Ladestation für Elektrofahrzeuge , System und Verfahren zum
Betreiben einer Ladestation
Der Gegenstand betrifft eine Ladestation für Elektrofahrzeuge sowie ein System und ein Verfahren zum Betreiben einer
Ladestation .
Die Verbreitung elektrisch betriebener Fahrzeuge wird
vermutlich in naher Zukunft rapide zunehmen. Mit der
Verbreitung von Elektrofahrzeugen, die mit einem Elektromotor betrieben werden, sollte jedoch sichergestellt werden, dass diese in einfachster Weise mit Energie versorgt werden können. Hierzu sollte eine funktionierende Infrastruktur zur Verfügung gestellt werden.
Insbesondere sollte die Möglichkeit gegeben werden, in öffentlichen Bereichen Energie für Elektrofahrzeuge zu beziehen. Bei den bisher verfügbaren Reichweiten von
Elektrofahrzeugen zwischen 50 und einigen 100 km ist es angebracht, dass auch außerhalb des häuslichen Umfeldes ein Laden der Fahrzeuge möglich ist. Hierfür sollten in
öffentlichen Bereichen Ladestationen zur Verfügung gestellt werden, um eine stete Verfügbarkeit von Energie für
Elektrofahrzeuge durch ein Versorgungsnetz zur Verfügung zu stellen. Diese Verfügbarkeit von elektrischer Energie bzw. von Ladestationen ist ein entscheidendes Kriterium für die Akzeptanz von Elektrofahrzeugen .
Bei in öffentlichen Bereichen installierten Ladestationen muss jedoch sichergestellt werden, dass der Kunde die
bezogene Energie bezahlt. Auch sollte sichergestellt werden, dass der Kunde vor dem Beziehen elektrischer Energie Kenntnis über die zu erwartenden Kosten hat. Entsprechend des
herkömmlichen Tankvorgangs sollte der Kunde unmittelbar vor dem Aufladen der Batterie wissen, welche Kosten ihn erwarten. So sollte dem Kunden beispielsweise der Preis für eine
Kilowattstunde bekannt sein. Darüber hinaus muss
sichergestellt sein, dass der Kunde auch tatsächlich nur die Energiemenge in Rechnung gestellt bekommt, die er auch bezogen hat. Schließlich muss sichergestellt werden, dass dem Kunden gegenüber nachgewiesen werden kann, dass die
Abrechnungsdaten tatsächlich von der Ladestation, dem
Energiemengenzähler (Messgerät / Zähler) stammen, an denen er den Ladevorgang tatsächlich durchgeführt hat. Aus
eichrechtlichen Gründen ist sicherzustellen, dass eine eindeutige Beziehung zwischen Ladestandort und Zähler
hergestellt werden kann.
Aus eichrechtlichen Gesichtspunkten ist besonders auf die Integrität, Authentizität und Überprüfbarkeit der zwischen Ladestation und Abrechnungszentrale übertragenen
Abrechungsdaten zu achten. So ist es notwendig, dass die Daten über die Lademenge unverfälscht bleiben. Auch ist für Abrechnungszwecke eine Übertragung von Messdaten
(Abrechnungsdaten) von der Ladestation an ein
Abrechnungssystem vor Manipulationen zu sichern. Der Nutzer muss sicherstellen und überprüfen können, dass ihm nur die von ihm bezogene Energie in Rechnung gestellt wird.
Schließlich muss sichergestellt werden, dass
abrechnungsrelevante Daten nur von der Ladestation stammen,
an der der Ladevorgang (Tankvorgang) tatsächlich
stattgefunden hat.
Aus diesem Grunde lag dem Gegenstand die Aufgabe zugrunde, ein Verfahren sowie eine Vorrichtung zur Verfügung zu
stellen, welche eine sichere Abrechnung von über eine
Ladestation bezogener Energie gewährleisten.
Diese Aufgabe wird gegenständlich durch eine Ladestation nach Anspruch 1, ein System nach Anspruch 7 sowie ein Verfahren nach Anspruch 10 gelöst.
Beim Ladevorgang bezieht das Elektrofahrzeug elektrische Energie von der Ladestation. In der Ladestation wird diese elektrische Energie mit Hilfe eines Energiemengenzählers
(Messgerät, Zähler) gemessen. Während des Ladevorgangs als auch beim Abschluss des Ladevorgangs ist es notwendig, dass die bezogene Energiemenge für Abrechungszwecke erfasst wird. Neben der Eichung der Energiemengenzähler selbst ist es notwendig, dass der Kunde nachprüfen kann, dass ein
Ladevorgang zu einer bestimmten Zeit an einem bestimmten Ort an einer bestimmten Ladestation vorgenommen wurde. Es muss vermieden werden, dass seitens des Betreibers dem Kunden eine Energiemenge in Rechnung gestellt werden kann, die von einem Energiemengenzähler erfasst wurde, an dem der Kunde nicht geladen hat. Somit ist neben der Sicherung der Kommunikation zwischen Ladestation und Abrechnungszentrale auch eine eichrechtliche Sicherung und Überprüfbarkeit der
Zählerinformationen, insbesondere der Orts- als auch
Zeitinformationen, zur Verfügung zu stellen.
Aus diesem Grunde wird vorgeschlagen, dass die Ladestation zunächst Ortsinformationen empfängt. Hierzu verfügt die
Ladestation vorzugsweise über eine
Ortsbestimmungseinrichtung, die dazu eingerichtet ist, die Ortsinformationen zu empfangen.
Ortsinformationen können Standortinformationen z.B. im
Klartext, als auch Positionsinformationen, wie beispielsweise GPS-Daten oder Längen- und Breitengrade sowie zusätzlich die Nummer eines Zählers unter mehreren Zählern an einem
bestimmten Ort sein. Die Ortsinformationen sind vorzugsweise einem bestimmten Zähler zugeordnet, so dass mit Hilfe der Ortsinformationen und der Zählerinformationen nachprüfbar ist, welcher Zähler an welchem Ort aufgestellt ist.
Die Ortsinformationen werden vorzugsweise in einem Speicher in der Ladestation gespeichert.
Vor einem Speichervorgang wird jedoch zunächst über eine Vergleichseinrichtung ein Vergleich der empfangenen
Ortsinformationen mit gespeicherten Ortsinformationen
durchgeführt. Mit Hilfe dieses Vergleichs ist es möglich, zu überprüfen, ob sich die Ortsinformationen geändert haben oder nicht. In der Regel ist ein Zähler in einer Ladestation fest verbaut und die Ladestation ist fest an einem Ort
installiert. Wird die Ladestation nun an einen anderen Ort gebracht, so müssen die Ortsinformationen des Zählers auf den neuesten Stand gebracht werden. Hierzu dienen die
gegenständlich übermittelten Ortsinformationen.
Gleichzeitig muss sichergestellt sein, dass der Kunde
überprüfen kann, ob der Zähler, über dem er die Energie
bezogen hat, auch derjenige Zähler ist, der dem Ort zugeordnet ist, an dem er die Energie bezogen hat. Hierzu sind vorzugsweise die Ortsinformationen zusammen mit einer Zähleridentifikation öffentlich zugänglich.
Der Kunde kann während des Ladevorgangs die
Zähleridentifikation oder Ladepunkt-ID bzw. Ladestations-ID erfassen und über diese Zähleridentifikation oder Ladepunkt- ID bzw. Ladestations-ID und die öffentlich zugängliche
Zuordnung überprüfen, ob der Zähler, über den er die Energie bezogen hat, tatsächlich dem Ort zugeordnet ist, an dem er die Energie bezogen hat. Weichen diese Informationen
voneinander ab, so muss dem Kunden ein Hilfsmittel zur
Verfügung gestellt werden, dieses gegenüber dem Betreiber nachzuweisen. Außerdem muss der Betreiber die Möglichkeit haben, nachzuweisen, dass ein bestimmter Zähler an einem bestimmten Ort zu einer bestimmten Uhrzeit aufgestellt war und dass Manipulationen an diesen Informationen eichrechtlich ausgeschlossen sind.
Aus diesem Grunde wird vorgeschlagen, dass bei einem
negativen Vergleichsergebnis, z.B. für den Fall dass die Ortsinformationen sich geändert haben, die empfangenen
Ortsinformationen die gespeicherten Ortsinformationen ersetzen. Somit wird sichergestellt, dass in einem Zähler stets aktuelle Ortsinformationen vorgehalten sind. Eine Änderung der Ortsinformationen wird gegenständlich in einem Logbuch verzeichnet. Somit kann im Nachhinein überprüft werden, ob einem Zähler neue Ortsinformationen zugeordnet wurden oder nicht.
