-
Die Erfindung betrifft ein Verfahren zum Freischalten eines elektrischen Ladevorgangs, in welchem elektrische Energie zwischen einem elektrisch antreibbaren Kraftfahrzeug und einer elektrischen Ladestation übertragen werden soll. Die Erfindung umfasst auch ein System, mittels welchem das Verfahren durchgeführt werden kann, sowie eine Servereinrichtung, die als Bestandteil des Systems genutzt werden kann.
-
Ein elektrisch antreibbares Kraftfahrzeug, also ein Elektrofahrzeug oder ein Hybridfahrzeug, kann an einer elektrischen Ladestation angeschlossen werden, um elektrische Energie in den Energiespeicher des Kraftfahrzeugs zu übertragen oder umgekehrt elektrische Energie aus dem Energiespeicher in ein elektrisches Stromnetz zurück zu speisen. Das Freischalten der Ladestation für einen solchen Ladevorgang (Aufladen oder Entladen) ist davon abhängig, ob ein Benutzer beim Betreiber der Ladestation als Kunde registriert ist. Da ein Benutzer nur mit großem Aufwand bei allen vorhandenen Betreibern von Ladestationen als Kunde registriert sein kann, ist entsprechend auch die Nutzung von Ladestationen, die in einem Gebiet verfügbar sind, eingeschränkt, nämlich auf diejenigen Ladestationen, für welche der Benutzer einen Kundenzugang hat. Dies schränkt aber die Nutzbarkeit von Ladestationen für ein elektrisch antreibbares Kraftfahrzeug ein.
-
Aus der
DE 10 2017 117 598 A1 ist bekannt, dass ein Kraftfahrzeug selbst an einer Ladestation einen Bezahlvorgang steuern kann, indem das Kraftfahrzeug ein Tokenmodul betreibt, das mit einem Tokenmodul der Ladestation synchronisiert wird. Während dies für Privatfahrzeuge eine Lösung darstellt, ist insbesondere bei Mietfahrzeugen für einen Benutzer das Problem gegeben, dass er nur mit großem Aufwand in dem von ihm gemieteten Kraftfahrzeug ein Tokenmodul, beispielsweise eine sogenannte digitale Wallet oder Geldbörse, installieren kann.
-
Aus der
DE 10 2017 212 904 A1 ist bekannt, dass ein Elektrofahrzeug und eine Stromquelle in Bezug auf das Abwickeln eines Ladevorgangs über einen Smart Contract einer Blockchain gekoppelt werden können, um eine von dem Elektrofahrzeug aus der Stromquelle bezogene elektrische Energie abrechnen zu können. Auch hier ergibt sich für einen Benutzer der Aufwand, im Falle eines Mietfahrzeugs dessen Blockchain-Modul zum Bezahlen der Energie vorzubereiten.
-
Aus der
WO 2019/141511 A1 ist ein System zum Bezahlen von Energie bekannt, mit dem ein Benutzer eine Ladesäule durch Bezahlen über eine digitale Währung freischalten kann. Damit muss ein Benutzer aber für jeden Ladevorgang selbst eine entsprechende Buchung vornehmen. Für mehrere Ladevorgänge mit demselben Kraftfahrzeug ist dies umständlich.
-
Der Erfindung liegt die Aufgabe zugrunde, für einen Benutzer das Laden von elektrischer Energie an unterschiedlichen Ladestationen zu ermöglichen (Aufladen und/oder Entladen), selbst wenn er hierbei nicht sein eigenes Kraftfahrzeug verwendet.
-
Die Aufgabe wird durch die Gegenstände der unabhängigen Patentansprüche gelöst. Vorteilhafte Ausführungsformen der Erfindung sind durch die abhängigen Patentansprüche, die folgende Beschreibung sowie die Figuren beschrieben.
-
Durch die Erfindung ist ein Verfahren zum Freischalten eines elektrischen Ladevorgangs bereitgestellt. Dieser Ladevorgang soll zwischen einem elektrisch antreibbaren Kraftfahrzeug und einer elektrischen Ladesäule durchgeführt werden. Bei dem Ladevorgang wird insbesondere elektrische Energie von der Ladestation hin zum Kraftfahrzeug übertragen, es kann aber zusätzlich oder alternativ dazu auch eine Rückspeisung (Entladen) von elektrischer Energie aus dem Kraftfahrzeug hin zur Ladestation umfasst sein. Durch das Freischalten des Ladevorgangs wird der Energiefluss in der Ladestation freigeschaltet oder aktiviert oder eingeschaltet. Das Freischalten des Ladevorgangs kann von einem Benutzer gewollt werden, der das Kraftfahrzeug an die Ladestation angeschlossen hat. Es kann sich aber auch um ein autonom fahrendes Fahrzeug handeln, das ein Benutzer zwar aktuell für sich benutzt und das sich aber an der Ladestation selbsttätig mit dieser verbunden hat, ohne dass der Benutzer dabei ist.
-
Damit der Ladevorgang freigeschaltet wird, muss durch eine Freischaltschaltung der Ladestation verifiziert werden, dass das Kraftfahrzeug die Ladestation nutzen darf. Hierzu ist erfindungsgemäß vorgesehen, dass mittels eines von dem Kraftfahrzeug verschiedenen Bediengeräts des Benutzers dieser Zertifikatsdaten zum Freischalten des Ladevorgangs in einer stationären, fahrzeugexternen Servereinrichtung hinterlegt. Der Benutzer benutzt also unabhängig vom Kraftfahrzeug ein Bediengerät, um in einer vom Kraftfahrzeug unabhängigen Servereinrichtung Zertifikatsdaten zu hinterlegen oder zu erzeugen. Als Bediengerät kann beispielsweise ein mobiles Endgerät, wie beispielsweise ein Smartphone oder ein Tablet-PC, vorgesehen sein. Die Servereinrichtung kann einen Internetserver oder einen Verbund aus Internetservern zur Grundlage haben. Die Zertifikatsdaten können beispielsweise ein Guthaben repräsentieren oder einen Vertrag, durch welchen ein Anspruch auf den Ladevorgang bestätigt ist.
