genügt.
-
Das Akkreditierungsmodul weist vorzugsweise eine erste Schnittstellensteuerung zum Empfangen von Messdaten, welche die in dem jeweiligen Ladevorgang geladene elektrische Energie repräsentieren, und eine zweite Schnittstellensteuerung zum Ausgeben der digital signierten Datensätze an das Managementmodul.
-
In einer weiteren vorteilhaften Ausgestaltung enthält die Signatureinheit einen Paginierungszähler, der jedem Ladevorgang eine fortlaufende Nummer zuordnet.
-
Zu Beginn jedes Ladevorgangs kann das Akkreditierungsmodul einen START-Datensatz und am Ende des Ladevorgangs einen STOPP-Datensatz generieren und auf Basis dieser Datensätze durch Differenzbildung einen Ladevorgang-Datensatz generieren, der eine Information über die in dem Ladevorgang bezogene Energiemenge beinhaltet. Das Akkreditierungsmodul signiert und speichert zumindest den START-Datensatz und den Ladevorgang-Datensatz. Vorzugsweise signiert und speichert das Akkreditierungsmodul alle vorgenannten Datensätze.
-
Als autarke Funktionseinheit weist das Akkreditierungsmodul vorzugsweise eine eigene Energieversorgung auf, die das Akkreditierungsmodul unabhängig von den übrigen Komponenten der Ladestation mit elektrischer Energie speist. Überdies ist das Akkreditierungsmodul vorzugsweise in einem eigenen Gehäuse untergebracht.
-
Wie vorstehend erläutert, dient das Managementmodul insbesondere der Übertragung der durch das Akkreditierungsmodul digital signierten Datensätze mit eichtechnisch relevanten Inhalten. Das Managementmodul kann ferner ausgebildet sein, den jeweiligen Ladevorgang, insbesondere dessen Beginn und dessen Ende zu steuern.
-
Die erfindungsgemäße Ladestation enthält vorzugsweise mehrere Energiemengenzähler, die den verschiedenen Ladepunkten zugeordnet und ausgebildet sind, die von den verschiedenen Ladepunkten bezogenen Energiemengen je Ladevorgang zu erfassen. Dabei können die Energiemengenzähler so ausgeführt sein, dass sie eine MID-konforme Strommessung ermöglichen.
-
In einer besonders bevorzugten Ausführungsform weist die Ladestation ein eichtechnisches Siegel zum Schutz des Akkreditierungsmoduls, der Energiemengenzähler und der Kommunikationsschnittstelle auf. Durch ein solches Siegel sind die vorgenannten Komponenten gegenüber ihrer von der Eichpflicht ausgenommenen Umgebung abgegrenzt. Das eichrechtliche Siegel ist beispielsweise durch ein abgeschlossenes Gehäuse gebildet, das nur von autorisiertem Personal geöffnet werden darf.
-
Die Ladestation umfasst vorzugsweise einen Steuerschrank, in dem die Steuerung untergebracht ist. Demgegenüber umfassen die Ladepunkte jeweils Bedienelemente, die für einen Nutzer von außerhalb des Steuerschranks zugänglich sind.
-
Die Erfindung wird im Folgenden anhand der Figuren näher erläutert. Darin zeigen:
- 1 ein Blockdiagramm einer verteilten Ladesäuleninfrastruktur;
- 2 ein Blockdiagramm eines erfindungsgemäßen Akkreditierungsmoduls, das Teil einer Steuereinrichtung einer Ladesäule ist;
- 3 ein Flussdiagramm, das den gesamten Datenfluss eines einzelnen Ladevorgangs innerhalb der Ladesäuleninfrastruktur zeigt;
- 4 ein Flussdiagramm, das den Datenfluss zu Beginn des Ladevorgangs zeigt; und
- 5 ein Flussdiagramm, das den Datenfluss bei Beendigung des Ladevorgangs zeigt.
-
1 zeigt eine allgemein mit 10 bezeichnete Ladesäuleninfrastruktur 10 als Ausführungsbeispiel.
