Titel

Verfahren zur Sicherstellunq der Funktionssicherheit in der Elektromobilität mittels digitaler Zertifikate

Die vorliegende Erfindung betrifft ein Verfahren zur Sicherstellung der

Funktionssicherheit in der Elektromobilität mittels digitaler Zertifikate in

Zusammenhang mit einem Ladevorgang oder im Zuge einer Prüfung gemäß dem Gegenstand des unabhängigen Anspruchs 1 .

Die Erfindung entstand im Rahmen eines durch das Bundesministerium für Wirtschaft und Technologie (BMWi) geförderten Projekts mit der Fördernummer 01 ME09012.

Stand der Technik

Mit der Einführung der Elektromobilität hat sich der Prozess des„Betankens" zu einem Ladevorgang eines Elektrofahrzeugs gewandelt. Insbesondere findet gemäß dem Stand der Technik vor dem Ladevorgang zum Zweck einer

Authentifizierung eine datentechnische Kommunikation zwischen den

elektromobilitätstechnischen Komponenten statt. In einem aus dem Stand der Technik bekannten Ladeprozess findet die kommunikationstechnische Kopplung zwischen Ladestation und Elektrof ahrzeug sowohl beim konduktiven als auch beim induktiven Laden vollautomatisch statt. Die bisherigen Signalisierungs- und Kommunikationsprozesse für das konduktive Laden nach IEC 61466, IEC 62251 und den Normenentwürfen nach ISO/IEC 20822 dienen der Gewährleistung der elektrischen Funktionssicherheit auf Basis vorkonfigurierter Parametrierung, erlauben die energienetzverträgliche Steuerung sowie Planung eines Ladevorgangs, eine gegenseitige Authentifizierung direkt beteiligter (primärer) Akteure wie Elektrofahrzeug und Ladestation sowie indirekt beteiligter (sekundärer) Akteure und die Autorisierung des Ladevorgangs. Die Prozesse der Authenttfizierung hinsichtlich einer Identität (Identifizierung) und der Autorisierung erlauben eine Pre-/Postpaid-Abrechnung der geladenen elektrischen Energie.

Ein solches Verfahren zur Identifizierung zwischen einem Elektrofahrzeug und einer Ladestation ohne eine Interaktion mit einem Fahrzeugbenutzer ist beispielsweise in der Offenlegungsschrift DE 103 04 284 A1 beschrieben. In einer Ausführung des Verfahrens können neben Daten zur Identifikation weitere Daten übertragen werden, die für einen optimalen Ladevorgang benutzbar sind.

Die US-Anmeldung US 2011/0140835 A1 beschreibt ein Verfahren mit einer durch Kennwortverschlüsselung gesicherten datentechnischen Kommunikation zur Authentifizierung zwischen einem Elektrofahrzeug und einer Ladestation als Vorbedingung einer Autorisierung eines Ladevorgangs, wobei die

datentechnische Kommunikation über ein drahtgebundenes oder drahtloses Netzwerk erfolgt. Die Authentifizierung dient nach einer Beendigung des

Ladevorgangs weiterhin zu einer korrekten Zuordnung einer Energiesteuer auf einen geladenen Energiewert zu dem am Ladevorgang beteiligten

Elektrofahrzeug.

Während beim Betanken mit Flüssigkraftstoff wesentliche Risiken darin liegen, dass sich der Kraftstoff während des Betankens entzündet, bestehen bei einem Ladevorgang einer Batterie erhebliche Risiken für die Funktionssicherheit der Batterie und anderer, am Ladeprozess beteiligter Komponenten. Die Batterie des Elektrofahrzeugs ist ein großer Kostenfaktor, und Beschädigungen sind mit einem hohen finanziellen Risiko verbunden. Zudem handelt es sich beim

Ladevorgang von Elektrofahrzeugen im Gegensatz zu traditionellen

Betankungsvorgängen mit Flüssigkeitskraftstoffen zumeist um einen

unbeaufsichtigten Prozess, der möglicherweise im öffentlichen Raum stattfindet. Potentiell können erhebliche gesundheitliche Schäden hervorgerufen werden; im Falle eines Abbrandes oder einer Explosion besteht insbesondere Gefahr für Leib und Leben. Deshalb ist eine Uberprüfung und Zertifizierung der Funktionssicherheit aller am Ladeprozess beteiligten Komponenten von erheblicher Bedeutung. Eine grundsätzliche Prüfung der Funktionssicherheit von Komponenten der