-
In der Servereinrichtung ist also nun bekannt, dass der Benutzer Zertifikatsdaten zur Verfügung hat, die es dem Benutzer gestatten, den Ladevorgang in Anspruch zu nehmen oder zu nutzen oder freizuschalten. Durch das Verfahren wird es dem Benutzer nun ermöglicht, diese Zertifikatsdaten mit dem Kraftfahrzeug zu assoziieren oder dem Kraftfahrzeug zuzuordnen, damit dieses selbsttätig oder selbstständig, also ohne ein weiteres Zutun des Benutzers, auf Grundlage der Zertifikatsdaten für sich selbst den Ladevorgang freischalten kann. Hierzu überträgt das Bediengerät mittels eines vorbestimmten Übertragungsbefehls, den es an die Servereinrichtung sendet, die Zertifikatsdaten in einen Datenspeicher, der in der Servereinrichtung dem Kraftfahrzeug zugeordnet ist. In der Servereinrichtung ist also nun bekannt, dass für das Kraftfahrzeug Zertifikatsdaten verfügbar sind oder nutzbar sind.
-
Damit ist aber noch nicht die elektronische Freischaltschaltung der Ladestation darüber informiert. Daher werden, bevor oder während das Kraftfahrzeug für den Ladevorgang an die Ladestation angeschlossen ist, durch ein Steuergerät des Kraftfahrzeugs Zugriffsdaten zum Zugreifen auf den Datenspeicher an die Freischaltschaltung der Ladestation ausgesendet. Das Kraftfahrzeug signalisiert also mittels seines Steuergeräts Zugriffsdaten, die angeben oder signalisieren, welcher Datenspeicher in der Servereinrichtung dem Kraftfahrzeug zugeordnet ist. Das Kraftfahrzeug selbst kann also die eigentlichen Zertifikatsdaten nicht erreichen oder handhaben. Es signalisiert der Ladestation lediglich, wo diese mögliche Zertifikatsdaten in der Servereinrichtung finden kann, wenn sie der Benutzer dort hinterlegt hat. Das Übertragen der Zugriffsdaten von dem Steuergerät hin zu der Freischaltschaltung kann in an sich bekannter Weise beispielsweise über eine elektrische Infrastruktur, beispielsweise ein Ladekabel, über welches das Kraftfahrzeug an die Ladestation elektrisch angeschlossen ist, erfolgen. Die Zugriffsdaten können auch über eine kabellose Verbindung per Funk oder optisch übertragen werden. Die Zugriffsdaten können den Datenspeicher in der Servereinrichtung eindeutig identifizieren. Es kann sich also um eine Kennung des Datenspeichers handeln. Ein Beispiel für solche Zugriffsdaten ist ein kryptographischer öffentlicher Schlüssel eines kryptographischen Schlüsselpaares.
-
Ob in dem Datenspeicher ausreichende Zertifikatsdaten gespeichert sind, die das Freischalten des Ladevorgangs ermöglichen, muss zu diesem Zeitpunkt in dem Steuergerät also nicht bekannt sein. Stattdessen empfängt die Freischaltschaltung der Ladestation die Zugriffsdaten und fordert anhand der empfangenen Zugriffsdaten über eine Internetverbindung bei der Servereinrichtung die Zertifikatsdaten aus dem Datenspeicher des Steuergeräts (d.h. des Kraftfahrzeugs) an.
-
Die Freischaltschaltung kann nun selbstständig bei der Servereinrichtung nachfragen oder von dieser anfordern, ob Zertifikatsdaten in dem Datenspeicher des Kraftfahrzeugs vorliegen. Somit ist eine Manipulation der Ladestation durch das Steuergerät des Kraftfahrzeugs ausgeschlossen. Die Servereinrichtung kann daraufhin signalisieren, ob und welche Zertifikatsdaten in den Datenspeicher verfügbar sind. Nur falls die angeforderten Zertifikatsdaten ein vorbestimmtes Zulässigkeitskriterium erfüllen, wird durch die Freischaltschaltung der Ladevorgang durchgeführt, indem die Freischaltschaltung eine Schalteranordnung der Ladestation ansteuert. Eine solche Schalteranordnung kann beispielsweise eine Wandlerschaltung zum Wandeln einer Ladespannung der Ladestation sein (z.B. ein AC/DC-Wandler). Somit wird also die Schalteranordnung nur dann angesteuert oder in Betrieb gesetzt, falls die Zertifikatsdaten ein vorbestimmtes Zulässigkeitskriterium erfüllen. Das Zulässigkeitskriterium kann beispielsweise besagen, dass überhaupt Zertifikatsdaten in dem Datenspeicher enthalten sein müssen oder dass die Zertifikatsdaten ein vorbestimmtes Mindestguthaben für Energie repräsentieren müssen.
-
Durch die Erfindung ergibt sich der Vorteil, dass ein Benutzer mittels seines Bediengeräts ein Kraftfahrzeug unabhängig davon, ob es sein eigenes Kraftfahrzeug ist oder er es gerade gemietet hat, für eine oder mehrere Ladevorgänge mit Zertifikatsdaten ausstatten oder vorbereiten kann, indem er von seinem Bediengerät aus diese Zertifikatsdaten in demjenigen Datenspeicher der Servereinrichtung ablegt oder einträgt oder überträgt, der dem Kraftfahrzeug zugeordnet ist. Jede Ladesäule, an welcher das Kraftfahrzeug für einen Ladevorgang angeschlossen wird, kann dann aus dem Kraftfahrzeug Zugriffsdaten für diesen Datenspeicher empfangen und selbsttätig überprüfen, ob das Kraftfahrzeug für den Ladevorgang an dieser Ladesäule zugelassen ist. Dies wird durch die Zertifikatsdaten beschrieben oder signalisiert. Ein Benutzer muss also nur einmalig mittels eines Bediengeräts den Datenspeicher des Kraftfahrzeugs in der Servereinrichtung vorbereiten oder „auffüllen“ und kann dann das Kraftfahrzeug für einen oder mehrere Ladevorgänge (abhängig von den verwendeten Zertifikatsdaten) ertüchtigen.
-
Die Erfindung umfasst auch Ausführungsformen, durch die sich zusätzliche Vorteile ergeben.