-
Die Ladesäuleninfrastruktur 10 ist aus einer Ladesäule 12, die einen Verbund von mehreren, im vorliegenden Ausführungsbeispiel acht Ladepunkten K4_1-8 sowie eine Ladesäulensteuerung S1 zum Steuern dieses Verbundes enthält, und weiteren Strukturkomponenten gebildet, die nicht Teil der Ladesäule 12 sind. In der Darstellung nach 1 sind die Bestandteile der Ladesäulensteuerung S1 mit Bezugszeichen aus einem Nummernkreis S... versehen. Sie kommen pro Ladesäule genau einmal vor. Demgegenüber bezeichnet in 1 der Nummernkreis K... diejenigen Komponenten der Ladesäule 12, die den acht verschiedenen Ladepunkten K4_1-8 zugeordnet sind und deshalb pro Ladesäule achtmal vorkommen. Diejenigen Komponenten der Ladesäuleninfrastruktur 10, die nicht Teil der Ladesäule 12 sind, sind in 1 mit Bezugszeichen aus einem Nummernkreis T... bezeichnet.
-
Die vorgenannten Komponenten, die nicht Teil der Ladesäule 12 sind, umfassen ein Niederspannungsnetz T1, einen Stromzähler T2, ein Backend-System T3, ein von einem Nutzer T10 verwendetes Mobilgerät T4, ein dem Nutzer T10 zugeordnetes Token T11 als Identifizierungskomponente sowie ein Elektrofahrzeug T20, das der Nutzer T10 mit Hilfe der Ladesäuleninfrastruktur 10 mit elektrischer Energie laden möchte.
-
Die Ladesäulensteuerung S1 ist in einem Steuerschrank 14, der nur von einer autorisierten Elektrofachkraft geöffnet werden darf, untergebracht. Somit weist die Ladesäulensteuerung S1 keine Bedienelemente für den Nutzer T10 auf. Sie dient der Steuerung der von außerhalb des Steuerschranks 14 zugänglichen Ladepunkte K4_1-8. Die Ladesäulensteuerung S1 umfasst einen Niederspannungsgruppenverteiler (NSGV) S3, der über eine Niederspannungszuleitung T50 von dem Niederspannungsnetz T1 mit elektrischer Energie versorgt wird. Dabei misst der Stromzähler T2, der auf Seiten des Betreibers der Ladesäuleninfrastruktur vorgesehen ist, den gesamten Energieverbrauch der Ladesäulensteuerung S1 sowie der acht Ladepunkte K4_1-8. Der von dem Stromzähler T2 erfasste Eigenverbrauch der Ladesäulensteuerung S1, der in 1 mit S2 veranschaulicht ist, betrifft nicht den Nutzer T10. An dem Stromzähler T2 kann der Betreiber zusätzlich zu der in 1 dargestellten Ladesäule 12 weitere Verbraucher betreiben.
-
Die Ladesäulensteuerung S1 enthält ferner eine im Weiteren als Managementmodul S4 sowie ein Akkreditierungsmodul S5. Das Akkreditierungsmodul S5 bildet ein eichtechnisch relevantes, eingebettetes System, das der digitalen Signierung und Speicherung von genau einem Datensatz je Ladevorgang an einem der Ladepunkte K4_1-8 dient, wie später anhand der 2 näher erläutert wird. Das Akkreditierungsmodul S5 und das Managementmodul S4 kommunizieren über eine Kommunikationsschnittstelle S51 miteinander, die beispielsweise als RS485/ModBus-Schnittstelle ausgeführt ist. Das Managementmodul S4 ist über eine Kommunikationsverbindung T51 an das Backend-System angebunden T3. Letzteres kommuniziert über entsprechende Verbindungen mit weiteren, in 1 nicht gezeigten Ladesäulen.