Elektromobilitätstechnik, insbesondere von Elektrofahrzeugen und

Ladestationen, erfolgt im Design- und Herstellungsprozess, bei der

Inbetriebnahme und bei regelmäßigen technischen Abnahmen bzw. Prüfungen und dient der Parametrierung bzw. Einhaltung der Parametrierung zuvor genannter Normen. Bei jedem beabsichtigten Ladevorgang des Elektrofahrzeugs unter Verwendung einer Ladestation im öffentlichen oder privaten Raum muss jedoch zur Erhöhung der Sicherheit die Frage neu beantwortet werden, ob die direkt am Ladevorgang beteiligten technischen Komponenten des Fahrzeugs und der Ladestation zum Zeitpunkt des geplanten Ladevorgangs vollständig funktionstüchtig sind.

Es ist daher insbesondere die Aufgabe der Erfindung, ein Verfahren anzugeben, das vor einem Ladevorgang eines Elektrofahrzeugs oder im Zuge einer Prüfung eine Sicherstellung der aktuellen technischen Funktionssicherheit von an einem Ladevorgang beteiligten Komponenten der Elektromobilitätstechnik,

insbesondere von Elektrofahrzeugen und Ladestationen, erlaubt, um die

Sicherheit des Ladevorgangs zu erhöhen.

Offenbarung der Erfindung

Zunächst sollen zum eindeutigen Verständnis der folgenden Offenbarung einige Begriffe festgelegt werden, die in der nachfolgenden Beschreibung auftreten.

Unter einer„Authentifizierung" soll in diesem Zusammenhang insbesondere die Erbringung eines Nachweises hinsichtlich spezifischer Eigenschaften verstanden werden.

Unter einer„Identifizierung" soll in diesem Zusammenhang insbesondere eine Authentifizierung hinsichtlich einer Identität verstanden werden.

Unter einer„Zertifizierung" soll in diesem Zusammenhang insbesondere der Nachweis der Einhaltung bestimmter Anforderungen verstanden werden. Unter einer„Autorisierung" soll in diesem Zusammenhang insbesondere die

Zuweisung einer Berechtigung verstanden werden.

Gegenstand der vorliegenden Erfindung ist ein Verfahren zur Sicherstellung der Funktionssicherheit von an einem Ladevorgang beteiligten Komponenten der

Elektromobilitätstechnik eines Akteurs, der insbesondere als Elektrofahrzeug oder elektrische Ladestation ausgebildet ist, in Zusammenhang mit dem

Ladevorgang oder im Zuge einer Prüfung, wobei zumindest eine der beteiligten Komponenten ein Modul zur Umsetzung von Sicherheitsfunktionen umfasst, in dem ein erstes zugeordnetes Zertifikat einer technischen Prüfstelle bezüglich eines Mittels zur Ausführung einer Selbstdiagnose der Komponente und ein

zweites zugeordnetes Zertifikat eines Herstellers hinterlegt ist.

Es wird vorgeschlagen, dass das Verfahren folgende Schritte umfasst:

(1 a) Aktivierung einer Selbstdiagnose,

(1 b) Ausstatten eines Ergebnisses der Selbstdiagnose der Komponente mit einer

Signatur mittels des zweiten zugeordneten Zertifikats des Herstellers,

(1 c) Übermittlung der mit den Signaturen versehenen Ergebnisse der

Selbstdiagnosen und einer Zuordnung der Ergebnisse zum Akteur an die technische Prüfstelle,

(1 d) Kontrolle einer Gültigkeit der Signaturen und Validierung der Ergebnisse der

Selbstdiagnosen, und

(1 e) Entscheidung über die Ausstellung eines temporären Zertifikats aufgrund der

Gültigkeit der Komponentensignaturen und eines Ergebnisses der Validierung.