-
In einer Ausführungsform überträgt das Bediengerät die Zertifikatsdaten in den Datenspeicher in Abhängigkeit davon, dass das Bediengerät ein Koppelsignal empfängt, welches signalisiert, dass das Bediengerät in einem Koppelvorgang mit dem Steuergerät des Kraftfahrzeugs über einen Kommunikationskanal gekoppelt wird oder aktuell gekoppelt ist. Die Zertifikatsdaten werden also für das Kraftfahrzeug in dessen Datenspeicher in der Servereinrichtung nur dann oder immer dann verfügbar gemacht, wenn das Bediengerät mit dem Steuergerät des Kraftfahrzeugs über den Kommunikationskanal gekoppelt ist. Ein solcher Kommunikationskanal, der erkannt werden kann und durch ein Koppelsignal signalisiert werden kann, kann beispielsweise auf der Grundlage einer Bluetooth-Verbindung zwischen dem Bediengerät und dem Steuergerät des Kraftfahrzeugs oder einer WLAN-Verbindung (WLAN - Wireless Local Area Network) oder einer NFC-Verbindung (NFC - Near Field Communication) detektiert werden. Trägt der Benutzer das Bediengerät beispielsweise mit sich und steigt in das Kraftfahrzeug ein, so kann hierdurch der Koppelvorgang ausgelöst werden, weil sich das Bediengerät in einem Empfangsbereich einer Kommunikationsschaltung oder Sende-Empfangsschaltung des Kraftfahrzeugs befindet und der Kommunikationskanal aufgebaut wird. Dann kann das Bediengerät das Koppelsignal erhalten und somit die Zertifikatsdaten in den Datenspeicher, der in der Servervorrichtung dem Kraftfahrzeug zugeordnet ist, übertragen. Das Bediengerät kann hierzu den besagten Übertragungsbefehl nutzen, der beispielsweise über eine Internetverbindung an die Servereinrichtung gesendet werden kann. Durch Auslösen der Übertragung der Zertifikatsdaten mittels eines Koppelsignals ergibt sich der Vorteil, dass das Übertragen der Zertifikatsdaten automatisiert werden kann, indem erkannt wird, dass der Benutzer das Kraftfahrzeug aktuell nutzt, weil sich sein Bediengerät mit dem Kraftfahrzeug gekoppelt hat. Damit muss ein Benutzer keine händische Übertragung oder händische Auslösung des Übertragungsbefehls mehr vornehmen.
-
In einer Ausführungsform macht das Bediengerät die Zertifikatsdaten in dem Datenspeicher (wie er in der Servereinrichtung dem Kraftfahrzeug zugeordnet ist) während eines Entkoppelvorgangs zukünftig für den wieder ungültig. Wird also der Entkoppelvorgang durchgeführt, sodass das Bediengerät und das Fahrzeug-Steuergerät wieder entkoppelt sind, so sind die Zertifikatsdaten des Benutzers nicht mehr von dem Kraftfahrzeug für das Nachladen nutzbar. Mit Entkoppelvorgang ist hierbei gemeint, dass das Bediengerät von dem Steuergerät des Kraftfahrzeugs entkoppelt wird, also beispielsweise der besagte Kommunikationskanal unterbrochen oder abgebaut wird. Steigt also ein Benutzer beispielsweise aus dem Kraftfahrzeug aus, so kann dies den Entkoppelvorgang auslösen, weil beispielsweise der Empfangsbereich verlassen wird. Das Bediengerät reagiert dann damit, dass es die Zertifikatsdaten in dem Datenspeicher ungültig macht. Damit kann ein anderer Benutzer das Kraftfahrzeug nicht mehr unter Nutzung dieser Zertifikatsdaten an einer Ladestation nachladen. Dies verhindert zuverlässig einen Missbrauch der Zertifikatsdaten durch andere Benutzer.
-
In einer Ausführungsform erfolgt der Entkoppelungsvorgang deterministisch nach vorbestimmter Zeitspanne (z.B. nach einem Zeitwert in einem Bereich von 3 Minuten bis 1 Stunde) oder in Reaktion auf ein vorbestimmtes Ereignis (z.B. ein Nutzereingabe oder ein Verriegelungsvorgang des Kraftfahrzeugs). Die Zeitspanne kann ab Detektion einer erfolgreichen Kopplung gemessen werden.
-
Der Koppelvorgang kann somit vorsehen, dass Zertifikatsdaten (Guthaben) des Bediengeräts als die Zertifikatsdaten des Kraftfahrzeugs übertragen oder umgebucht werden. Der Entkoppelungsvorgang kann vorsehen, dass die Zertifikatsdaten (Guthaben) des Kraftfahrzeugs als die Zertifikatsdaten des Bediengeräts übertragen oder rückgebucht werden.
-
Um die Zertifikatsdaten in dem Datenspeicher ungültig zu machen, sieht eine Ausführungsform vor, dass in dem Bediengerät ein Entkoppelsignal signalisiert, dass das Bediengerät aus dem Kraftfahrzeug entfernt wird. Dies kann beispielsweise daran detektiert werden, dass der Kommunikationskanal unterbrochen wird oder eine Sendeleistung eines Funksignals, durch welches der Kommunikationskanal bereitgestellt wird, kleiner als ein vorbestimmter Schwellenwert ist. Es kann auch ein Abmeldevorgang, wie er gemäß einem Kommunikationsprotokoll über den Kommunikationskanal durchgeführt werden kann, detektiert werden und daraufhin das Entkoppelsignal erzeugt werden. Das Bediengerät erzeugt für den Fall, dass es das Entkoppelsignal detektiert, einen Rückbuchungsbefehl, der die Zertifikatsdaten in dem Datenspeicher ungültig macht. Durch den Rückbuchungsbefehl wird der Servereinrichtung von dem Bediengerät signalisiert, dass die Zertifikatsdaten nicht mehr in dem Datenspeicher dem Kraftfahrzeug für den Ladevorgang zur Verfügung stehen sollen. Die Servereinrichtung kann dann eine entsprechend bereitgestellte Funktion ausführen, beispielsweise die Zertifikatsdaten in dem Datenspeicher löschen oder als ungültig markieren.