-
Das Managementmodul S4 ist z.B. aus einem Server gebildet, der als Web-Anwendung auf einem Industrie-PC realisiert ist. Die in dem Managementmodul S4 implementierte Software besitzt im Unterschied zu dem Akkreditierungsmodul S5 keine eichrechtliche Relevanz. Das Managementmodul S4 dient für das Akkreditierungsmodul S5 als Schnittstelle in Richtung öffentlicher Kommunikationsnetzwerke, insbesondere zu dem in 1 dargestellten Backend-System T3. Infolge der Wirkungsweise des Akkreditierungsmoduls S5 werden über das Managementmodul S4 ausschließlich signierte Datensätze mit eichtechnisch relevanten Inhalten übertragen. Ansonsten dient das Managementmodul S4 zur Steuerung von Ladevorgängen, insbesondere zu deren Start und Ende nach Aktivität des Nutzers T10.
-
Da das Akkreditierungsmodul S5 etwa im Unterschied zu dem Managementmodul S4 eine eichrechtlich relevante Komponente der Ladesäule 12 darstellt, ist sie gegenüber ihrer von der Eichpflicht ausgenommenen Umgebung durch ein Eichsiegel S7 abgegrenzt. Beispielsweise ist das Eichsiegel S7 durch ein abgeschlossenes Gehäuse gebildet, das alle eichrechtlich relevanten Komponenten beinhaltet. Neben dem vorgenannten Akkreditierungsmodul S5 sind dies im vorliegenden Beispiel acht Energiemengen- oder Stromzähler K3_1-8, die den verschiedenen Ladepunkten K4_1-8 funktional zugeordnet sind. Die Energiemengenzähler K3_1-8 dienen der MID-konformen Messung der elektrischen Energie, die der Niederspannungsgruppenverteiler S3 über elektrische Zuleitungen K50_1-8 über die Energiemengenzähler K3_1-8 auf die einzelnen Ladepunkte K4_1-8 verteilt. Die vorgenannten Zuleitungen K50_1-8 sind dabei aus Stromschienen oder anderen fachgerechten Installationselemente gebildet. Die von den Energiemengenzählern K3_1-8 erfassten Messwerte empfängt das Akkreditierungsmodul S5 über eine durch das eichtechnische Siegel S7 geschützte Kommunikationsschnittstelle K51.
-
Die Ladesäule 12 enthält ferner acht Ladesteuerungen K2_1-8 sowie acht Ladeschütze (Aktoren) K1_1-8, die jeweils einem der verschiedenen Ladepunkte K4_1-8 zugeordnet sind. Die Ladesteuereinheiten K2_1-8 sind eingangsseitig über Zuleitungen K54_1-8 mit dem Managementmodul S4 und ausgangsseitig über Steuerleitungen K53_1-8 mit den Ladeschützen K1_1-8 gekoppelt. Die Übertragung der elektrischen Energie von den Energiemengenzählern K3_1-8 auf die Ladeschütze K1_1-8 erfolgt über Energieübertragungsleitungen K52_1-8.
-
Die acht Ladepunkte K4_1-8 bilden jeweils eine Bedieneinheit für den Nutzer T10, deren von außerhalb des Steuerschranks 14 zugängliche Bedienelemente durch einen Anschluss K5_1-8 für ein von dem Nutzer T10 mitzubringendes Ladekabel und einen Token-Leser K7_1-8 zur Identifizierung/Authentifizierung des Nutzers T10 gebildet sind. Ferner verfügen die Ladepunkte K4_1-8 jeweils über eine Kennung oder ein Label K6_1-8 mit einem aufgedruckten öffentlichen Schlüssel (public key) zur Validierung der eichrechtlich relevanten digitalen Signatur von Ladedatensätzen. Dabei erfolgt die Zuordnung zwischen dem jeweiligen Ladepunkt K4_1-8 und dem öffentlichen Schlüssel über die unveränderbare Anbringung des Labels K6_1-8 an dem Gehäuse des jeweiligen Ladepunktes K4_1-8. Neben dem öffentlichen Schlüssel können zu Informationszwecken noch weitere Identifizierungsmerkmale auf dem Label K6_1-8 aufgedruckt sein. Über eine Sichtverbindung K62_1-8 kann der Nutzer T10 die Identifizierungsmerkmale des zugehörigen Ladepunktes K4_1-8 erfassen.