Unter einem„Modul zur Umsetzung von Sicherheitsfunktionen" soll in diesem

Zusammenhang insbesondere ein an eine Komponente gebundenes

Hardware/Software-Modul verstanden werden, welches die Integrität der

Selbstdiagnoseverfahren gewährleistet sowie die Ergebnisse der Selbstdiagnose mittels digitaler Zertifikate schützt. Beispielsweise kann das Modul von einem Trusted Platform Module (TPM) gebildet sein, das zumindest einen an eine Hardware-Instanz gebundenen Chip umfasst, der einem Standard der Trusted Computing Group (TCG) entspricht.

Unter einer "technischen Prüfstelle" soll in diesem Zusammenhang insbesondere eine Stelle oder eine durch die Stelle befähigte technische Prüfeinheit verstanden werden, die zur technischen Abnahme von Elektrofahrzeugen und Ladestationen und insbesondere der an einem Ladevorgang beteiligten Komponenten der

Elektromobilitätstechnik berechtigt ist.

Durch das erfindungsgemäße Verfahren kann erreicht werden, dass die beteiligten Komponenten ihre Funktionssicherheit vor dem Ladevorgang in situ nachweisen, wodurch eine funktionale Sicherheit für Ladevorgänge bei Elektrofahrzeugen gesteigert werden kann. Insbesondere kann aufgrund der Entscheidung über die Ausstellung eines temporären Zertifikats eine Autorisierung der beteiligten Komponenten der Elektromobilitätstechnik zu einer Durchführung des Ladevorgangs erfolgen. Dabei kann insbesondere über eine Gültigkeitsdauer des temporären Zertifikats festgelegt werden, in welchen zeitlichen Intervallen ein Funktionsnachweis notwendig ist.

In einer vorteilhaften Ausgestaltung wird vorgeschlagen, dass die Schritte (1 d) und (1 e) von der technischen Prüfstelle ausgeführt werden. Dadurch kann eine besonders hohe Sicherheit für Ladevorgänge bei Elektrofahrzeugen erreicht werden.

In einer weiteren vorteilhaften Ausgestaltung wird vorgeschlagen, dass zum

Zweck eines gegenseitigen Nachweises der Funktionssicherheit bei mehreren

Akteuren in dem Schritt (1 e) zumindest die Entscheidung hinsichtlich des

Ergebnisses der Validierung gemeinsam von den beteiligten Komponenten der Akteure ausgeführt wird. Hierzu können beispielsweise die Komponenten nur dann gemeinsam eine gültige Signatur erstellen, wenn alle

Selbstdiagnoseergebnisse positiv sind. Dadurch, dass die Entscheidung

hinsichtlich des Ergebnisses der Validierung teilweise durch die beteiligten

Komponenten erfolgt, kann eine kürzere Ausführungszeit bei einer ausreichend hohen Sicherheit des Ladevorgangs erzielt werden.

Weiterhin wird vorgeschlagen, dass bei der Ausstellung des temporären

Zertifikats eine Entscheidung über eine Funktionseinschränkung getroffen wird.

Dadurch kann eine Granularität auf funktionaler Ebene und somit eine flexible

Fallbehandlung erreicht werden. Beispielsweise kann einem Elektrofahrzeug ein Ladevorgang nach Ladebetriebsart-4 gemäß IEC 62251 -1 verwehrt, das Laden nach Ladebetriebsart-3 jedoch ermöglicht werden. Des Weiteren wird vorgeschlagen, dass nach dem Schritt (1 a) und vor dem Schritt (1 b) für jede der beteiligten Komponenten folgende Schritte ausgeführt werden:

(2a) Durchführung eines Integritätstests eines Selbstdiagnoseverfahrens der beteiligten Komponente unter Verwendung des Moduls zur Umsetzung von Sicherheitsfunktionen, und

(2b) Durchführung des Selbstdiagnoseverfahrens der beteiligten

Komponente bei einem positiven Ergebnis des Integritätstests.

Dadurch können Manipulationen an den Selbstdiagnoseverfahren, die beispielsweise als Softwareprogramm vorliegen und bekanntermaßen

Manipulationsangriffen ausgesetzt sein können, mit guter Sicherheit unterbunden werden, um die Sicherheit für Ladevorgänge bei Elektrofahrzeugen zu erhöhen.