-
Gemäß einer Ausführungsform wird durch das Bediengerät der Rückbuchungsbefehl an die Servereinrichtung ausgesendet und die Servereinrichtung trägt bei Empfangen des Rückbuchungsbefehls die Zertifikatsdaten mittels eines Umbuchungsvorganges in einen anderen Datenspeicher ein, welcher dem Bediengerät zugeordnet ist. Mit anderen Worten werden also die Zertifikatsdaten in dem Datenspeicher für das Kraftfahrzeug ungültig gemacht und dafür in dem Datenspeicher für das Bediengerät verfügbar gemacht oder eingetragen. Somit ist also nun wieder das Bediengerät berechtigt, auf Grundlage der Zertifikatsdaten einen Ladevorgang auszulösen oder durchzuführen. Somit ist in vorteilhafter Weise das Bediengerät von dem Benutzer dazu nutzbar oder verwendbar, ein anderes Kraftfahrzeug für den Ladevorgang freizuschalten. Hierzu muss der Nutzer lediglich wieder mittels des Bediengeräts in der beschriebenen Weise die Zertifikatsdaten in den Datenspeicher dieses anderen Kraftfahrzeugs auf der Servereinrichtung übertragen.
-
Wird der Ladevorgang nicht blockiert oder verhindert sondern tatsächlich durchgeführt, so ist es vorteilhaft, wenn die hierzu verwendeten oder zugrundegelegten Zertifikatsdaten für das Kraftfahrzeug verfallen, also auf der Grundlage dieser Zertifikatsdaten nicht mehrere Ladevorgänge durchgeführt werden können. Eine Ausführungsform sieht hierzu vor, dass die Zertifikatsdaten nach dem Ladevorgang oder während des Ladevorgangs auf einen Guthabenspeicher eines Betreibers der Ladestation übertragen werden. Mit anderen Worten wird durch das Übertragen der Zertifikatsdaten auf den Guthabenspeicher bestätigt, dass der Betreiber der Ladestation dem Kraftfahrzeug in dem Ladevorgang erfolgreich Energie übertragen hat.
-
Das Übertragen der Zertifikatsdaten aus dem Datenspeicher in den Guthabenspeicher kann hierbei insofern problematisch sein, als dass der Zeitpunkt der Energieübertragung und der Zeitpunkt des Übertragens der Zertifikatsdaten in den Guthabenspeicher auseinanderfallen können oder verschieden sein können, und dass es in dem hierdurch entstehenden Zwischenzeitraum aufgrund beispielsweise eines technischen Problems zu einer Störung des Ladevorgangs kommen kann. Um hierbei das Abwickeln des Ladevorgangs einerseits und das Übertragen der Zertifikatsdaten andererseits zu koordinieren, ist gemäß einer Ausführungsform vorgesehen, dass bereits vor dem Ladevorgang die Zertifikatsdaten auf einen Treuhänderspeicher übertragen werden, der weder dem Steuergerät des Kraftfahrzeugs noch der Freischalteschaltung der Ladestation zugänglich ist. Während des Ladevorgangs werden dann Betriebsdaten, welche zumindest eine elektrische Betriebsgrö-ße des Ladevorgangs beschreiben, durch die Ladestation und/oder das Kraftfahrzeug erfasst und einer den Treuhänderspeicher steuernden Überwachungsschaltung bereitgestellt, die nach dem Ladevorgang die Zertifikatsdaten nur in dem Fall an den Guthabenspeicher überträgt, dass die Betriebsdaten ein vorbestimmtes In-Ordnung-Kriterium erfüllen. Die zumindest eine Betriebsgröße des Ladevorgangs kann beispielsweise die übertragene Energie und/oder einen integrierten Stromfluss (also eine Ladungsmenge, gemessen beispielsweise in Amperestunden) für eine Energiemenge beschreiben (gemessen beispielsweise in Wattstunden). Entsprechend den Betriebsdaten kann dann durch die Überwachungsschaltung das Übertragen oder Umbuchen der Zertifikatsdaten gesteuert werden. Welcher Anteil der Zertifikatsdaten in den Guthabenspeicher übertragen wird, kann ein In-Ordnung-Kriterium erfüllen, durch welches ein Fachmann die Überwachungsschaltung konfigurieren kann. Die Überwachungsschaltung kann den Treuhänderspeicher beispielsweise auf Grundlage eines Programmcodes steuern oder überwachen, der als sogenannter Smart Contract ausgestaltet sein kann, durch welchen in Abhängigkeit von den Betriebsdaten das Übertragen oder Umbuchen der Zertifikatsdaten gesteuert sein kann. Somit erfolgt ohne einen Einfluss einer menschlichen Bedienperson das Abrechnen oder Umbuchen des Ladevorgangs.
-
In einer Ausführungsform stellt die Servereinrichtung den jeweiligen Datenspeicher (Datenspeicher für das Kraftfahrzeug, Datenspeicher für das Bediengerät, Guthabenspeicher, Treuhänderspeicher) in einer Distributed-Ledger-Technologie, insbesondere einer Blockchain, bereit. Eine Blockchain sieht eine Speicherung vor in einer Datenstruktur, die aus sich heraus einen Manipulationsschutz beinhaltet, indem die in der Blockchain gespeicherten Daten in Blöcke unterteilt sind, die in an sich bekannter Weise über Prüfsummen miteinander verkettet oder verlinkt sind. Das Übertragen der Zertifikatsdaten in den Datenspeicher, der dem Kraftfahrzeug zugeordnet ist, oder aus dem Datenspeicher heraus (wenn beispielsweise das Bediengerät aus dem Kraftfahrzeug entfernt wird) wird dann in diesem Fall als eine Transaktion in der Distributed-Ledger-Technologie durchgeführt oder ist als eine solche Transaktion ausgestaltet. Die Nutzung einer Distributed-Ledger-Technologie weist den Vorteil auf, dass das Übertragen von Zertifikatsdaten durch eine Transaktion oder ein Umbuchen erfolgt, sodass stets eindeutig feststeht, welchem der Datenspeicher die Zertifikatsdaten aktuell zugeordnet sind oder in welchem Datenspeicher sie als gültig anzusehen sind.