-
Die Energieübertragung von den Ladeschützen K1_1-8 über die zugehörigen Ladekabel-Anschlüsse K5_1-8 auf das Fahrzeug T20 erfolgt über Zuleitungen K55_1-8 bzw. Zuleitungen K60_1-8. Dabei verlaufen die Zuleitungen K60_1-8 jeweils in dem Ladekabel 12, das der Nutzer T10 über den zugehörigen Anschluss K5_1-8 mit der Ladesäule 12 verbindet. Ferner sind die Ladekabel-Anschlüsse K5_1-8 einerseits über Leitungen K56_1-8 mit den zugehörigen Ladesteuerungen K2_1-8 und andererseits über Leitungen K61_1-8 mit dem Fahrzeug T20 verbunden. Diese Verbindungen bilden Kommunikationsschnittstellen zwischen den Ladesteuerungen K2_1-8 und dem Fahrzeug T20.
-
Die den verschiedenen Ladepunkten K4_1-8 zugeordneten Token-Leser K7_1-8 bilden jeweils eine Benutzerschnittstelle zum Lesen des Tokens T11, der eindeutig dem Nutzer T10 zugeordnet ist (vgl. T55 in 1). Die Token-Leser K7_1-8 sind beispielsweise als RFID-Lesegeräte ausgeführt. Mit Hilfe des Tokens T11 und des zugehörigen Token-Lesers K7_1-8 kann sich der Nutzer T10 mit einer Nutzerkennung (Nutzer-ID) in der Ladesäuleninfrastruktur 10 identifizieren. Um dem Managementmodul S4 die Nutzer-ID zuzuführen, sind die Token-Leser K7_1-8 über Kommunikationsleitungen K57_1-8 mit dem Managementmodul S4 verbunden.
-
Alternativ kann sich der Nutzer T10 auch über sein Mobilgerät T4 identifizieren, das beispielsweise als sogenanntes Smartphone ausgeführt ist, d.h. als Mobiltelefon, das dem Nutzer T10 umfangreiche Computer-Funktionalitäten zur Verfügung stellt. Die ID wird in diesem Fall von dem Mobilgerät T4 über eine Kommunikationsverbindung T52 an das Backend-System T3 übertragen, welches die ID wiederum über eine Kommunikationsverbindung T51 an das Managementmodul S4 sendet. Das Mobilgerät T4 stellt ferner beispielsweise mit Hilfe einer entsprechenden Anzeigeeinheit, z.B. eines Bildschirms eine Benutzerschnittstelle T53 bereit, die sich für die rechtlich relevante Darstellung von Messwerten nutzen lässt. Insbesondere ist es dem Nutzer T10 möglich, mit Hilfe des an dem zugehörigen Ladepunkt K4_1-8 angebrachten öffentlichen Schlüssels K6_1-8 auf seinem Mobilgerät T4 die ihm angezeigten Messwerte zu validieren.
-
Das Blockdiagramm nach 2 zeigt den Aufbau des in der Ladesäulensteuerung S1 enthaltenen Akkreditierungsmoduls S5. In dem vorliegenden Ausführungsbeispiel enthält das Akkreditierungsmodul S5 eine Info-Uhr S5.01, eine Zeitstempeluhr S5.02, eine erste Schnittstellensteuerung S5.04, eine Signatureinheit S5.05, eine zweite Schnittstellensteuerung S5.06 und einen Messwertspeicher S5.07.