Wenn das erste zugeordnete Zertifikat von der technischen Prüfstelle nach einer erfolgreichen Prüfung eines Mittels zur Ausführung einer Selbstdiagnose der Komponente erteilt wird, ist eine Einhaltung von Kriterien, die durch die Prüfstelle festgelegt werden können, zur Erfüllung der funktionalen Sicherheit der

Komponente in besonders einfacher Weise ermöglicht, um eine Einheitlichkeit von Anforderungen an die Sicherheit für Ladevorgänge bei Elektrofahrzeugen zu erreichen.

Ferner wird vorgeschlagen, dass die Aktivierung der Selbstdiagnose durch einen Trigger ausgelöst wird. Dabei kann der Anschluss eines Elektrofahrzeugs, einer Ladestation oder eines Prüfstellen-Testautomaten beispielsweise als Trigger für die Aktivierung der Selbstdiagnose vorteilhaft definiert werden. Darüber hinaus kann ein Trigger vorteilhaft definiert werden durch eine Erfüllung einer vorbestimmten Vorgabe, die beispielsweise von einer vorbestimmten Ladezeit oder einer vorbestimmten Anzahl von Ladezyklen gebildet sein kann, oder die durch Überschreitung einer vorbestimmten Frist vor einem Ablauf einer

Gültigkeitsfrist des temporären Zertifikats erfüllt wird. Dadurch kann eine hohe Flexibilität bei der Ausgestaltung von zu erfüllenden Anforderungen an die Sicherheit für Ladevorgänge bei Elektrofahrzeugen erreicht werden.

Zudem wird vorgeschlagen, dass die Kontrolle der Gültigkeit der Signaturen in Schritt (1 d) des Verfahrens auf der Grundlage eines zu einem früheren Zeitpunkt bei der technischen Prüfstelle von dem Hersteller der jeweiligen Komponente hinterlegten öffentlichen Teils des zweiten zugeordneten Zertifikats des

Herstellers erfolgt. Dadurch kann eine besonders manipulationssichere

Validierung der Ergebnisse der Selbstdiagnosen erreicht werden.

Wenn die Entscheidung über die Ausstellung des temporären Zertifikats aufgrund der Gültigkeit der Komponentensignaturen und des Ergebnisses der Validierung in einer automatisierten Form ausgeführt wird, kann eine besonders schnelle und für Benutzer von Elektrofahrzeugen komfortable Lösung eines sicheren

Ladevorgangs bereitgestellt werden.

In einer weiteren vorteilhaften Ausführung des Verfahrens sind das erste zugeordnete Zertifikat der technischen Prüfstelle und das zweite zugeordnete Zertifikat des Herstellers von zumindest einem Wurzel-Zertifikat abgeleitet. Unter einem "Wurzel-Zertifikat" (root certificate) soll in diesem Zusammenhang insbesondere ein unsigniertes Public-Key-Zertifikat oder selbstsigniertes

Zertifikat einer oberen Zertifizierungsstelle (Root Certificate Authority) verstanden werden, das dazu dient, die Gültigkeit aller untergeordneten Zertifikate zu validieren. Das Wurzel-Zertifikat ist ein wichtiger Bestandteil eines Public-Key- Infrastruktursystems (PKI-Systems) und kann bevorzugt auf dem ISO X.509-

Standard basieren. Dadurch kann vorteilhaft eine Zertifikatskette gebildet werden, durch die der Hersteller und die technische Prüfstelle dazu berechtigt werden können, rechtswirksame Zertifikate für Prüfprozesse oder für hergestellte Komponenten auszustellen, was zu einer erheblichen Vereinfachung bei der Durchführung des Verfahrens, insbesondere in Anbetracht einer Anzahl hergestellter Produkte eines Herstellers oder mehrerer Hersteller, führen kann.