-
Für sogenanntes diskriminierungsfreies oder anonymes Laden, d.h. die Ladesäule kann nicht anhand der PK-Nummer und/oder Distributed-Ledger-Technologie erkennen, welches Kraftfahrzeug (VIN-Nummer, Fahrzeugidentität) und/oder welcher Fahrzeugtyp angeschlossen ist, werden gemäß einer Ausführungsform Betriebsdaten und/oder Ladedaten und/oder Kraftfahrzeug-Identifikationsdaten (VIN) mit dem Private-Key, der zu PK-Nummer (Public-Key-Nummer) des Kraftfahrzeugs gehört, verschlüsselt, sodass diese verschlüsselten Betriebsdaten und/oder Ladedaten und/oder Kraftfahrzeug-Identifikationsdaten des Kraftfahrzeugs nur durch Entschlüsseln gelesen werden können oder deren Information (entschlüsselter Inhalt) zugänglich ist. Das Löschen des Private-Key sorgt für sichere Anonymisierung dieser Blockchain-Daten, obwohl die Blockchain selbst öffentlich zugänglich ist. Der Benutzer kann selbst den Private-Key löschen.
-
Um das erfindungsgemäße Verfahren durchzuführen, ist durch die Erfindung auch ein System zum Durchführen eines Ladevorgangs bereitgestellt. Es handelt sich hierbei um einen Ladevorgang von elektrischer Energie in ein Kraftfahrzeug. Das System umfasst zumindest ein Bediengerät, wie es der Benutzer zum Bereitstellen der Zertifikatsdaten nutzen kann, zumindest ein Kraftfahrzeug, das an einer Ladestation nachgeladen werden soll, zumindest eine Ladestation und die beschriebene Servervorrichtung, über welche Bediengerät, Kraftfahrzeug und Ladestation mittels der Zertifikatsdaten verknüpft sind oder koordiniert werden. Das Bediengerät ist hierbei in der beschriebenen Weise dazu eingerichtet, Zertifikatsdaten zum Freischalten des Ladevorgangs in der Servereinrichtung zu hinterlegen und die Zertifikatsdaten in einen Datenspeicher zu übertragen, der in der Servereinrichtung dem Kraftfahrzeug zugeordnet ist, also einen Datenspeicher für Daten des Kraftfahrzeugs darstellt. Das Steuergerät in dem Kraftfahrzeug ist dazu eingerichtet, bevor oder während das Kraftfahrzeug für den Ladevorgang an die Ladestation angeschlossen ist, Zugriffsdaten zum Zugreifen auf den Datenspeicher an eine Freischaltschaltung der Ladestation auszusenden. Im Falle einer Distributed-Ledger-Technologie können die Zugriffsdaten beispielsweise einen sogenannten öffentlichen Schlüssel (Public Key) darstellen, welcher in der Distributed-Ledger-Technologie ein Konto oder eine Wallet des Kraftfahrzeugs identifiziert. Die Freischaltschaltung der Ladestation ist dazu eingerichtet, solche Zugriffsdaten zu empfangen und anhand der empfangenen Zugriffsdaten die Zertifikatsdaten des Bediengeräts über eine Internetverbindung bei der Servereinrichtung aus dem Datenspeicher des Steuergeräts abzufragen. Die Freischaltschaltung prüft also, ob in dem Datenspeicher des Kraftfahrzeugs überhaupt ausreichende oder gültige Zugriffsdaten vorhanden sind. Nur, falls die abgefragten Zertifikatsdaten ein vorbestimmtes Zulässigkeitskriterium erfüllen, führt die Freischaltschaltung den Ladevorgang durch Ansteuern einer Schalteranordnung der Ladestation durch, also es wird nur in diesem Fall beispielsweise eine Wandlerschaltung zum Erzeugen einer Ladespannung in der Ladestation aktiviert oder betrieben.
-
Das erfindungsgemäß vorgesehene Kraftfahrzeug ist bevorzugt als Kraftwagen, insbesondere als Personenkraftwagen oder Lastkraftwagen, oder als Personenbus oder Motorrad ausgestaltet.
-
Die Erfindung umfasst auch die Kombinationen der Merkmale der beschriebenen Ausführungsformen.
-
Im Folgenden sind Ausführungsbeispiele der Erfindung beschrieben. Hierzu zeigt:
- 1 eine schematische Darstellung einer Ausführungsform des erfindungsgemäßen Systems, durch welches eine Ausführungsform des erfindungsgemäßen Verfahrens durchgeführt werden kann;
- 2 ein Diagramm zur Veranschaulichung eines Nachladevorgangs; und
- 3 eine schematische Darstellung eines Kraftfahrzeugs und einer Ladestation und einer Servereinrichtung, die einen Nachladevorgang koordinieren.
-
Bei den im Folgenden erläuterten Ausführungsbeispielen handelt es sich um bevorzugte Ausführungsformen der Erfindung. Bei den Ausführungsbeispielen stellen die beschriebenen Komponenten der Ausführungsformen jeweils einzelne, unabhängig voneinander zu betrachtende Merkmale der Erfindung dar, welche die Erfindung jeweils auch unabhängig voneinander weiterbilden. Daher soll die Offenbarung auch andere als die dargestellten Kombinationen der Merkmale der Ausführungsformen umfassen. Des Weiteren sind die beschriebenen Ausführungsformen auch durch weitere der bereits beschriebenen Merkmale der Erfindung ergänzbar.
-
In den Figuren bezeichnen gleiche Bezugszeichen jeweils funktionsgleiche Elemente.
-
Die 1 zeigt ein System 10, das eine Servereinrichtung 11 aufweisen kann, durch welche in Betrieb eines oder mehrerer Kraftfahrzeuge 12 mit einem Betrieb einer oder mehrerer Ladestationen 13 über eine oder mehrere Bediengeräte 14 koordiniert werden kann. Ein jeweiliges Bediengerät 14 kann durch einen Benutzer 15 genutzt werden, der eines oder mehrere der Kraftfahrzeuge 12 benutzen kann. Die Kraftfahrzeuge 12 können private Kraftfahrzeuge sein oder zu einer Flotte 16 eines Unternehmens oder eines Fahrzeugvermieters gehören. Durch die Servereinrichtung 11 kann erreicht werden, dass der Benutzer 15 mit geringem Aufwand, bevorzugt einmalig, ein jeweiliges Kraftfahrzeug 12, das er benutzen möchte, dahingehend ertüchtigen oder aufrüsten kann, dass dieses Kraftfahrzeug 12 selbstständig an einer Ladestation 13 einen Ladevorgang 17 freischalten und durchführen kann, wie er im Weiteren noch im Zusammenhang mit 2 näher beschrieben wird.