-
Von den beiden Uhren ist im vorliegenden Ausführungsbeispiel nur die Zeitstempeluhr S5.02 als Echtzeituhr ausgeführt ist. Für die Fälle, in denen für uhrzeitabhängige Tarife keine Echtzeituhr benötigt wird, reicht die Info-Uhr S5.01 aus. Wird dagegen für uhrzeitabhängige Tarife eine Echtzeituhr benötigt, so kommt die Zeitstempeluhr S5.02 zum Einsatz. Diese genügt vorbestimmten Genauigkeitsanforderungen und kann stets alternativ zur Info-Uhr S5.01 eingesetzt werden. Die beiden Uhren S5.01 und S5.02 sind eingangsseitig über Zuleitungen S5.50 bzw. S5.51 zum Zwecke der Synchronisation mit der zweiten Schnittstellensteuerung S5.06 verbunden. Ausgangsseitig sind die beiden Uhren S5.01 und S5.02 über Zuleitungen S5.52 bzw. S5.53 zum Zwecke der Übertragung eines entsprechenden Zeitstempels innerhalb des eichrechtlich relevanten Messdatensatzes mit der Signatureinheit S5.05 verbunden.
-
Die erste Schnittstellensteuerung S5.04 dient der Entgegennahme von Messdaten aus den MID-konformen Energiemengenzählern K3_1-8 (vgl. 1). Die erste Schnittstellensteuerung S5.04 sowie alle daran unmittelbar oder mittelbar angeschlossenen Komponenten des Akkreditierungsmoduls S5 müssen gegen nicht autorisierte Manipulationen gemäß eichtechnischen Anforderungen geschützt sein. So muss insbesondere verhindert werden, dass die Messdaten unerkennbar verändert werden. Dies kann beispielsweise durch Anbringung einer entsprechenden eichtechnischen Sicherung realisiert werden.
-
Die Signatureinheit S5.05 erhält alle eichtechnisch relevanten Datenfelder eines jeden Ladevorgangs und fügt diese zu einem Datensatz zusammen. Unmittelbar nach der Zusammenstellung des jeweiligen Datensatzes wird mittels eines in der Signatureinheit S5.05 enthaltenen Kryptographiemoduls eine digitale Signatur generiert. Hierzu wird ein privater Schlüssel verwendet, dessen zugeordneter öffentlicher Schlüssel K6_1-8 für den Nutzer T10 an dem zugehörigen Ladepunkt K4_1-8 visualisiert wird (vgl. 1). Die Signatureinheit S5.05 wird in dem vorliegenden Ausführungsbeispiel gemeinsam von den acht Ladepunkten K4_1-8 genutzt. Jeder von der Signatureinheit S5.05 generierte Datensatz wird über eine Verbindung S5.57 an den Messwertspeicher S5.07 übertragen, der ein nicht entnehmbares, eichpflichtiges Speichermittel nach gesetzlichen Vorgaben bildet. Insbesondere kommt bei der Speicherung der Datensätze in dem Messwertspeicher S5.07 das sogenannte WORM-Prinzip zur Anwendung, das für „read once read multiple“ steht. Demnach sind Vorkehrungen getroffen, die das Löschen, Überschreiben und Ändern der in dem Messwertspeicher S5.07 gespeicherten Daten dauerhaft ausschließen.
-
Die Signatureinheit S5.05 führt zudem mittels eines Paginierungszählers ein Register zur Paginierung, d.h. zur fortlaufenden Durchnummerierung der Datensätze, die in ein eichtechnisches Logbuch geschrieben werden. Die Signatureinheit S5.05 enthält einen sicheren Speicher für den Zugriff auf den privaten Schlüssel, die zur digitalen Signierung der Datensätze notwendig ist, die in das eichtechnische Logbuch geschrieben werden.
-
Die zweite Schnittstellensteuerung S5.06 dient u.a. dazu, die für die verschiedenen Ladevorgänge generierten, jeweils mit einer digitalen Signatur versehenen Datensätze an das Managementmodul S4 auszugeben, der die Datensätze wiederum an das Backend-System T3 weiterleitet, das beispielsweise von einem Abrechnungsdienstleister vorgehalten wird. Die zweite Schnittstellensteuerung S5.06 kann außerdem auch bidirektional für Steuerkommandos verwendet werden, die den Start oder das Ende einer eichtechnisch relevanten Messung einleiten.