Mit Hilfe der aktuell gespeicherten Ortsinformationen kann die Ladestation bzw. der Zähler abrechnungsrelevante Daten an eine Abrechnungszentrale übermitteln. Der Kunde erhält basierend auf den abrechnungsrelevanten Daten eine Rechnung. Auf der Rechnung ist vermerkt, an welchem Ort, zu welcher Zeit und an welchem Zähler ein abrechnungsrelevanter Vorgang stattgefunden hat. Der Kunde kann gleichzeitig überprüfen, ob diese Informationen mit den von ihm während des Tankvorgangs erfassten Informationen übereinstimmen. Während des Ladevorgangs kann der Kunde nämlich zumindest die Ortsinformationen als auch die
Zähleridentifikation erfassen. Vergleicht es diese mit den Rechnungsdaten, kann er eine Abweichung feststellen.
Liegt eine Abweichung vor, kann der Nutzer dies einer
Eichbehörde oder seinem Betreiber melden. Dann kann überprüft werden, ob der betreffende Zähler an dem angegebenen Ort tatsächlich aufgestellt ist oder nicht. Ferner kann überprüft werden, ob der Zähler in der Vergangenheit neue
Ortsinformationen empfangen hat. Nur wenn nachgewiesen werden kann, dass der betreffende Zähler zu der betreffenden Zeit an dem angegebenen Ort aufgestellt war, kann ein Nachweis über die Korrektheit der Rechnung geführt werden.
Um die Überprüfbarkeit noch zu verbessern, kann eine
öffentlich zugängliche Information bereit gehalten werden, in der jedem Zähler Ortsinformationen zugeordnet sind und zusätzlich vorzugsweise ein öffentlicher Zählerschlüssel (Messgeräteschlüssel) . Werden die abrechnungsrelevanten Daten von der Ladestation bzw. vom Zähler mit dem
Messgeräteschlüssel, vorzugsweise den privaten
Messgeräteschlüssel, signiert, so kann anhand des öffentlichen Messgeräteschlüssels überprüft werden, ob die abrechnungsrelevanten Daten tatsächlich von dem jeweiligen Zähler stammen.
Um es dem Nutzer des Fahrzeugs zu ermöglichen, die
Abrechungsdaten zu überprüfen, wird das elektronische
Signieren und Übermitteln eines Datenpakets von der
Ladestation an die Abrechnungszentrale vorgeschlagen.
Im Nachfolgenden werden die Begriffe „Signatur", „signieren" etc im Sinne einer elektronischen, datentechnischen Signatur verwendet. Auch kann durch das elektronische Signieren des Datenpakets sichergestellt werden, dass dieses nicht mehr nachträglich manipuliert wird.
Die Ladestation erfasst neben der Energiemenge zumindest auch die Ortsinformationen der Ladestation, sowie vorzugsweise auch eine Identifikation des Messgeräts. Dies kann eine Gerätenummer sein. Die Identifikation des Messgeräts kann auch die zusätzliche Identifikation der Ladestation sein.
Mit Hilfe zumindest dieser Werte wird ein Datenpaket
erstellt. Das Datenpaket kann neben dem Zählerstand
(Messgerätezählerstand) und den Ortsinformationen auch noch einen Zählerstatus (Messgerätestatus), eine
Zähleridentifikation (Messgeräteidentifikation) , eine
Ladestationsidentifikation, eine Zeitinformation, eine
Datumsinformation und/oder einen öffentlichen
Messgeräteschlüssel sowie gegebenenfalls weitere
Informationen aufweisen.
Ein Datenpaket wird in der Ladestation elektronisch signiert. Dies ermöglicht es, die Authentizität und Integrität des Datenpakets zu überprüfen. Das elektronisch signierte
Datenpaket wird gegenständlich an die Abrechnungszentrale übermittelt.
Mit Hilfe eines eindeutigen, aus dem Datenpaket und einem dem Messgerät (Zähler) oder der Ladestation zugeordneten
Schlüssels erstellten, vorzugsweise binären Wertes, kann eine Signatur errechnet wird. Aus dem Datenpaket kann ein
Referenzwert, beispielsweise ein Hash-Code, errechnet werden. Dieser Referenzwert kann auch zur Berechnung der Signatur verwendet werden. Diese Signatur kann beispielsweise mit Hilfe des Hash-Codes und eines dem Messgerät (Zähler) oder der Ladestation zugeordneten Schlüssels errechnet werden. Auch kann eine Signatur unmittelbar aus dem Datenpaket und dem dem Messgerät (Zähler) oder der Ladestation zugeordneten Schlüssel errechnet werden. Signieren kann ein Erstellen eines Kryptogrammes als Signatur mit Hilfe eines vorzugsweise binären Schlüssels sein, wobei mit Hilfe des Schlüssels und des zu signierenden Datenpaketes bzw. des hieraus erstellen Referenzwertes ein vorzugsweise binäres Kryptogramm erstellt wird. Mittels eines solchen Kryptogrammes ist eine Überprüfung möglich, ob das Datenpaket tatsächlich von der Ladestation erstellt wurde.
Beispielsweise ist es bei einem Ladevorgang möglich, dass der Nutzer zu Beginn eines Ladevorgangs die
Messgeräteidentifikation, die beispielsweise außen am Gehäuse der Ladestation angeordnet ist, notiert und zusätzlich die Ortsinformationen, wie z.B. Standort, Adresse, Steckernummer
(bei mehr als einem Ladestecker an einer Ladestation an einem Ort) . Außerdem kann der Nutzer die Uhrzeit des Beginns des Ladevorgangs notieren. Zum Ende der Ladevorgang kann der Nutzer erneut die Urzeit notieren.
Wenn diese Ortsinformationen zusammen mit dem
Messgerätezählerstand Teil des jeweiligen Datenpakets werden, so kann mit Hilfe einer Signatur dieses Datenpakets dessen Authentizität durch den Nutzer überprüft werden, wenn der Nutzer zusätzlich den öffentlichen Messgeräteschlüssel kennt.
Die Ladestation erstellt ein Datenpaket, welches
beispielsweise die Ortsinformationen als auch die
Messgeräteidentifikation enthält. Zusätzlich kann das
Datenpaket den Messgerätzählerstand und den Messgerätestatus enthalten. Darüber hinaus kann beispielsweise eine Vertragsoder Kundenidentifikation in dem Datenpaket enthalten sein.
Der Messgerätestatus kann eine Information über die
technische Funktionalität der Ladestation enthalten, z.B. ein binärer Wert, der angibt, ob die Ladestation fehlerfrei arbeitet .
Mit Hilfe des privaten Messgeräteschlüssels kann eine
Signatur aus diesem Datenpaket erstellt werden. Die Signatur zusammen mit dem Datenpaket kann von der Ladestation an die Abrechnungsstation übermittelt werden.
Durch die Signatur des Datenpakets ist sichergestellt, dass der in dem Datenpaket enthaltene Messwert und die
Ortsinformationen untrennbar miteinander verbunden sind. Wird einer der beiden Werte verändert, so ergäbe sich eine andere
Signatur. Da der Nutzer die Ortinformationen selber erfassen kann, kann er auch eine Manipulation des Messwertes
feststellen . Um neben der Authentizität des übertragenen Datenpakets auch sicherstellen zu können, dass die Ortsinformationen, die einem Zähler zugeordnet sind, korrekt sind, wird
vorgeschlagen, dass jeder Zähler seinen Standort kennt und Veränderungen hieran erkennt und eichrechtlich gesichert vermerkt.
Hierzu kann ein zentraler, erster Server vorgesehen sein. Der erste Server ist räumlich von der Ladestation entfernt angeordnet. Der erste Server kann die Standortinformationen (Ortsinformationen) eines jeden einzelnen Zählers ändern. Auch ist es möglich, dass der erste Server die
Standortinformationen, die in der Speichereinrichtung eines jeden Zählers gespeichert sind, auslesen kann. Die Zuordnung von Zähleridentifikationen zu Ort als auch zu Messgeräteschlüssel des Zählers, kann in einer Stammdatei vermerkt sein, die dem ersten Server zur Verfügung gestellt wird. Mit Hilfe dieser Liste kann der erste Server in
Abständen, regelmäßig oder zufällig, die Ortsinformationen in den Ladestationen / Zählern erneuern. Hierzu kann der erste Server die Ortsinformationen an die Ladestation übermitteln. Hierzu kann eine drahtgebundene oder drahtlose
Kommunikationsstrecke zum Einsatz kommen. Um zu überprüfen, ob die Ortsinformationen tatsächlich an der richtigen Ladestation empfangen wurden, ist auch vorgesehen, dass die Ladestation die empfangenen Ortsinformationen
vorzugsweise signiert an den ersten Server zurücksendet. Mit Hilfe der Stammdatei ist es möglich, jedem einzelnem Zähler ein-eindeutig Ortsinformationen zuzuordnen. Diese Zuordnung ist in der Stammdatei vermerkt.
