(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023180314
(43)【公開日】2023-12-21
(54)【発明の名称】充電制御装置、および充電制御方法
(51)【国際特許分類】
H02J 7/04 20060101AFI20231214BHJP
G06Q 50/06 20120101ALI20231214BHJP
B60L 53/66 20190101ALI20231214BHJP
B60L 53/65 20190101ALI20231214BHJP
【FI】
H02J7/04 H
G06Q50/06
B60L53/66
B60L53/65
【審査請求】未請求
【請求項の数】12
【出願形態】OL
(21)【出願番号】P 2022093493
(22)【出願日】2022-06-09
(71)【出願人】
【識別番号】000237592
【氏名又は名称】株式会社デンソーテン
(74)【代理人】
【識別番号】110002860
【氏名又は名称】弁理士法人秀和特許事務所
(72)【発明者】
【氏名】長岡 義矩
【テーマコード(参考)】
5G503
5H125
5L049
【Fターム(参考)】
5G503AA01
5G503BA01
5G503BB01
5G503CA10
5G503DA04
5G503FA06
5G503GD03
5G503GD04
5G503GD06
5H125AA01
5H125AC12
5H125AC22
5H125BE02
5H125CC06
5H125DD03
5L049CC06
(57)【要約】
【課題】バッテリーを搭載した装置への充電のための認証において、充電を受ける装置と充電設備との間の不都合を極力抑制する。
【解決手段】制御部は、バッテリーを充電する外部の充電装置との間で第1の認証手続を実施することと、第1の認証手続において異常が検知された場合に、検知された異常の種類に応じて第1の認証手続または第1の認証手続に代わる第2の認証手続が実施されるように設定することと、を実行する。
【選択図】
図1
【特許請求の範囲】
【請求項1】
バッテリーを搭載した装置に設けられる充電制御装置であって、
前記バッテリーを充電する外部の充電装置との間で第1の認証手続を実施することと、
前記第1の認証手続において異常が検知された場合に、前記異常の種類に応じて前記第1の認証手続または前記第1の認証手続に代わる第2の認証手続を実施することと、を実行する制御部を備える充電制御装置。
【請求項2】
証明書を記憶する記憶装置をさらに備え、
前記制御部は
前記異常が前記記憶装置に記憶された第1の証明書が有効でないことに起因する場合には、前記第1の証明書の発行が可能なネットワーク上の管理装置に有効な第1の証明書を発行させて前記第1の認証手続を実施し、
前記異常が前記第1の証明書と前記充電装置の保持する証明書とが整合しないことに起因する場合で、かつ、前記充電装置の保持する証明書を特定する情報を前記充電装置から取得できた場合には、前記充電装置の保持する証明書に整合する前記第1の証明書を前記管理装置に発行させて前記第1の認証手続を実施すること、を実行する請求項1に記載の充電制御装置。
【請求項3】
前記制御部は、
前記異常が前記第1の証明書と前記充電装置の保持する証明書とが整合しないことに起因する場合で、かつ、前記充電装置の保持する証明書を特定する情報を前記充電装置から取得できない場合には、次回以降の充電において、前記充電装置との間で前記第1の認証手続に代わる前記第2の認証手続が実施されるように前記充電装置の識別情報を記憶することを実行する請求項2に記載の充電制御装置。
【請求項4】
前記制御部は、
前記異常が前記充電装置に保持された証明書が有効でないことに起因する場合には、前記充電装置との間で前記第1の認証手続に代わる前記第2の認証手続が実施されるように前記充電装置の識別情報を記憶することを実行する請求項1に記載の充電制御装置。
【請求項5】
前記第1の証明書は前記充電装置との間の通信の安全を確保するための証明書であり、
前記制御部は、前記第1の証明書によって前記充電装置との間の通信の安全が確保された後に、前記充電装置から充電を受けるための第2の証明書を有していない場合には、前記管理装置に前記第2の証明書の発行を要求し、