-
Die Servereinrichtung 11 kann einen oder mehrere Servercomputer 18 umfassen, welcher jeweils ein Steuermodul 19 betreiben kann, um jeweilige Ladevorgänge 17 der Kraftfahrzeuge 12 an den Ladestationen 13 zu steuern oder freizuschalten und hierbei die Vorgaben von Benutzern 15 zu berücksichtigen. Ein Steuermodul 19 kann auf der Grundlage von Programmdaten oder Programmcode realisiert sein. Durch ein Steuermodul 19 kann eine Speichereinrichtung 20 realisiert sein, um einen jeweiligen Datenspeicher für den Benutzer 15, die Kraftfahrzeuge 12 und für einen jeweiligen Betreiber 21 der jeweiligen Ladestation 13 bereitzustellen. Beispielhaft kann eine solche Speichereinrichtung 20 als eine Distributed-Ledger-Technologie 22, z.B. eine Blockchain aus mehreren miteinander beispielsweise über Prüfsummen oder Hashcodes 23 verkettete Blöcke B1, B2, B3 gebildet sein. Die hier beispielhaft dargestellten drei Blöcke B1, B2, B3 sind nur beispielhaft, es können n Blöcke vorgesehen sein, wobei die Anzahl n auch größer als drei sein kann. Die in der Speichereinrichtung 20 gespeicherten Daten können beispielsweise durch einen Smart Contract 24 verarbeitet sein, dessen Programmcode durch den jeweiligen Servercomputer 18 ausgeführt werden kann. Die Servercomputer 18 können die Speichereinrichtung 20 als Datenstruktur untereinander austauschen, sodass alle Servercomputer 18 dieselben Daten zur Verfügung haben.
-
Durch den Ladevorgang 17 erhält ein jeweiliges Kraftfahrzeug 12 elektrische Energie, für die der aktuelle Benutzer 15 des Kraftfahrzeugs 12 bezahlen soll. Hierbei möchte ein Benutzer 15 sicherstellen, dass, nachdem er das Kraftfahrzeug 12 abgegeben hat, weil es beispielsweise ein Mietfahrzeug ist, er nicht weiter für Energie bezahlt, die das Kraftfahrzeug 12 nach dem Abgeben desselben an einen anderen Benutzer aus einer Ladestation 13 empfängt oder nachlädt. Somit soll sichergestellt werden, dass eine Bezahlung 25 von elektrischer Energie von dem Benutzer 15 zu einem Betreiber 21 nur für solche Ladevorgänge 17 erfolgt, die der Benutzer 15 für ein von ihm benutztes Kraftfahrzeug 12 durchgeführt hat.
-
Ein Benutzer 15 kann hierzu an seinem Bediengerät 14 beispielsweise an einer Bedienschnittstelle 26 festlegen, dass Zertifikatsdaten 27, die ein dem Benutzer 15 zustehendes Guthaben 28 oder einen Vertrag betreffend die Berechtigung der Nutzung einer Ladestation 13 (z.B. einer Ladesäule) in der Servereinrichtung 11 auf eines der Kraftfahrzeuge 12 überträgt, was im Weiteren noch im Zusammenhang mit 3 näher erläutert werden wird. Hierzu kann der Benutzer 15 mittels Zugriffsdaten 29, die er in dem Bediengerät 14 speichern kann, die Übertragung der Zertifikatsdaten 27 zu dem Kraftfahrzeug 12 hin freischalten oder freigeben. Der Benutzer 15 kann an der Bedienschnittstelle 26 dieses Übertragen der Zugriffsdaten auch so weit konfigurieren, dass die eigentliche Bereitstellung der Zertifikatsdaten 27 für ein spezifisches Kraftfahrzeug 12 automatisiert durch einen Übertragungsbefehl 30 des Bediengeräts 14 erfolgt, wenn das Bediengerät 14 einen Koppelvorgang 31 detektiert, durch welchen das Bediengerät 14 mit einem Steuergerät 32 des Kraftfahrzeugs 12 gekoppelt wird, um einen Kommunikationskanal zwischen diesen auszubilden, z.B. auf der Basis von Bluetooth oder WLAN.
-
Soll ein Kraftfahrzeug 12 dann für einen Ladevorgang 17 an die Ladestation 13 angeschlossen werden, kann bei diesem Anschlussvorgang oder Ankoppelvorgang 33 das Steuergerät 32 des Kraftfahrzeugs 12 Zugriffsdaten 34 an eine Freischaltschaltung 35 der Ladestation 13 übertragen, mittels welcher die Freischaltschaltung 35 der Ladestation 13 bei der Servereinrichtung 11 mit einem Anforderungsbefehl 35' nachfragen oder anfordern kann, ob das Kraftfahrzeug 12 für die Nutzung der Ladestation 13 berechtigt ist, was durch die Zertifikatsdaten 27 bestätigt wird. Anschließend kann ein Guthaben 36 des Betreibers 21 der Ladestation 13 durch eine Umbuchung 37 beispielsweise der Zertifikatsdaten 27 auf sein Guthabenkonto für das Bereitstellen oder Ausgeben der Energie an das Kraftfahrzeug 12 entlohnt werden.
-
2 veranschaulicht noch einmal den Ladevorgang 17 mit dem Ankoppelvorgang 33.