Die in der Stammdatei vermerkte Zuordnung zwischen Standort und Zähleridentifikation kann in einer öffentlich
zugänglichen Inventarliste geführt sein, z.B. auf einem
Internetserver. Zusätzlich kann in der Inventarliste der öffentliche Messgeräteschlüssel vermerkt sein.
Mit Hilfe der Inventarliste bzw. der Stammdaten kann der erste Server in Abständen, beispielsweise monatlich,
wöchentlich, täglich, vorzugweise zyklisch jeden Zähler über seine aktuellen Ortsinformationen informieren. Hierzu schickt der erste Server an jede Ortsbestimmungseinrichtung einer jeden Ladestation die Ortsinformationen, die dem ersten
Server für diesen Zähler bekannt sind. Die Speichereinrichtung übernimmt die empfangenen
Ortsinformationen. Sogleich wird ein Vergleich durchgeführt, ob die empfangenen Ortsinformationen mit zuvor gespeicherten Ortsinformationen übereinstimmen. Ist dies nicht der Fall, so wird in einem internen Logbuch die Veränderung des Standortes vermerkt.
Auf diese Weise sind alle Standortwechsel des Zählers in der Logdatei der Ladestation nachgeführt. Wenn nun, wie vorgeschlagen, eine Sendeeinrichtung die gespeicherten Ortsinformationen zusammen mit zumindest einem Zählwert eines Energiemengenzählers und/oder einer
Identifikation des Energiemengenzählers und/oder einer
Zeitinformation und/oder einer Statusinformation und/oder einen Kundeninformation, vorzugsweise signiert, an einen zweiten Server übermittelt, sind in den abrechnungsrelevanten Daten und somit den Kundenbelegen die jeweiligen
Ortsinformationen enthalten. Da diese signiert sind, ist von deren Authentizität auszugehen. Es ist nicht möglich, einen Kundenbeleg zu einem anderen Standort zu erzeugen, als dem Standort, der in dem Zähler gespeichert ist.
Der Kunde kann nun überprüfen, ob der Standort des
Kundenbelegs mit dem Standort übereinstimmt, den er notiert hat. Ist dies nicht der Fall, kann eine Manipulation
vorliegen. Um dies zu überprüfen, kann der Kunde die
Zähleridentifikation oder Ladepunkt-ID bzw. Ladestations-ID, die er ebenfalls vermerkt hat, dem Betreiber oder der
Eichbehörde mitteilen.
Von dort kann dann die Logdatei des benannten Zählers ausgelesen werden. Ergibt sich, dass die Ortsinformationen unverändert geblieben sind, und stimmen diese mit dem
tatsächlichen Standort der Ladestation überein, so ist eine Manipulation ausgeschlossen. Andererseits ist hierdurch nachweisbar, falls eine
Standortveränderung stattgefunden hat, da diese in dem
Logbuch nachgeführt wurde. Schließlich läge eine Manipulation vor, wenn die veröffentlichte Zuordnung von Zähler zu
Standort nicht mit der tatsächlichen übereinstimmte. Auch dann wäre der Kundenbeleg fehlerhaft.
Da jede Ladestation/-zähler seine Standortnummer kennt sowie seine Historie zu den Ortsinformationen in dem Logbuch speichert, ist mit einer einfachen Stichprobe überprüfbar, ob ein Zähler zu einem bestimmten Zeitpunkt in seinem Leben für einen bestimmten Standort eingesetzt wurde. Ebenfalls ist es im Rahmen der Stichprobe möglich zu verifizieren, ob der Zähler gerade an der richtigen Stelle eingebaut ist.
Schließlich erkennt das Verfahren, ob Standortveränderungen aufgetreten sind, da im Zähler selbst nachgehalten wird, an welchem Standort der Zähler eingesetzt wird.
Wie bereits geschildert, wird auch vorgeschlagen, dass die Sendeeinrichtung die aktuell gespeicherten Ortsinformationen zusammen mit weitern abrechnungsrelevanten Daten ein einen zweiten Server, vorzugsweise eine Abrechnungzentrale
übermittelt. Dies geschieht vorzugsweise mit Hilfe einer Signatur die mit einem privaten Messgeräteschlüssel erstellt wird .
Auch wird vorgeschlagen, dass eine Zähleridentifikation auf einem von außerhalb der Ladestation sichtbaren Typenschild angebracht ist. Hierdurch wird sichergestellt, dass der Kunde die Zähleridentifikation oder Ladepunkt-ID bzw. Ladestations- ID notieren kann. Das Typenschild muss unverlierbar an der Ladestation angeordnet sein. Auch muss das Typenschild eichrechtlich gesichert sein, dass heißt, dass von diesem Typenschild nur ein einziges Exemplar existiert und dieses vorzugsweise mit einem Eichsiegel versehen ist. Sodann kann sichergestellt werden, dass das von außen sichtbare
Typenschild eineindeutig dem Zähler zuordenbar ist.
Um Manipulationen an der Logdatei zu verhindern, wird
vorgeschlagen, dass Einträge im Logbuch vor Löschzugriffen gesichert sind. Dies kann bedeuten, dass ein Löschen von Einträgen nicht gesteuert erfolgen kann. Wenn die Logdatei aus einem Ringspeicher gebildet ist, so kann ein Löschen von Einträgen bei einem Speicherüberlauf passieren. Dies ist jedoch nur dann der Fall, wenn viele Einträge in der Logdatei erfolgen. Da ein Zähler in der Regel jedoch standortfest ist, kommt eine Veränderung der Ortsinformationen in der Regel selten bis nie vor, so dass die Logdatei in der Regel nur sehr wenige Einträge aufweist.
Gemäß einem vorteilhaften Ausführungsbeispiel wird auch vorgeschlagen, dass eine Signatureinrichtung die von der Sendeeinrichtung an den zweiten Server zu übermittelnden Daten mit einem Messgerätschlüssel, vorzugsweise einem privaten Messgeräteschlüssel, signiert. Die
Signatureinrichtung ist vorzugsweise mit dem
Energiemengenzähler in der Ladestation verbunden und empfängt von dem Energiemengenzähler einen Messgeräteschlüssel. Dieser ist vorzugsweise ein privater Messgeräteschlüssel. Mit Hilfe der Signatureinrichtung und des privaten Messgeräteschlüssels können die abrechnungsrelevanten Daten signiert werden.
Abrechnungsrelevante Daten sind zumindest Zählerstand als auch Ortsinformationen. Diese können signiert an den zweiten Server übermittelt werden. Wie zuvor und nachfolgend auch dargelegt werden wird, ist das Signieren ein Verfahren, mit dem die Authentizität der übertragenen Daten sichergestellt werden kann.
Ein weiterer Aspekt ist ein System mit einer Ladestation, wie sie zuvor erläutert wurde. Bei dem System ist der erste
Server dafür verantwortlich, die Ladestationen bzw. die darin eingesetzten Energiemengenzähler mit Ortsinformationen auszustatten. Hierzu kann der erste Server die
Ortsinformationen verknüpft mit Zähleridentifikationen empfangen. Insbesondere kann dies im Rahmen einer
Inventarliste oder einer Stammdatendatei erfolgen. Eine
Stammdatendatei kann dem ersten Server übergeben werden, vorzugsweise verschlüsselt. Der erste Server kann dann in Abständen, vorzugsweise zyklisch, vorzugsweise regelmäßig, die empfangenen Ortsinformationen an die jeweiligen Zähler der Ladestationen übermitteln. Hierdurch werden die
Ortsinformationen in den Ladestationen aktuell gehalten.