-
Das Akkreditierungsmodul S5 weist zudem eine in den Figuren nicht gezeigte Energieversorgung auf, die es ermöglicht, das Akkreditierungsmodul als autarke Funktionseinheit zu betreiben. Insbesondere stellt somit das Akkreditierungsmodul S5 ein Signatur-Gateway dar, das weitgehend unabhängig von dem Managementmodul S4 ist.
-
Die Flussdiagramme nach den 3 bis 5 zeigen den Datenfluss innerhalb der Ladesäuleninfrastruktur 10 für einen Ladevorgang, wobei 3 den Gesamtablauf zeigt, während 4 den Datenfluss zu Beginn des Ladevorgangs und 5 den Datenfluss bei Beendigung des Ladevorgangs darstellt. In den 3 bis 5 sind in den einzelnen Verfahrensschritten die in den Blockdiagrammen nach den 1 und 2 verwendeten Bezugszeichen zur Kennzeichnung der an dem jeweiligen Verfahrensschritt beteiligten Funktionseinheiten angegeben.
-
In 3 beginnt der Ladevorgang in Schritt V1. In Schritt V2 entscheidet sich der Nutzer T10, ob er sich mit Hilfe des Tokens T11 oder des Mobilgeräts T4 in der Ladesäuleninfrastruktur 10 identifiziert. Meldet sich der Nutzer T10 mit Hilfe des Tokens T11 an, so erfasst der Token-Leser K7 in Schritt V4 die Nutzer-ID. Meldet sich der Nutzer T10 dagegen in Schritt V5 mit Hilfe der auf seinem Mobilgerät T4 hierfür implementierte Anwendungssoftware an, so erfolgen in Schritt V6 Indentifizierung und Autorisierung über das Speicher/Backend-System T3.
-
In beiden Fällen verarbeitet das Managementmodul S4 in Schritt V7 die ihm zugeführte Identifizierungs- und Autorisierungsinformation. In Schritt V8 veranlasst das Managementmodul S4 auf Grundlage der auf den Nutzer T10 bezogenen ID-Information und der Information über den gewählten Ladepunkt den Start der Ladevorgang und die Akkreditierung, die von dem Akkreditierungsmodul S6 in Schritt V9 durchgeführt wird (vgl. 4).
-
Das Ergebnis der von dem Akkreditierungsmodul S5 durchgeführten Datenverarbeitung in Schritt V9 ist ein digital signierter START-Datensatz, den das Managementmodul S4 in Schritt V10 von dem Akkreditierungsmodul S5 erhält, worauf das Managementmodul S4 eine Steuerinformation ausgibt, die die dem betrachteten Ladepunkt zugeordnete Ladesteuerung K2 in Schritt V11 erhält, wodurch der Ladevorgang freigegeben wird. Im Schritt V12 wird der Ladevorgang durchgeführt, bis das Fahrzeug geladen ist oder ein Abbruch des Ladevorgangs durch den Nutzer T10 erfolgt. In Schritt V13 gibt die Ladesteuerung K2 eine Information über das Ende des Ladevorgangs aus, die das Managementmodul S4 in Schritt V14 erhält.
-
Das Managementmodul S4 gibt dann in Schritt V15 ein Steuersignal an das Akkreditierungsmodul S5 aus, um die Akkreditierung und die Beendigung des Ladevorgangs zu bewirken. In Schritt V16 gibt das Akkreditierungsmodul S5 einen signierten Ladevorgang-Datensatz aus, den das Managementmodul S4 in Schritt V17 erhält. Schließlich gibt das Managementmodul S4 eine Abrechnung über den verbrauchten Strom aus, den das Mobilgerät T4 in Schritt V18 erhält und dem Nutzer T10 zur Anzeige bringt, worauf der Ladevorgang in Schritt V19 endet.
-
In dem Blockdiagramm nach 4 ist der Datenfluss zu Beginn des Ladevorgangs gemäß der von dem Akkreditierungsmodul S5 in Schritt V9 durchgeführten Datenverarbeitung dargestellt.