-
Über einen Kommunikationskanal 38 kann in einem Schritt S10 die Ladestation 13 beispielsweise für den Fall, dass das Kraftfahrzeug 12 mit der Ladestation 13 für das Übertragen der Energie gekoppelt worden ist (beispielsweise galvanisch oder induktiv), ein Anforderungssignal 39 an das Steuergerät 32 aussenden, durch welches angefordert wird, dass das Kraftfahrzeug 12 Zugriffsdaten 34 zum Zugreifen oder Beschaffen von gültigen Zertifikatsdaten bereitstellen soll. Handelt es sich bei der Speichereinrichtung 20 um eine Distributed-Ledger-Technologie 22, so können die Zugriffsdaten beispielsweise einen öffentlichen Schlüssel oder Public Key umfassen, durch welchen in der Distributed-Ledger-Technologie 22 ein Datenspeicher 40, welcher dem Kraftfahrzeug 12 zugeordnet ist, identifizieren. Diese Zuordnung kann dadurch geschehen, dass der Zugriff oder die Veränderung des Datenspeichers 40 nur mittels des Public Key aus den Zugriffsdaten 34 ermöglicht ist. Dazu kann der Datenspeicher 40 mittels eines privaten Schlüssels oder Private Key verschlüsselt sein, der in dem Kraftfahrzeug 12, insbesondere in dessen Steuergerät 32, gespeichert sein kann. Stellt das Steuergerät 32 die Zugriffsdaten 34 über den Kommunikationskanal 38 der Freischaltschaltung 35 in einem Schritt S11 bereit, so kann die Freischaltschaltung 35 der beschriebene Anforderungsbefehl 35` zum Anfordern der gültigen Zugriffsdaten 27 an die Servereinrichtung 11 aussenden, wo sie beispielsweise von dem Smart Contract 24 verarbeitet werden können in einem Schritt S12. Beispielsweise kann die Freischaltschaltung 35 auch zusätzlich eigene Zugriffsdaten 41, beispielsweise ebenfalls einen Public Key, zusammen mit den Zugriffsdaten 34 in dem Schritt S12 an den Smart Contract 24 übermitteln, damit dieser in der Speichereinrichtung 20 die Zertifikatsdaten 27 von dem Datenspeicher 40 des Kraftfahrzeugs 12 in einen Guthabenspeicher 42 des Betreibers 21 der Ladestation 13 umbucht. Hierzu können die die Zertifikatsdaten 27 durch den Smart Contract 24 in den Guthabenspeicher 42 des Betreibers 21 übertragen werden. Hierzu kann durch den Smart Contract 24 ein Umbuchungsbefehl 43 für die Speichereinrichtung 20, insbesondere die Distributed-Ledger-Technologie 22, ausgelöst werden. In einem Schritt S14 können dann in dem Datenspeicher die Zertifikatsdaten 27 von dem Datenspeicher 40 in den Guthabenspeicher 42 übertragen werden. In einem Schritt S15 kann die erfolgreiche Umbuchung mittels eines Bestätigungssignals 44 der Freischaltschaltung 35 der Ladesäule 13 bestätigt werden, was durch einen Backendserver 45 optional über eine Kommunikationsschnittstelle 46 in einem Schritt S16 gesteuert werden kann. Somit ist in der Freischaltschaltung 35 der Ladestation 13 durch das Bestätigungssignal 44 signalisiert oder bekannt, dass das angeschlossene Kraftfahrzeug 12 durch die Zertifikatsdaten 27 berechtigt ist, Energie aus der Ladestation 13 zu empfangen. Entsprechend kann dann die Ladestation 13 eine Wandlerschaltung aktivieren.
-
Dieser Vorgang ist in 3 noch einmal veranschaulicht. 3 veranschaulicht, wie hierbei sichergestellt sein kann, dass der Benutzer 15 nur für ein solches Kraftfahrzeug 12 die Energie bezahlt, das er auch tatsächlich aktuell nutzt.
-
3 zeigt ein Kraftfahrzeug 12, das an einer Ladestation 13 geparkt sein kann, um elektrische Energie 47 für einen elektrischen Energiespeicher 48 des Kraftfahrzeugs 12 nachzuladen. Der Energiespeicher 48 kann beispielsweise eine Traktionsbatterie oder Hochvolt-Batterie sein (Hochvolt - elektrische Spannung größer als 60 Volt, insbesondere größer als 100 Volt). Der Energiespeicher 48 kann zum Betreiben eines elektrischen Fahrantriebs des Kraftfahrzeugs 12 ausgebildet sein. Das Kraftfahrzeug 12 kann entsprechend ein Elektrofahrzeug oder ein Hybridfahrzeug sein. Das Kraftfahrzeug 12 kann mit der Ladestation 13 über eine elektrische Übertragungsstrecke 49 gekoppelt sein, die beispielsweise durch eine galvanische Verbindung beispielsweise über Kabel oder durch eine Induktionsspule gebildet sein kann. Um die Energie 47 zu übertragen, muss eine elektrische Wandlerschaltung 50 der Ladestation 13 mittels eines Ansteuersignals 51 aktiviert oder freigeschaltet werden. Erst im freigeschalteten Zustand wandelt die Wandlerschaltung 50 elektrische Energie aus einem elektrischen Versorgungsnetz 52, also einem öffentlichen Stromnetz, dahingehend um, dass sie über die Übertragungsstrecke 49 in das Kraftfahrzeug 12 übertragen wird. Das Ansteuersignal 51 kann von der beschriebenen Freischaltschaltung 35 der Ladestation 13 erzeugt werden, falls in der Freischaltschaltung 35 detektiert wird, dass das Kraftfahrzeug 12 die Energie 47 bezahlen kann oder zum Empfang der Energie 47 berechtigt ist. Dies kann durch das beschriebene Bestätigungssignal 44 signalisiert sein, welches signalisiert, dass Zertifikatsdaten 27 eines Benutzers des Kraftfahrzeugs 12 ein Zulässigkeitskriterium 53 erfüllen, was durch das Bestätigungssignal 44 signalisiert sein kann.
-
Damit der Benutzer 15 des Kraftfahrzeugs 12 mit seinen Zertifikatsdaten 27 nur dasjenige Kraftfahrzeug 12, das er aktuell benutzt, freischaltet, kann folgender Vorgang vorgesehen sein. Wenn der Benutzer 15 das Kraftfahrzeug 12 nutzt oder in das Kraftfahrzeug 12 einsteigt, kann sein Bediengerät 14 einen Kommunikationskanal 54 über eine Kommunikationsschaltung 55 des Kraftfahrzeugs 12 mit dem Steuergerät 32 des Kraftfahrzeugs 12 aufbauen. Der Kommunikationskanal 54 kann in der beschriebenen Weise auf einer Bluetooth-Technologie oder WLAN-Technologie oder NFC-Technologie beruhen. Weiterhin ist eine manuelle Eingabe der Kraftfahrzeug-Identifizierungsnummer oder einem am Kraftfahrzeug angebrachten Code über das Bediengerät 14 möglich.