Ein Zähler in einer Ladestation kennt immer genau eine
Ortsinformation, nämlich diejenige, die ihm vom ersten Server mitgeteilt wurde. Ob diese Ortsinformation mit den
tatsächlichen Standort des Zählers übereinstimmen, kann der Zähler nicht überprüfen. Vielmehr obliegt diese Überprüfung dem Kunden, der in seiner Rechnung überprüfen kann, ob die ihm mitgeteilten Ortsinformationen eines Zählers mit den von ihm notierten Ortsinformationen übereinstimmen. Bei
mangelnder Übereinstimmung kann der Kunde eine Überprüfung verlangen . Darüber hinaus verfügt das System gemäß einem vorteilhaften Äusführungsbeispiel über einen zweiten Server, der
vorzugsweise ein Abrechnungsserver ist. Dieser empfängt von der Ladestation abrechnungsrelevante Daten, die zumindest Ortsinformationen als auch ein Zählwert eines
Energiemengenzählers enthalten. Darüber hinaus können abrechnungsrelevante Daten auch eine Identifikation des Energiemengenzählers, eine Zähler-ID, eine Zeitinformation,
eine Statusinformation, eine Kundeninformation oder dergleichen sein. Andere abrechnungsrelevante Daten wurden bereits genannt und werden nachfolgend auch noch erwähnt. Vorzugsweise empfängt der zweite Server die
abrechnungsrelevanten Daten signiert von der Ladestation. Die Signatur kann vorzugsweise mit Hilfe des privaten
Messgeräteschlüssels des Zählers der Ladestation durchgeführt worden sein. Um einem Nutzer zu ermöglichen, seine Abrechnungsdaten zu überprüfen, wird vorzugsweise im Bereich des ersten Servers eine Zuordnung zwischen Ortsinformationen und einer
Zähleridentifikation vorgehalten. Darüber hinaus kann ein öffentlicher Messgeräteschlüssel des Energiemengenzählers diesen Daten zugeordnet sein. Diese Informationen können in einer Inventarliste öffentlich zugänglich gemacht sein. Mit Hilfe dieser öffentlich zugänglichen Liste kann der Kunde überprüfen, ob der abrechnungsrelevante Datensatz tatsächlich von dem Zähler stammt, der an dem Ort stand, an dem der Ladevorgang durchgeführt wurde. Sobald sich eine Diskrepanz zwischen den Abrechnungsdaten und dem öffentlich zugänglich gemachten Daten ergibt, kann eine Manipulation vorliegen, die der Kunde überprüfen lassen kann. Ein weiterer Aspekt ist ein Verfahren zum Betreiben einer Ladestation, insbesondere einer Ladestation für
Elektrofahrzeuge mit den Schritten Empfangen von
Ortsinformationen, Vergleichen der empfangenen
Ortsinformationen mit gespeicherten Ortsinformationen, wobei bei einem negativen Vergleichsergebnis die gespeicherten Ortsinformationen durch die empfangenen Ortsinformationen
ersetzt werden und zusätzlich ein Eintrag die geänderten Ortsinformationen betreffend in einem Logbuch generiert wird.
Zum Ende eines Abrechnungszeitraums erhält der Nutzer vom Stromnetzbetreiber/Energielieferanten/Ladestationsbetreiber eine Rechnung über die von ihm bezogene Energiemenge. In dieser Rechnung kann beispielsweise jedem Ladevorgang
Ortsinformationen zugeordnet sein. Zusätzlich kann jeder Rechnungsposition weitere
abrechnungsrelevante Daten wir z.B. die
Messgeräteidentifikation, beispielsweise eine Ladepunkt-ID, als auch eine Zählernummer zugeordnet sein. Zusätzlich können die Start- und Endzählerstände sowie die Start- und Endzeiten (Zeit, Datum) jeder Rechnungsposition zugeordnet sein. Mit diesen Informationen kann dem Kunden in der Rechnung die bezogene Energiemenge für jeden Ladevorgang mitgeteilt werden . Darüber hinaus kann der Kunde zusammen mit der Rechnung zu jeder Rechnungsposition eine Information über den
Messgerätestatus als auch die Signatur, die für das
entsprechende Datenpaket erstellt wurde, erhalten. Für jede Rechnungsposition können z.B. zwei Signaturen erstellt werden. Eine erste Signatur für das Datenpaket, das zu Beginn des Ladevorgangs erstellt wurde und eine zweite Signatur für das Datenpaket, das zum Ende des Ladevorgangs erstellt wurde.
Abschließend kann der Nutzer den öffentlichen
Messgeräteschlüssel mitgeteilt bekommen. Dazu kann in einer öffentlich zugänglichen Inventarliste eine Zuordnung zwischen Zähler-ID, Ortsinformationen und öffentlichen
Messgeräteschlüsseln veröffentlicht werden. Mit diesen
Informationen kann der Nutzer die abrechungsrelevanten Daten überprüfen . Da der Kunde selbstständig sowohl die
Messgeräteidentifikation als auch den Ort des jeweiligen Ladevorgangs notiert hat, kann er zusammen mit den
zusätzlichen Informationen aus der Rechnung, beispielsweise Ladezeitpunkt, Ladezeitraum, Ladepunktidentifikation,
Zählernummer, Zähler-ID, Zählerstand und dem öffentlichen
Schlüssel, die ihm mitgeteilte Signatur für jedes Datenpaket einzeln überprüfen. Hierzu kann er beispielsweise mittels der ihm mitgeteilten Signatur und des Mittels ihm mitgeteilten öffentlichen Schlüssels den Referenzwert errechnen. Ein
Vergleichsreferenzwert kann der Kunde beispielsweise mittels der von ihm notierten Information und der zusätzlichen
Information aus der Rechnung errechnen und überprüfen, ob die Daten identisch sind. Somit hat der Kunde die Möglichkeit, die Richtigkeit der Rechnungspositionen zu überprüfen.
Es kann beispielsweise mit einem empfängerseitig bekannten, zu dem Signaturschlüssel passenden Schlüssel der Referenzwert oder das zu signierende Datenpaket aus der Signatur zurück errechnet werden. Dazu kann beispielsweise empfängerseitig ein Vergleichs-Referenzwert ausgehend von dem Datenpaket errechnet werden. Stimmen errechneter Referenzwert und
Vergleichs-Referenzwert überein, kann von einer
Datenintegrität ausgegangen werden. Beispielsweise kann aus Nutzdaten (Datenpaket) ein
Referenzwert berechnet werden. Aus diesem Referenzwert kann mit einem privaten Schlüssel eine Signatur errechnet werden.
Die Signatur kann zusammen mit den Nutzdaten in einem
Datencontainer, als zwei getrennte Dateien oder eingebettet in die Nutzdaten, an einen Empfänger verschickt werden. Der Empfänger kann mit einem zum privaten Schlüssel passendem öffentlichen Schlüssel aus der Signatur den Referenzwert errechnen. Aus den ebenfalls empfangenen Nutzdaten kann empfängerseitig ebenfalls ein Vergleichs-Referenzwert
berechnet werden. Stimmen Referenzwert und Vergleichs- Referenzwert überein, kann die Integrität, Authentifizierung, Authentizität der Nutzdaten sichergestellt werden.
Vorteilhafterweise wird dem Kunden zusammen mit der Rechnung für jedes Datenpaket eine gesonderte Signatur mitgeteilt. Für jede Rechnungsposition, die sich aus zwei Messungen
zusammensetzt, nämlich dem Beginn und dem Ende eines
Ladevorgangs stehen zwei Datensätze zur Verfügung,
beziehungsweise stehen bei einem Tarifwechsel (mit drei oder vier Messungen) drei oder vier Datensätze zur Verfügung, nämlich Start und Ende des Ladevorgangs sowie ein weitere Datensatz für den Tarifwechsel oder zwei Datensätze, einer für das Ende des ersten Tarifs und einer für das Ende des zweiten Tarif, bzw. den jeweiligen Zeitpunkten innerhalb eines Tarifs, denen jeweils eine Signatur zugeordnet ist. Der erste Datensatz bestimmt den Beginn des Ladevorgangs und enthält neben den Ortsinformationen zusätzliche
abrechnungsrelevante Daten wie beispielsweise
Messgeräteidentifikationen (Ladepunkt-ID, Zählernummer) , den Zählerstand und das Statuswort. Für das Ende des Ladevorgangs existiert ein zweiter Datensatz, der den Zeitpunkt des Endes des Ladevorgangs enthält. Das gleiche gilt für die Datensätze bei einem TarifWechsel , denen auch eine Zeitinformation, eine Messgeräteidentifikation und ein Zählerstand zugeordnet sind.
Für jeden Datensatz wird in der Ladestation eine Signatur errechnet, welche dem Nutzer im Klartext zur Verfügung gestellt wird. Die Richtigkeit der Signatur kann der Nutzer dadurch überprüfen, dass er mit Hilfe der von ihm notierten Zähleridentifikation oder Ladepunkt-ID bzw. Ladestations-ID und Ortsinformation zusammen mit den ihm mitgeteilten
Informationen über Zählerstand und Statuswort als auch dem öffentlichen Schlüssel eine Vergleichssignatur errechnen kann und überprüfen kann, ob die mitgeteilte Signatur und die errechnete Vergleichssignatur identisch sind. Die
grundsätzliche Verwendbarkeit eines Datensatzes ergibt sich für den Kunden daraus, dass er die Identifikationsnummer des Ladepunktes (Zählers) sowie Zeitinformationen (Datum und/oder Uhrzeit) mit seinen Aufzeichnungen vergleicht.