Des Weiteren wird vorgeschlagen, dass die Ausstellung des temporären

Zertifikats sowohl im Zuge einer regelmäßig vorgesehenen Prüfung durch die technische Prüfstelle zur technischen Abnahme von Komponenten der

Elektromobilitätstechnik eines Akteurs, der insbesondere als Elektrofahrzeug oder elektrische Ladestation ausgebildet ist, erfolgen kann, als auch

vollautomatisiert im Zuge eines einzelnen Ladevorgangs. Dadurch kann ein Prüfumfang der aktivierten Selbstdiagnose(n) in Abhängigkeit von der Art der Prüfung unterschiedlich ausgestaltet werden. Zeichnung

Weitere Vorteile ergeben sich aus der folgenden Zeichnungsbeschreibung. In der Zeichnung ist ein Ausführungsbeispiel der Erfindung dargestellt. Die Zeichnung, die Beschreibung und die Ansprüche enthalten zahlreiche Merkmale in Kombination. Der Fachmann wird die Merkmale zweckmäßigerweise auch einzeln betrachten und zu sinnvollen weiteren Kombinationen zusammenfassen.

Es zeigt:

Fig. 1 ein Ablaufschema eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens.

Beschreibung des Ausführungsbeispiels

Fig. 1 zeigt ein Ablaufschema eines Ausführungsbeispiels des

erfindungsgemäßen Verfahrens zur Sicherstellung der Funktionssicherheit einer an einem Ladevorgang beteiligten Komponente 5 der Elektromobilitätstechnik eines Akteurs 4, der insbesondere als Elektrofahrzeug oder elektrische

Ladestation ausgebildet ist, in Zusammenhang mit dem Ladevorgang oder im Zuge einer Prüfung. In Fig. 1 ist zur Vereinfachung lediglich ein Akteur 4 als Repräsentant eines Elektrofahrzeugs oder einer elektrischen Ladestation dargestellt. Das Verfahren ist darüber hinaus jedoch auf weitere Akteure übertragbar.

Wesentliche Objekte des Ablaufschemas sind eine Wurzel-Zertifizierungsstelle 1 , ein Hersteller 2 der an dem Ladevorgang beteiligten Komponente 5 der

Elektromobilitätstechnik, eine technische Prüfstelle 3 und der Akteur 4 als Repräsentant eines Elektrofahrzeugs oder einer Ladestation, welcher in einem betriebsbereiten Zustand die Komponente 5 der Elektromobilitätstechnik umfasst. Die Komponente 5 umfasst dabei ein Modul 6 zur Umsetzung von

Sicherheitsfunktionen und weist ein Mittel zur Durchführung von

Selbstdiagnoseverfahren der Komponente 5 auf. Eine Kommunikation zwischen den wesentlichen Objekten, die über einen beliebigen Kommunikationskanal hergestellt wird, ist in der Fig. 1 durch gestrichelte Linien dargestellt. Bei der nachfolgenden Verfahrensbeschreibung sind aus Ubersichtsgründen die gegenseitige Authentifizierung und das Prüfen der Gültigkeit von Zertifikaten nicht dargestellt. Diese Vorgänge sind dem Fachmann bekannt und bedürfen keiner weiteren Erläuterung.

Zunächst sollen die Verfahrensschritte beschrieben werden, die in dem erfindungsgemäßen Verfahren eine Rahmenwirkung haben.

In einem ersten Schritt 13 registrieren sich die technische Prüfstelle 3 und die Hersteller 2 der Komponenten 5 der Elektromobilitätstechnik (in Fig. 1 ist zur Vereinfachung stellvertretend für alle Hersteller 2 der Komponenten 5 nur ein Hersteller 2 dargestellt) bei der vertrauenswürdigen Wurzel-Zertifizierungsstelle 1 und erhalten rechtswirksame digitale Hersteller-Zertifikate 8 bzw. ein

rechtswirksames digitales Prüfstellen-Zertifikat 9. Mit dem Hersteller-Zertifikat 8 bzw. mit dem Prüfstellen-Zertifikat 9 können der Hersteller 2 und die technische Prüfstelle 3 gemäß einer zugrundeliegenden Zertifikatskette eigene

rechtswirksame Zertifikate zu Prüfprozessen oder für Komponenten 5 ausstellen.