-
Ist der Kommunikationskanal 54 aufgebaut, kann dies durch ein Koppelsignal 56 signalisiert sein, welches durch das Bediengerät 14 empfangen werden kann. Das Bediengerät 14 kann in Abhängigkeit von dem Koppelsignal 56 ein Überweisungssignal oder ein Übertragungsbefehl 30 zum Übertragen der Zertifikatsdaten 27 von einem Datenspeicher 57, der dem Benutzer 15 zugeordnet ist, in den Datenspeicher 40, für welchen eine Zuordnung 58 zum Kraftfahrzeug 12, insbesondere dem Steuergerät 32 des Kraftfahrzeugs 12, besteht, vorhanden ist. Der Übertragungsbefehl 30 kann an die Servereinrichtung 11 übertragen werden, die hierzu im Internet 59 bereitgestellt sein kann. Entsprechend kann die Übertragung des Übertragungsbefehls 30 über eine Internetverbindung 60 erfolgen. Sind die Zertifikatsdaten 27 in den Datenspeicher 40 übertragen, stehen sie dem Steuergerät 32 zum Freischalten des Ladevorgangs 17 zur Verfügung. In der im Zusammenhang mit 2 beschriebenen Weise kann über den Kommunikationskanal 38 nun die Freischaltschaltung 35 das Anforderungssignal 39 für die Zertifikatsdaten 27 aussenden und daraufhin kann das Steuergerät 32 die Zugriffsdaten 34 der Freischaltschaltung 35 bereitstellen. Die Übertragung kann über eine Kommunikationsschaltung 61 der Freischaltschaltung 35 erfolgen. Die Freischaltschaltung 35 kann über eine weitere Kommunikationsschaltung 62 oder dieselbe Kommunikationsschaltung 61 bei der Servereinrichtung 11 über eine Internetverbindung 64 die Zertifikatsdaten 27 über ein Anforderungssignal 39 anfordern. Dies kann beispielsweise ein Buchungsvorgang sein, durch welchen die Zertifikatsdaten 27 in den Guthabenspeicher 42 übertragen werden sollen. Übertragen bedeutet hier jeweils, dass dann die Zertifikatsdaten 27 in demjenigen Datenspeicher, in dem sie sich vorher befunden haben, ungültig werden oder gelöscht werden. Die Übertragung kann im Zusammenhang mit einer Distributed-Ledger-Technologie 22 jeweils als sogenannte Transaktion oder Umbuchung erfolgen. Alternativ zu einem direkten Übertragen kann auch zunächst ein Treuhänderspeicher 65 die Zugriffsdaten 27 zwischenspeichern, sodass sie weder dem Steuergerät 32 noch der Freischaltschaltung 35 zur Verfügung stehen. Dies wurde bereits beschrieben.
-
Ergibt die in 2 beschriebene Transaktion, dass gültige im Sinne des Zulässigkeitskriteriums 53 vorliegende Zertifikatsdaten in dem Datenspeicher 40 verfügbar sind, so kann das Bestätigungssignal 44 der Freischaltschaltung 35 signalisiert werden. Die Freischaltschaltung 35 kann daraufhin das besagte Ansteuersignal 51 erzeugen, woraufhin die Wandlerschaltung 50 den Betrieb beginnt oder die Energie 47 für den Energiespeicher 48 bereitstellt oder überträgt. Dies kann so für einen oder mehrere Ladevorgänge 17 erfolgen. Verlässt der Benutzer 15 mit seinem Bediengerät 14 das Kraftfahrzeug 12, so erfolgt hierbei ein Entkoppelvorgang zum Auflösen oder Trennen des Kommunikationskanals 54. Dies kann dem Bediengerät 14 durch ein Entkoppelsignal 66 signalisiert werden, woraufhin das Bediengerät 14 einen Rückbuchungsbefehl 67 über die Internetverbindung 60 an die Servereinrichtung 11 aussenden kann. Daraufhin können die Zertifikatsdaten 27 oder verbleibende Zertifikatsdaten 27 als Restguthaben oder verbleibende Zertifikatsdaten 27' von dem Datenspeicher 40 zurück in den Datenspeicher 57 des Benutzers 15 transferiert oder gebucht werden. Damit stehen diese verbleibenden Zertifikatsdaten 27` nicht mehr in dem Datenspeicher 40 für das Steuergerät 32 zum Auslösen oder Freischalten eines weiteren Ladevorgangs 17 zur Verfügung. Damit kann der Benutzer mit dem Bediengerät 14 das Kraftfahrzeug verlassen und seine Zertifikatsdaten können nicht mehr von dem Kraftfahrzeug aus zum Freischalten eines weiteren Ladevorgangs verwendet werden. Der Benutzer kann mit seinem Bediengerät 14 in ein anderes Kraftfahrzeug einsteigen und dies dann in der beschriebenen Weise für das Freischalten eines weiteren Ladevorgangs 17 ertüchtigen oder ausstatten.
-
Werden die beschriebenen Übertragungen der Zertifikatsdaten 27 zwischen den Datenspeichern 57, 40, 42 in einer Distributed-Ledger-Technologie 22 durchgeführt, so kann es sich jeweils um eine Transaktion zwischen entsprechenden Guthaben auf Guthabenkonten 28, 36 und einem für das Steuergerät 32 des Kraftfahrzeugs 12 vorgesehenen Guthabenkonto handeln.
-
Insgesamt zeigen die Beispiele, wie ein dezentralisiertes Ladesystem oder eine dezentralisierte Ladeplattform für Elektrofahrzeuge bereitgestellt werden kann.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102017117598 A1 [0003]
- DE 102017212904 A1 [0004]
- WO 2019/141511 A1 [0005]