Dadurch, dass die mitgeteilte Signatur ein-eindeutig dem Datenpaket zugeordnet werden kann, könnte der Nutzer eine Manipulation des Wertes des Messgerätezählerstands
feststellen. Dann wäre nämlich die ihm mitgeteilte Signatur nicht mehr identisch mit der von ihm berechneten Signatur. Ein veränderter Zählerstand würde mit identischen
Informationen über Zeitpunkt der Ladung und/oder
Messgeräteidentifikation zu einer anderen Signatur führen. Der Kunde notiert aber vorzugsweise den Ort des Ladevorgangs als auch die Messgeräteidentifikation selber, so dass er eine Manipulation im Bereich des Messgerätezählerstands erkennen kann . Dadurch, dass ein Zähler immer nur die Ortsinformationen nutzt, die ihm mitgeteilt wurden, und diese Information öffentlich zugänglich ist, kann überprüft werden, ob die vom
Zähler erzeugten Datensätze tatsächlich an dem Ort erstellt wurden, der dem Nutzer bekannt ist. Da jeder Zähler
Veränderungen an den Ortsinformationen in einer Logdatei speichert, kann nachträglich überprüft werden, ob die
Ortsinformationen in einem Zähler verändert wurden.
Unter einer elektronischen Signatur können auch mit
elektronischen Informationen verknüpfte Daten, mit denen man den Unterzeichner bzw. Signaturersteller identifizieren und die Integrität der signierten elektronischen Informationen prüfen kann, verstanden werden. In der Regel handelt es sich bei den elektronischen Informationen um elektronische
Dokumente. Die elektronische Signatur erfüllt somit technisch gesehen den gleichen Zweck wie eine eigenhändige Unterschrift auf Papierdokumenten. Eine elektronische Signatur kann unter anderem auch eine digitale Signatur umfassen. Die digitale Signatur kann die rein datentechnische, kryptographische Signatur bezeichnen, bei der kryptographische, mathematische Methoden angewandt werden. „Elektronische Signaturen" können Daten in elektronischer Form, die anderen elektronischen
Daten beigefügt oder logisch mit ihnen verknüpft sind und die der Authentifizierung dienen, sein.
Ändern sich bei der Übertragung Werte innerhalb des
Datenpakets, so kann empfängerseitig, bspw. im Fahrzeug, der Abrechnungszentrale oder vom Nutzer festgestellt werden, dass die mit dem Datenpaket übertragene Signatur nicht zu dem empfangenen Datenpaket passt und eine Veränderung des
Datenpakets stattgefunden haben muss. Der Vergleich der empfangenen Signatur mit einer errechneten Vergleichs- Signatur oder der Vergleich eines Referenzwertes mit einem
Vergleichs-Referenzwertes ergibt bei veränderten Daten einen Unterschied zwischen diesen beiden Werten.
Gemäß einem vorteilhaften Ausführungsbeispiel wird
vorgeschlagen, dass das Datenpaket und die jeweilige Signatur zumindest zum Beginn und zum Ende eines Ladevorgangs erstellt und an die Abrechnungsstation übermittelt wird. In der
Abrechnungsstation kann somit aus den beiden Datenpaketen eine Rechnungsposition erstellt werden, in dem die
Veränderung des Messgerätezählerstands ausgewertet wird und anhand dieser Veränderung eine Energiemenge berechnet wird. Zusammen mit TarifInformationen kann mit der errechneten Energiemenge ein Rechnungsbetrag bestimmt werden. Dadurch, dass für jedes Datenpaket eine Signatur erstellt wurde und der Nutzer bei jedem Ladevorgang selbsttätig
Ortsinformationen notieren kann, die Teile des Datenpakets und somit relevant für die Signatur sind, kann der Kunde anhand der Signatur überprüfen, ob die der Rechnung
zugrundeliegenden Informationen korrekt sind oder nicht.
Wie bereits zuvor erläutert, können von der
Abrechnungsstation Abrechnungsdaten zu der bezogenen
Energiemenge bereitgestellt werden. Diese Abrechnungsdaten können im Rahmen einer Rechnung dem Nutzer mitgeteilt werden. Die Rechnung kann aus mehreren Elementen gebildet sein. So kann beispielsweise eine erste Seite einer Rechnung die Summe der einzelnen Rechnungspositionen pro Tarif auflisten. Eine zweite Seite einer Rechnung kann für jede Rechnungsposition einen Ortsinformationen sowie Start- und Endzeitpunkt
ausgeben. Zusätzlich hierzu können Informationen zu
Messgeräteidentifikationen, beispielsweise eine Ladepunkt-ID, als auch eine Zählernummer ausgegeben werden. Zusätzlich kann
für jeden Zeitpunkt ein Zählerstand ausgegeben werden und zusammen mit einem Tarif auf der Rechnung angegeben werden. Schließlich kann für jeden Ladevorgang die bezogene
Energiemenge ausgegeben werden.
Auf einer weiteren Seite kann eine Rechnung für jede
Rechnungsposition Ortsinformationen ausgeben. Außerdem kann die Zählernummer oder eine sonstige Messgeräteidentifikation zusammen mit dem Zählerstand und/oder einem Messgerätestatus ausgegeben werden. Diese Daten können beispielsweise
Bestandteil des Datenpakets gewesen sein. In der gleichen Zeile kann dann eine Signatur ausgegeben werden, die sich aus den angegebenen Daten und dem Messgeräteschlüssel ergeben hat .
Abschließend kann auf einer weiteren Seite der Rechnung für jedes Messgerät ein öffentlicher Schlüssel angegeben werden.
Der öffentliche Schlüssel kann zusammen mit den
Informationen, die für jedes Datenpaket dem Benutzer
mitgeteilt worden sind, überprüft werden, ob die Signatur korrekt ist. Da der Nutzer sowohl den Ort als auch die
Zählernummer notiert hat, kann er mit den von ihm selbst notierten Informationen die Signatur auf Authentizität und Integrität überprüfen.
Auch ist es möglich, dass die oben genannten Informationen abrufbar, insbesondere über ein Weitverkehrsnetz,
insbesondere über das Internet bereitgehalten werden.
Um sicherzustellen, dass seitens des Energieanbieters keine Manipulation der Rechnungsdaten erfolgen kann, was
beispielsweise dadurch möglich wäre, dass der öffentliche Schlüssel manipuliert wird, wird vorgeschlagen, dass die öffentlichen Messgeräteschlüssel von Messgeräten der
Ladestationen durch einen von der Abrechnungsstation logisch und/oder räumlich getrennten Computer bereitgehalten werden. Insbesondere können die öffentlichen Schlüssel bei einer Eichsstelle oder Prüfstelle vorgehalten werden, so dass eine Manipulation durch den Energieanbieter unmöglich wird. Um den Kunden die Überprüfung der Rechnungsdaten zu
erleichtern, wird vorgeschlagen, dass ein Programm zur
Errechnung und/oder Überprüfen der Signatur für den jeweils zugeordneten Messgerätezählerstand bereitgestellt wird.
Dieses Programm kann beispielsweise aus den Online
verfügbaren Rechnungsdaten oder auch aus den von Kunden eingegebenen Rechnungsdaten die Signatur errechnen. Der Kunde kann beispielsweise den von ihm notierten Zeitpunkt sowie die von ihm notierte Zählernummer von Hand eingeben. Zusammen mit diesen Informationen kann das Programm aus den
Rechnungsinformationen, beispielsweise dem Zählerstand und dem Statuswort, unter Verwendung des öffentlichen Schlüssels die Signatur errechnen. Diese Signatur kann dann durch das Programm automatisch mit der Signatur verglichen werden, die in den Rechnungsdaten enthalten war. Der Kunde kann diese Überprüfung jedoch auch selbst durchführen, da die von dem
Programm errechnete Vergleichssignatur im Klartext ausgegeben wird und die den Rechnungsdaten zugrunde liegende Signatur ebenfalls im Klartext ausgegeben wurde. Dieses Programm kann von einem Computer zur Verfügung gestellt werden, der logisch und/oder räumlich von der Abrechnungsstation getrennt ist. Insbesondere kann eine Eichstelle neben den öffentlichen Schlüsseln dieses Programm zur Verfügung stellen.
Gemäß einem Ausführungsbeispiel kann im Messgerät oder der Ladestation ein Paar aus öffentlichem Messgeräteschlüssel (PuM) und privatem Messgeräteschlüssel (PiM) gespeichert sein. Mit Hilfe des privaten Messgeräteschlüssels (PiM) kann eine erste Signatur (SD) des Datenpaketes erstellt werden. Hierzu kann beispielsweise aus einem dem Datenpaket
zugeordneten Referenzwert mit Hilfe des privaten
Messgeräteschlüssels (PiM) ein Kryptogramm errechnet werden. Dieser Referenzwert kann ein Hash-Code sein.
Empfängerseitig, z.B. in einer Abrechnungszentrale oder durch den Nutzer kann die Authentizität und Datenintegrität des empfangenen Datenpaketes dadurch überprüft werden, dass das empfangene Kryptogramm mit Hilfe des empfängerseitig
bekannten öffentlichen Messgeräteschlüssels entschlüsselt wird und der Referenzwert somit berechnet wird. Ein Vergleich mit einem empfängerseitig aus dem Datenpaket errechneten Referenzwert ermöglicht die Überprüfung der Datenintegrität.