-
In Schritt V9-1 beginnt der Ladevorgang mit der Akkreditierung auf Grundlage der dem Akkreditierungsmodul S5 zugeführten Informationen über die Identität des Nutzers T10 und den verwendeten Ladepunkt. In Schritt V9-2 führt der zu dem gewählten Ladepunkt gehörende Energiemengen- oder Stromzähler K3 den Stromzählerstand zu Beginn des Ladevorgangs zu. In Schritt V9-3 gibt die Zeitstempeluhr S5.02 die Uhrzeit zum Start des Ladevorgangs aus. In Schritt V9-4 gibt der Paginierungszähler eine laufende Nummer aus, die dem START-Datensatz zugeordnet ist. Obgleich die Schritte V9-2, V9-3 und V9-4 in 4 als aufeinanderfolgende Verfahrensschritte dargestellt sind, ist an dieser Stelle darauf hinzuweisen, dass diese Schritte auch gleichzeitig ausgeführt werden können.
-
In Schritt V9-5 wird der START-Datensatz auf Konsistenz geprüft. Ist der START-Datensatz nicht konsistent, erfolgt eine Rückgabe mit einer entsprechenden Fehlermeldung in Schritt V9-6, wodurch der Nutzer T10 über den aufgetretenen Fehler in Kenntnis gesetzt wird. Ist dagegen der START-Datensatz konsistent, so wird in Schritt V9-7 der START-Datensatz ausgegeben, der die ID-Information über den Nutzer T10 und Informationen über den Ladepunkt, den START-Stromzählerstand, die START-Uhrzeit und die mittels des Paginierungszählers festgelegte laufende Nummer beinhaltet. In Schritt V9-8 versieht das in der Signatureinheit S5.05 enthaltene Kryptographiemodul den Datensatz mit einer digitalen Signatur, worauf der Datensatz in Schritt V9-9 in dem Akkreditierungsmodul S5 weiterverarbeitet wird. So gibt das Akkreditierungsmodul S5 in Schritt V9-10 den signierten START-Datensatz aus, der dann in Schritt V9-11 von der Schnittstellensteuerung S5.06 empfangen wird.
-
Das in 4 dargestellte Ausführungsbeispiel sieht zwei alternative Varianten zur Speicherung des signierten START-Datensatzes in Schritt V9-12 vor. So speichert in einer ersten Variante die Signatureinheit S5.05 in einem internen Speicher den signierten START-Datensatz. In einer zweiten Variante speichert der Messwertspeicher S5.07 den von der Signatureinheit S5.05 erhaltenen, digital signierten START-Datensatz. Insoweit entspricht diese zweite Variante der in 2 gezeigten Ausführungsform, in der der Datensatz über die Verbindung S5.57 dem Messwertspeicher S5.07 zugeführt wird.
-
5 zeigt den Datenfluss, der bei Beendigung des Ladevorgangs in dem Akkreditierungsmodul S5 in Schritt V16 erfolgt.
-
Der Datenfluss beginnt in Schritt V16-1, in dem die ID-Informationen über den Benutzer sowie Informationen über den genutzten Ladepunkt bereitgestellt werden. In Schritt V16-2 erfolgt in dem Akkreditierungsmodul S5 eine Abfrage nach einem vorhandenen START-Datensatz mit Signatur. In Schritt V16-3 wird geprüft, ob ein START-Datensatz vorhanden und gültig ist. Ist dies nicht der Fall, so erfolgt in Schritt V16-4 eine Rückgabe mit Fehlermeldung. Ist dagegen ein gültiger START-Datensatz vorhanden, so erfolgt in Schritt V16-5 in dem Akkreditierungsmodul S5 eine Abfrage nach einem vorhandenen STOPP-Datensatz.