Die von den Herstellern 2 hergestellten Komponenten 5 der

Elektromobilitätstechnik weisen Mittel zur Durchführung von

Selbstdiagnoseverfahren auf. Die technische Prüfstelle 3 prüft die Mittel zur Durchführung der Selbstdiagnoseverfahren der Komponenten 5 und erteilt den Herstellern 2 nach einer erfolgreichen Prüfung 14 der Selbstdiagnoseverfahren der Komponente 5 ein erstes, dem Selbstdiagnoseverfahren der Komponente 5 zugeordnetes Zertifikat 10. Die Prüfung gilt als erfolgreich, wenn von der technischen Prüfstelle 3 festgelegte Kriterien zur Erfüllung der funktionalen Sicherheit der Komponenten 5 erfüllt sind.

In einem Herstellungsprozess 15 der Komponente 5 wird das Mittel zur

Durchführung des Selbstdiagnoseverfahrens einschließlich des ersten

Zertifikates 10 der technischen Prüfstelle 3 an die Komponente 5 gebunden. Hierzu ist jede der Komponenten 5 mit einem Modul 6 zur Umsetzung von Sicherheitsfunktionen versehen, um die Integrität des zertifizierten

Selbstdiagnoseverfahrens zu wahren. Während des Herstellungsprozesses 15 der Komponente 5 wird zudem ein digitales zweites, der Komponente 5 zugeordnetes Zertifikat 1 1 des Herstellers 2 im jeweiligen Modul 6 zur Umsetzung von Sicherheitsfunktionen erstellt. Wie im Folgenden noch ausführlich erläutert wird, werden mit diesem zweiten

Zertifikat 1 1 sämtliche Ergebnisse des Selbstdiagnoseverfahrens der

Komponente 5 signiert. Ein öffentlicher Teil des zweiten Zertifikats 1 1 wird vom Hersteller 2 als„Privacy Certification Authority" beglaubigt und in einem

Schritt 16 der technischen Prüfstelle 3 übermittelt. Im Zuge des

Installationsprozesses 17 werden die Komponenten 5 dem Akteur 4 zugeordnet und in Betrieb genommen.

Somit umfasst zumindest eine der Komponenten 5 des an dem Ladevorgang beteiligten Akteurs 4 ein Modul 6 zur Umsetzung von Sicherheitsfunktionen, in dem das erste zugeordnete Zertifikat 10 der technischen Prüfstelle 3 bezüglich des Mittels zur Ausführung der Selbstdiagnose der Komponente 5 und das zweite zugeordnete Zertifikat 1 1 des Herstellers 2 hinterlegt sind. Für jede der Komponenten 5 des Akteurs 4 sind das erste zugeordnete Zertifikat 10 der technischen Prüfstelle 3 und das zweite zugeordnete Zertifikat 1 1 des

Herstellers 2 über das Hersteller-Zertifikat 8 und das Prüfstellen-Zertifikat 9 von einem Wurzel-Zertifikat 7 der Wurzelzertifizierungsstelle 1 abgeleitet.

Damit ist der Rahmen für eine Durchführung eines sicheren Ladevorgangs zwischen dem als Elektrofahrzeug ausgebildeten Akteur 4 und einem als Ladestation ausgebildeten Akteur 4' abgesteckt, der im Folgenden im Detail beschrieben wird.

Beschreibung des Ladevorgangs

Ein Anschluss eines Ladekabels an die Akteure 4 als Repräsentanten eines Elektrofahrzeugs oder einer Ladestation wirkt auf die jeweils installierte

Komponente 5 wie ein Trigger 18 zur Aktivierung des Mittels dieser

Komponente 5 zur Durchführung einer Selbstdiagnose. Weitere Trigger 18 zur Aktivierung des Mittels zur Durchführung einer Selbstdiagnose, wie z. B. die Definition eines vorbestimmten und in dem Akteur 4 hinterlegten Wertes einer maximalen Anzahl von Ladevorgängen zwischen zwei Selbstdiagnosen sind denkbar. Um sprachliche Unklarheiten zu vermeiden, werden die nachfolgenden

Schritte 19-24 so beschrieben, wie sie an genau einer der Komponenten 5 ausgeführt werden. Erfindungsgemäß werden die Schritte 19-24 jedoch an zumindest einer der an dem Ladevorgang beteiligten Komponenten 5 ausgeführt.