Beispielsweise ist es möglich, dass der öffentliche
Messegeräteschlüssel (PuM) in einer Abrechnungszentrale bekannt ist. Auch kann der öffentliche Messgeräteschlüssel (PuM) in dem Datenpaket enthalten sein
Ein Hash-Code kann mittels eines eindeutigen Rechenverfahrens als ein statistisch eindeutiger Referenzwert errechnet werden. Ein Hash-Code kann ein aus einer endlichen Vielzahl von Werten ermittelter Wert sein. Aufgrund der Vielzahl der möglichen Hash-Codes kommt es bei einer Veränderung des Datensatzes zu einem geänderten Hash-Code. Dass zwei
unterschiedliche Datensätze einen gleichen Hash-Code erzeugen ist, abhängig von der Anzahl und Art der Koeffizienten zur
Berechnung des Hash-Codes, äußerst unwahrscheinlich. Für die diese Wahrscheinlichkeit ist das Verfahren zur Berechnung des Hash-Wertes wesentlich. Beispiele für Hash-Code
Berechnungsmethoden können MD2, MD4 , MD5, SHA, RIPEMD-160, Tiger, HAVAL, Whirlpool, LM-Hash oder NTLM. Andere Verfahren, insbesondere kryptographische Verfahren sind ebenso geeignet.
Eine kryptologische Hashfunktion sollte zumindest eine
Einwegfunktion sein. Sogenannte Einweg-Hashfunktionen (One- Way-Hash Functions, OWHFs) erfüllen die Bedingung, eine
Einwegfunktion zu sein, d. h. zu einem gegebenen Ausgabewert h(x) = y ist es praktisch unmöglich, einen Eingabewert x zu finden (engl, preimage resistance) . Außerdem ist eine
Hashfunktion besser für die Kryptographie geeignet, wenn möglichst keine Kollisionen auftreten. Das heißt, dass für zwei verschiedene Werte x und x' der Hashwert (Hash-Code) möglichst auch verschieden sein sollte: h(x) ungleich h(x'). Ist dies immer der Fall, so kann von einer
kollisionsresistenten Hashfunktion (Collision Resistant Hash Function, CRHF) gesprochen werden.
Mit Hilfe der ersten Signatur (SD) und dem in der
Abrechnungszentrale empfangenen Datenpaket kann auch die Authentizität und Integrität des von der Ladestation
erstellten Datenpaketes überprüft werden. In der
Abrechnungszentrale oder für den Nutzer ist der öffentliche Messgeräteschlüssel (PuM) bekannt. Außerdem wurde in der Ladestation die Signatur empfangen. Aus der Signatur kann mit Hilfe des öffentlichen
Messgeräteschlüssels (PuM) ein Referenzwert errechnet werden, der mit einem aus dem Datenpaket errechneten Vergleich-
Referenzwert verglichen werden kann. Hierdurch kann überprüft werden, ob die in dem Datenpaket enthaltenen Messdaten auf der Kommunikationsstrecke von Ladestation zum Fahrzeug und zurück und anschließend zur Abrechnungszentrale manipuliert wurden.
Gemäß einem vorteilhaften Ausführungsbeispiel wird auch vorgeschlagen, dass eine Signatur mittels eines SHA-256 Verfahrens ermittelt wird. Hierbei kann beispielsweise eine Variante FIPS 180-2 verwendet werden.
Insbesondere wird vorgeschlagen, dass eine Signatur mit Hilfe eines Elliptic-Curve Kryptografieverfahrens ermittelt wird. Hierbei ist es beispielsweise möglich, dass ein ECC-Verfahren mit 192 Bit verwendet wird.
Gemäß einem vorteilhaften Ausführungsbeispiel wird auch vorgeschlagen, dass das Datenpaket mittels eines
asymmetrischen Verfahrens signiert wird. Bei diesem Verfahren wird, wie bereits zuvor erläutert, ein privater Schlüssel für eine Signatur verwendet und ein öffentlicher Schlüssel, der empfängerseitig bekannt ist, für die Entschlüsselung der Signatur verwendet. Um eine Zuordnung eines Messwertes zu einem Mess-Zeitpunkt zu ermöglichen, wird vorgeschlagen, dass das Datenpaket einen Zeit-Index enthält. Ein Zeit-Index kann beispielsweise ein Sekundenindex sein, der über die gesamte Lebensdauer des Ladegeräts im mathematischen Sinne streng monoton wachsend ist und eine natürliche Zahl darstellt. Mit Hilfe dieses
Sekundenindexes ist es möglich, eine ein-eindeutige Zuordnung des Mess-Zeitpunktes zu einem Messwert vorzunehmen. Auch kann
ein Betriebssekundenzähler verwendet werden, der eine monoton wachsende natürliche Zahl sein kann, deren Ziel die
eindeutige Zuordnung des Zeitpunktes eines Ereignisses zu der als Bezugssystem angenommenen gesetzlichen Zeit ist.
Auch kann die Ladestation das zu Beginn einer Messung erstellte und signierte Datenpaket und das zum Ende einer Messung erstellte Datenpaket an die Abrechungszentrale übermitteln um dort aus dem Delta der Messwerte die
entnommene Energiemenge berechnen zu können.
Ein weiterer Gegenstand ist ein Verfahren nach Anspruch 19.
Die zuvor genannten Verfahren können auch als
Computerprogramm oder als auf einem Speichermedium
gespeichertes Computerprogramm realisiert werden. Hierbei kann ladestationsseitig und/oder abrechnungszentralenseitig ein Mikroprozessor zur Durchführung der jeweiligen
Verfahrensschritte durch ein Computerprogramm geeignet programmiert sein.
Die Merkmale der Verfahren und Vorrichtungen sind frei miteinander kombinierbar. Insbesondere können Merkmale der abhängigen Ansprüche unter Umgehung der Merkmale der
unabhängigen Ansprüche in Alleinstellung oder frei
miteinander kombiniert eigenständig erfinderisch sein.
Nachfolgend wird der Gegenstand anhand einer
Ausführungsbeispiele zeigenden Zeichnung näher erläutert. In der Zeichnung zeigen:
Fig. 1 einen schematischen Aufbau eines Systems zum Laden eines Elektrofahrzeugs ;
Fig. 2a-d beispielhafte Datenpakete und Signaturen;
Fig. 3 eine Ablaufdiagramm eines beispielhaften
Verfahrens .
Fig. 1 zeigt eine Ladestation 2 welche über ein
Verbindungskabel 4 mit einem Fahrzeug 6 elektrisch verbunden ist. In der Ladestation 2 ist eine Anschlussdose 8 zum
Anschluss des Verbindungskabels 4 vorgesehen. Über das
Verbindungskabel 4 werden zum Einen Energie übertragen und zum Anderen Daten zwischen Fahrzeug 6 und Ladestation 2 ausgetauscht . An der Ladestation 2 ist außen ein nicht dargestelltes
Typenschild angeordnet. Auf diesem Typenschild ist die ID des Messgerätes im Klartext angegeben.
Hierdurch kann ein Nutzer während eines Ladevorgangs neben dem Ort der Ladestation 2 auch die ID des Messgerätes 10 erfassen und notieren. Zusammen mit den Informationen über den Ladezeitraum kann der Nutzer dann eichrechtlich gesichert seine Abrechnungsdaten überprüfen, wie nachfolgend gezeigt wird .
Die Anschlussdose 8 ist elektrisch mit einem Messgerät 10 (Energiemengenzähler} verbunden. Das Messgerät 10 misst die elektrische Leistung, die über die Anschlussdose 8 an das Fahrzeug 6 über das Verbindungskabel 4 abgegeben wird. Die elektrische Leistung wird über einen elektrischen Anschluss 12 von einem elektrischen Energieversorgungsnetz 14 bezogen
Gekoppelt an das Messgerät 10 ist eine Recheneinheit 16 mit einer Kommunikationseinheit 16a und einer Signatureinheit 16b. Die Signatureinheit 16b kann eine dem Ladegerät 2 bzw. dem Messgerät 10 zugeordnete eindeutige Identifikation, beispielsweise eine privaten Messgeräteschlüssel (PiM) 18a erfassen. Auch kann ein öffentlicher Messgeräteschlüssel (PuM) 18b erfasst werden. Ferner ist ein Speicher 18, in dem Ortsinformationen und Messgeräteschlüssel 18a, 18b
gespeichert werden können, vorgesehen.
Die Recheneinheit 16 ist über ein Datennetz 20 mit einer Abrechnungszentrale 22 verbunden.