-
In Schritt V16-6 wird geprüft, ob ein STOPP-Datensatz bereits vorhanden ist. Ist dies der Fall, so erfolgt in Schritt V16-7 eine Rückgabe mit Fehlermeldung. Wird dagegen in Schritt V16-6 festgestellt, dass kein STOPP-Datensatz vorhanden ist, so erhält das Akkreditierungsmodul S5 in Schritt V16-8 von dem Stromzähler K3 den STOPP-Stromzählerstand zum zugehörigen Ladepunkt. Der STOPP-Stromzählerstand gibt also den Messwert am Ende des Ladevorgangs an. In Schritt V16-9 gibt die in dem Akkreditierungsmodul S5 vorhandene Uhr, z.B. die Zeitstempeluhr S5.02 die STOPP-Uhrzeit aus. In Schritt V16-10 wird die von dem Paginierungszähler beim Start des Ladevorgangs generierte laufende Nummer aus dem START-Datensatz bereitgestellt (vgl. Schritt V9-4 in 4).
-
In Schritt V16-11 erfolgt eine Prüfung auf Konsistenz des STOPP-Datensatzes. Ist der STOPP-Datensatz nicht konsistent, so erfolgt in Schritt V16-12 eine Rückgabe mit Fehlermeldung. Ist dagegen der STOPP-Datensatz konsistent, so wird in Schritt V16-13 in dem Akkreditierungsmodul S5 ein Datensatz bereitgestellt, der ID-Informationen über die Benutzer, den Ladepunkt, den STOPP-Stromzählerstand, die STOPP-Uhrzeit und die laufende Nummer sowie Daten aus dem START-Datensatz bzw. einer Referenz zu dem START-Datensatz beinhaltet. In Schritt V16-14 wird dann ein Ladevorgang-Datensatz gleichsam als Differenz zwischen dem STOPP-Datensatz und dem START-Datensatz ermittelt und dieser Ladevorgang-Datensatz von der Signatureinheit S5.05 digital signiert. Der signierte Ladevorgang-Datensatz steht in Schritt V16-15 dem Akkreditierungsmodul S5 zur Verfügung. Der signierte Ladevorgang-Datensatz wird in Schritt V16-16 ausgegeben und in Schritt V16-17 von der Schnittstellensteuerung S5.06 empfangen.
-
In dem gezeigten Ausführungsbeispiel stehen wiederum zwei alternative Varianten zur Speicherung des signierten Ladevorgang-Datensatzes in Schritt V16-18 vor. So speichert in einer ersten Variante die Signatureinheit S5.05 den signierten START-Datensatz in einem internen Speicher. In einer zweiten Variante speichert der Messwertspeicher S5.07 den von der Signatureinheit S5.05 erhaltenen, digital signierten Ladevorgang-Datensatz. Insoweit entspricht diese zweite Variante der in 2 gezeigten Ausführungsform, in der der Datensatz über die Verbindung S5.57 dem Messwertspeicher S5.07 zugeführt wird.
-
Wie die Flussdiagramme der 3 bis 5 zeigen, stellt das Akkreditierungsmodul S5 sowohl am Beginn als auch am Ende des Ladevorgangs jeweils einen digital signierten Datensatz bereit, dessen eichrechtlich relevanten Informationen dem Nutzer T10 z.B. an der Ladesäule 12 selbst und/oder auf dem Mobilgerät T4 unmittelbar zur Kenntnis gebracht werden können. Darüberhinaus ist es möglich, den Nutzer T10 auch während des Ladevorgangs über entsprechende Zwischeninformationen z.B. über die bis dahin bezogene Energiemenge gleichsam auf dem Laufenden zu halten. Die Verarbeitung dieser Zwischeninformationen muss dann aber nicht unbedingt den eichrechtlichen Vorgaben insbesondere hinsichtlich Signatur und Speicherung genügen.
-
Es ist darauf hinzuweisen, dass die vorstehend erläuterte Ausführungsform rein exemplarisch zu verstehen ist und den Erfindungsgegenstand nicht beschränken soll. So sieht die Ausführungsform beispielsweise konkret acht Ladepunkte pro Ladesäule vor. Es versteht sich jedoch von selbst, dass die Ladepunkte auch in einer anderen Anzahl vorhanden sein können.