In einem nächsten Schritt 19 wird unter Verwendung des Moduls 6 zur

Umsetzung von Sicherheitsfunktionen der in dem Ladevorgang beteiligten Komponente 5 ein Integritätstest des von einem Selbstdiagnoseverfahren gebildeten Mittels zur Durchführung der Selbstdiagnose der beteiligten

Komponente 5 durchgeführt.

Bei einem positiven Ergebnis des Integritätstests wird in einem nächsten

Schritt 20 an der an dem Ladevorgang beteiligten Komponente 5 das

Selbstdiagnoseverfahren durchgeführt.

Im nächsten Schritt 21 wird das Ergebnis der Selbstdiagnose der an dem

Ladevorgang beteiligten Komponente 5 mit einer Signatur mittels des zweiten zugeordneten Zertifikats 1 1 des Herstellers 2 ausgestattet.

Im darauffolgenden Schritt 22 wird das mit der Signatur versehene Ergebnis der Selbstdiagnose und einer Zuordnung des Ergebnisses zum Akteur 4 an die technische Prüfstelle 3 übermittelt.

Die technische Prüfstelle 3 führt im folgenden Schritt 23 eine Kontrolle einer Gültigkeit der Signaturen und eine Validierung der Ergebnisse der

Selbstdiagnosen durch. Die Kontrolle der Gültigkeit der Signaturen erfolgt dabei auf der Grundlage des im Schritt 16 von dem Hersteller 2 der Komponente 5 bei der technischen Prüfstelle 3 hinterlegten öffentlichen Teils des zweiten zugeordneten Zertifikats 1 1 des Herstellers 2.

In einem letzten Schritt 24 des Verfahrens fällt die technische Prüfstelle 3 eine Entscheidung über die Ausstellung eines temporären digitalen Zertifikats 12. Aufgrund der zuvor signierten Ergebnisse der Selbstdiagnosen der

Komponenten 5 kann der Schritt 24 in einer automatisierten Form erfolgen.

Wenn alle Kriterien zur funktionalen Sicherheit der Komponenten 5 des Akteurs 4 erfüllt sind, wird das temporäre Zertifikat 12 in uneingeschränkter Form ausgestellt, wodurch die beteiligten Komponenten 5 zur Durchführung des Ladevorgangs autorisiert sind. Werden bestimmte Kriterien nicht erfüllt, kann bei der Ausstellung des temporären Zertifikats 12 eine Entscheidung über eine Funktionseinschränkung getroffen werden. Beispielsweise kann der Akteur 4 als Repräsentant eines Elektrofahrzeugs nicht zur Durchführung eines

Ladevorgangs nach Ladebetriebsart-4 gemäß IEC 62251 -1 , jedoch zur

Durchführung eines Ladevorgangs nach Ladebetriebsart-3 autorisiert werden.

Das temporäre Zertifikat 12 kann im Akteur 4 hinterlegt werden. Damit wird ermöglicht, innerhalb einer Gültigkeitsdauer des temporären Zertifikats 12 die

Funktionssicherheit der beteiligten Komponente 5 nachzuweisen.

Bezugszeichenliste

1 Wurzel-Zertifizierungsstelle

2 Hersteller

3 technische Prüfstelle

4 Akteur

5 Komponente der

Elektromobilitätstechnik

6 Modul zur Umsetzung von

Sicherheitsfunktionen

7 Wurzel-Zertifikat

8 Hersteller-Zertifikat

9 Prüfstellen-Zertifikat

10 erstes Zertifikat

1 1 zweites Zertifikat

12 temporäres Zertifikat

13 Schritt (Registrierung)

14 Prüfung

Selbstdiagnoseverfahren

(Erstellung erstes Zertifikat)

15 Herstellungsprozess (Erstellung zweites Zertifikat)

16 Schritt (Übermittlung)

17 Installationsprozess

18 Schritt (1 a) Trigger

19 Schritt (2a)

20 Schritt (2b)

21 Schritt (1 b)

22 Schritt (1 c)

23 Schritt (1 d)

24 Schritt (1 e)