Ferner ist ein weiterer Computer 23 vorgesehen, der logisch und räumlich von der Abrechnungszentrale 22 getrennt ist.
Insbesondere kann der Computer 23 mit dem Datennetz 20, z.B. einem Weitverkehrsnetz, z.B. dem Internet, verbunden sein. Der Computer 23 kann beispielsweise in den Räumen und/oder unter Aufsicht einer Eichbehörde betrieben werden.
Über das Datennetz 20 können Nutzer sowohl auf die
Abrechnungszentrale 22 als auch den Computer 23 zugreifen. Bei der Abrechnungs zentrale 22 können die Nutzer
Rechnungsdaten abrufen. Bei dem Computer 23 können sich Nutzer z.B. öffentliche Messgeräteschlüssel und/oder
Programme zum Errechnen einer Vergleichssignatur beschaffen. Außerdem können Nutzer bei dem Computer 23 eine öffentlich zugängliche Inventarliste abrufen. Die Inventarliste enthält eine ein-eindeutige Zuordnung zwischen Messgeräten 16,
Standortinformationen für jedes Messgerät und öffentlichen Messgeräteschlüsseln.
Aus eichrechtlichen Gründen ist es notwendig,
sicherzustellen, dass Messgeräte 16 einem eindeutigen
Standort zugeordnet werden können müssen. Daher überträgt der Computer 23 zyklisch oder bei Veränderung oder regelmäßig oder unregelmäßig an jede Ladestation 2 die aus der
Inventarliste erhaltenen Ortsinformationen für die
Ladestation 2.
In der Ladestation 2 werden diese Ortsinformationen
empfangen. Zunächst wird überprüft, ob Ortsinformationen in dem Speicher 18 gespeichert sind. Falls nein, werden die empfangenen Ortsinformationen unmittelbar gespeichert. Ferner wird in einer eichrechtlich gesicherten Logdatei in dem
Speicher 18 die Änderung der Ortsinformationen vermerkt.
Falls bereits Ortsinformationen in dem Speicher 18
gespeichert sind, werden diese Ortsinformationen aus dem Speicher 18 gelesen. Anschließend werden die aus dem Speicher gelesenen
Ortsinformationen mit den empfangenen Ortsinformationen verglichen .
Sind die Ortsinformationen unterschiedlich, so werden die empfangenen Ortsinformationen in dem Speicher 18
abgespeichert. Außerdem wird ein Logeintrag in der Logdatei erzeugt, der die Änderung der Ortsinformationen belegt.
Entsprechen sich die Ortsinformationen, so wird der Speicher 18 nicht verändert und die Logdatei wird nicht verändert.
Zusätzlich kann die Signatureinheit die empfangenen
Ortsinformationen mit Hilfe des privaten Messgeräteschlüssels
18a signiert werden und anschließend über das Datennetz 20 an den Computer 23 übertragen werden. Hierdurch kann
kontrolliert werden, ob die Ortsinformationen tatsächlich in der richtigen Ladestation 2 empfangen wurden.
Durch das Übermitteln der Ortsinformationen an die
Ladestation 2 wird sichergestellt, dass eine Ladestation 2 immer mit aktuellen Ortsinformationen versorgt ist. Außerdem stimmen die in der Ladestation 2 gespeicherten
Ortsinformationen mit denen der öffentlich bekannt gemachten Inventarliste überein. Eine Änderung der Ortsinformationen in der Ladestation 2 kann nachträglich überprüft werden, da diese in der Logdatei vermerkt ist. Außerdem kann der Computer 23 über das Datennetz 20 aus jeder Ladestation 2 die aktuell gespeicherten Ortsinformationen auslesen und mit der Inventarliste vergleichen. Hierdurch kann durch Stichproben ebenfalls überprüft werden, ob die Daten in der Ladestation 2 mit denen der Inventarliste übereinstimmen.
In dem Fahrzeug 6 ist neben einer mit einem Anschluss 24 verbundenen Batterie 26 eine Kommunikationseinheit 28 vorgesehen. Die Kommunikationseinheit 28 ermöglicht das Senden und Empfangen von Daten auf dem Verbindungskabel 4. Angeschlossen an die Kommunikationseinheit 28 ist eine
Signatureinheit 30. Die Signatureinheit 30 kann von dem
Fahrzeug 6 eine eindeutige Identifikation 32 erfassen. Während des Ladevorgangs des Fahrzeugs 6 an der Ladestation 2 wird Energie von dem Energieversorgungsnetz 14 in die
Batterie 26 des Fahrzeugs 6 gespeist. Die Menge der
eingespeisten Energie wird mittels des Messgeräts 10 erfasst. Die Energiemenge, beispielsweise ein Zählerstand des
Messgerätes 10, als auch die aktuellen Ortsinformationen aus dem Speicher 18 sowie weitere Daten, wie beispielsweise die Identifikation der Ladestation 2 und/oder die Identifikation des Messgerätes 10, ein Zeitstempel, ein Zeit-Index, ein Status der Ladestation 2 und/oder ein Status des Messgerätes 10, ein Anfangszählerstand, ein Endzählerstand und/oder dergleichen können an die Abrechnungszentrale 22 übermittelt werden.
Hierzu übermittelt die Kommunikationseinheit 16 ein
Datenpaket, wie es in den Figuren 2 erläutert ist. In dem Datenpaket 34 können die genannten Messgrößen
gespeichert werden. In dem Datenpaket 34 kann ein
öffentlicher Messgeräteschlüssel (PuM) 34e gespeichert werden . Die Figuren 2 zeigen die Berechnung eines Datenpakets 34 und einer Signatur, welche zwischen Ladestation 2 und
Abrechnungszentrale 22 ausgetauscht werden können.
Fig. 2a zeigt ein beispielhaftes erstes Datenpaket 34, in dem ein Zählerstand 34a, eine Ortsinformation 34b, optional eine Messgeräteidentifikation 34c, optional eine Zeitinformation 34d, optional ein öffentlicher Messgeräteschlüssel (PuM) 34e und/oder eventuell weitere Daten 34f, wie z.B. optional ein Messgerätestatus, in einer binären Zahlenfolge abgespeichert sind. Die Messgeräte-Identifikation 34c kann ein eindeutiger Bezeichner des Messgerätes 10 und/oder der Ladestation 2 sein .
Für eine Authentifizierung des ersten Datenpakets 34 kann eine Signatur 36 erstellt werden. Hierzu wird in einem
Rechenschnitt 38 das erste Datenpaket 34 zusammen mit einem privaten Messgeräteschlüssel (PiM) 18a verwendet, um eine erste Signatur (SD) 36 zu errechnen. So kann z.B. in dem Rechenschritt 38 ein Hash-Wert aus dem ersten Datenpaket bestimmt werden und dieser Hash-Wert kann mit dem privaten Messgeräteschlüssel (PiM) in die Signatur (SD) 36 umgerechnet werden.
Für die Übertragung des ersten Datenpakets 34 an die
Abrechnungszentrale 22 wird das erste Datenpaket 34 mit der Signatur 36 in einem Datensatz 40 verpackt. Der Datensatz 40 wird von der Ladestation 2 über das Versorgungsnetz 14 oder das Datennetz 20 oder in sonstiger Weise an die
Abrechnungszentrale 22 übermittelt.
Fig. 2b zeigt den Datensatz 40 gebildet aus dem ersten
Datenpaket 34 und der Signatur 36.
Der Datensatz 40 kann unmittelbar an die Abrechnungszentrale 22 gesendet werden. Die hieraus erhaltenen Daten können für eine Rechnungserstellung, wie nachfolgend noch beschrieben wird, verwendet werden. Der Nutzer kann die Rechnungsdaten unter Verwendung der Signatur 36 und seiner selbst getätigten Notizen auf Authentizität und Integrität überprüfen.
Für einen Kunden ist mit Hilfe der ersten Signatur (SD) und dem öffentlichen Messgeräteschlüssels (PuM) eine Überprüfung möglich, ob die in der Abrechnungszentrale 22 zu
Abrechnungszwecken verwendeten Datenpakete 34 auch
tatsächlich von den Ladestationen 2 stammen, an denen er Energie bezogen hat.
Hierzu kann der Nutzer von dem Computer 23 aus der
Inventarliste den öffentlichen Messgeräteschlüssels (PuM) der Ladestation, dessen ID er beim Ladevorgang notiert hat, sowie die entsprechende Ortsinformation erhalten. Er kann die
Ladestations-ID mit einer Ladestations-ID auf seiner Rechnung vergleichen. Die auf diese Ladestations-ID bezogenen
Rechnungsdaten (Datenpakete) sind in der Rechnung jeweils mit einer Signatur versehen. Diese Signatur kann der Nutzer zusammen mit den von ihm notierten Zeitinformationen und dem geladenen öffentlichen Messgeräteschlüssels (PuM) der
Ladestation überprüfen. Hierzu kann der Nutzer ein über den Computer 23 geladenes Programm nutzen.
Außerdem kann der Nutzer überprüfen, ob die der Ladestation 2 zugeordneten Ortsinformationen mit denen übereinstimmen, die er beim Ladevorgang notiert hat. Für den Fall, dass eine Abweichung vorliegt, kann der Nutzer eine Überprüfung
verlangen .
Dann wird anhand der Logdatei geprüft, ob die Ladestation, dessen ID der Nutzer notiert hat, geänderte Ortsinformationen empfangen hat.
Außerdem kann regelmäßig in Stichproben überprüft werden, ob in den Ladestation 2 die korrekten, mit der Inventarliste übereinstimmende Ortsinformationen gespeichert sind.
Die Verwendung von Signaturen gewährleistet eine hohe
Datenintegrität bei der Abrechnung. Auch ist eine
Plausibilitätsüberprüfung möglich. Schließlich wird sichergestellt, dass das Datenpaket 34 unverfälscht in der Abrechnungszentrale 22 empfangen wurde. Figur 3 zeigt ein Ablaufdiagramm eines Verfahrens zur
Überprüfung der Messdaten durch den Nutzer.
In einem ersten Schritt 60 lädt der Computer 23 eine ihm zur Verfügung gestellte Inventarliste.
Anschließend liest (62) der Computer 23 aus der Inventarliste eine Zähler ID sowie diesem Zähler zugeordnete
OrtsInformationen . Mit Hilfe der Zähler ID kann der Computer die Ladestation 2 über das Datennetz 20 adressieren, z.B. über eine Routing- Tabelle oder einen Namenserver, der einer ID eine
Netzwerkadresse zuordnen kann. Hierdurch kann der Computer 23 die aktuellen Ortsinformationen an die Ladestation 2 senden (64) .
Die Ladestation 2 empfängt mit der Kommunikationseinrichtung 16a, die als Ortbestimmungseinrichtung arbeitet, die
Ortsinformationen von dem Computer 23.
Die Ladestation 2 signiert in der Signatureinrichtung 16b die empfangenen Ortsinformationen und sendet diese signiert an den Computer 23 zurück (66) . Hierdurch kann der Computer den korrekten Empfang der Ortsinformationen in der Ladestation 2 überprüfen.
In der Ladestation werden die empfangenen Ortsinformationen mit in dem Speicher 18 gespeicherten Ortsinformationen verglichen (68) . Stimmen die Ortsinformationen überein, so geschieht nichts Weiteres .
Stimmen die empfangenen Ortsinformationen nicht mit den gespeicherten Ortsinformationen überein, so werden die empfangenen Ortsinformationen in dem Speicher 18 gespeichert und gleichzeitig wird ein Eintrag in einer Logdatei die
Änderung der Ortsinformationen betreffend erzeugt (70) .
Zu Eichzwecken können stichprobenartig die gespeicherten Ortsinformationen über das Datennetz 20 ausgelesen werden
(72) . Die ausgelesenen Ortsinformationen können mit denen der Inventarliste verglichen werden und Diskrepanzen festgestellt werden . Außerdem ist es möglich, dass über das Datennetz 20 oder unmittelbar an der Ladestation 2 die Logdatei ausgelesen (74) wird. Mit Hilfe der Logdatei kann die Standorthistorie einer Ladestation 2 nachvollzogen werden. Hierdurch kann
stichprobenartig überprüft werden, ob Ortsinformationen von Ladestation 2 verändert wurden, und ob diese Veränderungen denen der Inventarliste entsprechen.
Außerdem können Nutzerbeschwerden nachgeprüft werden. Beim Laden begibt sich ein Nutzer mit seinem Fahrzeug 6 an eine Ladestation 2. Zu dem Zeitpunkt, zu dem das Ladekabel 4 in das Fahrzeug 6 gesteckt wurde, und der Ladevorgang
beginnt, wird in der Ladestation 2, vorzugsweise im Messgerät 10 möglicherweise aber auch in der Recheneinheit 16 die aktuellen Ortinformationen sowie auch Uhrzeit oder ein
Zeitindex sowie das Datum erfasst. Außerdem erfasst die
Recheneinheit von dem Messgerät 10 den aktuellen Zählerstand. Darüber hinaus erfasst die Recheneinheit zumindest noch einen Status der Ladestation (z.B. in Ordnung / Fehler) und die Messgeräteidentifikation. Hierbei ist es möglich, dass
Messwert, Zeit und Datum sowie Status und Signatur im
Messgerät 10 erfasst werden. Auch ist es möglich, dass Teile davon in der Recheneinheit 16 erfasst und das Datenpaket in der Recheneinheit 16 signiert wird.
Parallel dazu kann der Nutzer ebenfalls den Ort der
Ladestation 2, die Uhrzeit und das Datum des Beginns des
Ladevorgangs notieren. Hierzu nutzt er beispielsweise seine eigene Uhr. Auch kann der Nutzer die Messgeräteidentifikation oder eine Ladestations-ID, die bevorzugt außen an der
Ladestation 2 angebracht ist, ablesen und notieren.
Zu Abrechnungszwecken errechnet die Signatureinheit 16b aus dem Datenpaket 34, welches die oben genannten Informationen enthält, und dem Messgeräteschlüssel 18a die Signatur 36. Das Datenpaket 34 und die Signatur 36 werden an die
Abrechnungszentrale 22 übermittelt.
Dann schließt der Nutzer den Ladevorgang ab. Zu diesem
Zeitpunkt erfasst die Recheneinheit 16 erneut die aktuelle Uhrzeit oder einen Zeitindex sowie das Datum. Außerdem erfasst die Recheneinheit erneut von dem Messgerät 10 den aktuellen Zählerstand. Darüber hinaus erfasst die
Recheneinheit erneut zumindest noch einen Status der
Ladestation (z.B. in Ordnung / Fehler) und die
Messgeräteidentifikation . Parallel dazu kann der Nutzer ebenfalls erneut die Uhrzeit und das Datum des Endes des Ladevorgangs notieren. Hierzu nutzt er beispielsweise seine eigene Uhr.
Mit dem neuen Datenpaket 34, welches die oben genannten
Informationen enthält, und dem Messgeräteschlüssel 18a errechnet die Signatureinheit 16b eine neue Signatur 36.
Das neue Datenpaket 34 und die neue Signatur 36 werden an die Abrechnungszentrale 22 übermittelt.
In der Abrechnungszentrale 22 werden aus den beiden
empfangenen Datenpaketen die rechnungsrelevanten
Informationen ermittelt. Für einen Kunden bzw. eine Vertrags-ID werden über einen Rechnungszeitraum alle Ladevorgänge gesammelt.
Zum Zeitpunkt der Rechnungsstellung erhält der Nutzer eine Rechnung. Diese Rechnung weist zum einen für jeden Tarif die gesamte bezogene Energiemenge und den Preis aus.
Außerdem weist die Rechnung für jeden Ladevorgang die
Ortsinformationen, Start- und Endzeit, das Datum, die
Ladestations-ID, die Zählernummer, die Zählerstände zu Beginn und zum Ende des Ladevorgangs und die Energiemenge aus.
Darüber hinaus weist die Rechnung für jede Startzeit und jede Endzeit die Zählernummer, den Zählerstand, den
Messgerätestatus und die Signatur 36 aus. Diese Signatur 36 ist die in der Ladestation 2 berechnete Signatur. Diese Daten stehen auch abrufbar online dem Kunden zur Verfügung.
Ebenfalls abrufbar zur Verfügung stehen dem Kunden der öffentliche Messgeräteschlüssel verknüpft mit der Zähler ID und dem diesem Zähler zugeordnetem Ort.
Hierdurch der Kunde mit den von ihm notierten
Ortsinformationen und Messgeräteidentifikationen die ihm mitgeteilten Signaturen überprüfen. Hierzu kann er die notierten Informationen zusammen mit den mitgeteilten
Informationen zum Zählerstand und Status verwenden, um mit dem öffentlichen Messgeräteschlüssel die Signatur zu prüfen. Hierzu kann er ein ebenfalls abrufbar bereitgestelltes
Programm nutzen. Ergeben sich Diskrepanzen zwischen den vom Nutzer notierten Ortsinformationen und denen der Rechnung, kann der Nutzer eine Überprüfung verlangen. Dann kann z.B. eine Eichbehörde die Logdatei des betreffenden Zählers auslesen und
überprüfen, ob seine Ortsinformationen verändert wurden.
Hierdurch kann festgestellt werden, ob die Ladestation zum
Zeitpunkt der Ladung an einem anderen Ort gestanden hat, bzw. einem anderen Ort zugewiesen wurde und somit nicht für den Ladevorgang verantwortlich sein kann.