前記要求に対して、前記管理装置から前記第2の証明書が取得できた場合には、前記充電装置との間で前記第1の認証手続を実施する請求項2に記載の充電制御装置。
【請求項6】
前記制御部は、
前記要求に対して、前記管理装置から前記第2の証明書が取得できない場合には、前記第2の証明書の識別情報を記憶しておき、次回以降の充電において、前記第2の証明書が取得できているか否かを判定し、前記第2の証明書を取得できていない場合には、前記充電装置との間で前記第1の認証手続に代えて、前記第2の認証手続を実施する請求項5に記載の充電制御装置。
【請求項7】
バッテリーを搭載した装置に設けられる充電制御装置が、
前記バッテリーを充電する外部の充電装置との間で第1の認証手続を実施することと、
前記第1の認証手続において異常が検知された場合に、前記異常の種類に応じて前記第1の認証手続または前記第1の認証手続に代わる第2の認証手続を実施することと、を実行する充電制御方法。
【請求項8】
前記充電制御装置は、
前記異常が前記充電制御装置に記憶された第1の証明書が有効でないことに起因する場合には、前記第1の証明書の発行が可能なネットワーク上の管理装置に有効な第1の証明書を発行させて前記第1の認証手続を実施し、
前記異常が前記第1の証明書と前記充電装置の保持する証明書とが整合しないことに起因する場合で、かつ、前記充電装置の保持する証明書を特定する情報を前記充電装置から取得できた場合には、前記充電装置の保持する証明書に整合する前記第1の証明書を前記管理装置に発行させて前記第1の認証手続を実施すること、を実行する請求項7に記載の充電制御方法。
【請求項9】
前記充電制御装置は、
前記異常が前記第1の証明書と前記充電装置の保持する証明書とが整合しない場合で、かつ、前記充電装置の保持する証明書を特定する情報を前記充電装置から取得できない場合には、次回以降の充電において、前記充電装置との間で前記第1の認証手続に代わる前記第2の認証手続が実施されるように前記充電装置の識別情報を記憶することを実行する請求項8に記載の充電制御方法。
【請求項10】
前記充電制御装置は、
前記異常が前記充電装置に保持された証明書が有効でないことに起因する場合には、前記充電装置との間で前記第1の認証手続に代わる前記第2の認証手続が実施されるように前記充電装置の識別情報を記憶することを実行する請求項7に記載の充電制御方法。
【請求項11】
前記第1の証明書は前記充電装置との間の通信の安全を確保するための証明書であり、
前記充電制御装置は、前記第1の証明書によって前記充電装置との間の通信の安全が確保された後に、前記充電装置から充電を受けるための第2の証明書を有していない場合には、前記装置に前記第2の証明書の発行を要求し、
前記要求に対して、前記管理装置から前記第2の証明書が取得できた場合には、前記充電装置との間で前記第1の認証手続を実施する請求項8に記載の充電制御方法。
【請求項12】
前記充電制御装置は、
前記要求に対して、前記管理装置から前記第2の証明書が取得できない場合には、前記第2の証明書の識別情報を記憶しておき、次回以降の充電において、前記第2の証明書が取得できているか否かを判定し、前記第2の証明書を取得できていない場合には、前記充電装置との間で前記第1の認証手続に代えて、前記第2の認証手続を実施する請求項11に記載の充電制御方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、充電制御装置、および充電制御方法に関するものである。
【背景技術】
【0002】
外部から電源をつないで走行用バッテリーに充電できる車両(以下、電動車という)として、バッテリー式電気自動車(Battery Electric Vehicle、BEV車)、プラグインハイブリッド(PHV)車等が知られている。また、走行用バッテリーへの充電における課金方式として、主に外部認証方式(External Identification Means(EIM))とプラ
グ&チャージ(Plug and Charge(PnC))が提案されている。
【0003】
外部認証方式の場合、車両の使用者が、現金、電子マネー、プリペイドカード、クレジットカードなどを用いて、充電器の設置場所または充電器本体で、課金に対する支払いを実施する。一方、PnCでは、充電スタンドに設置された充電機器のプラグを車両に接続すると課金及び充電が可能となる。
【先行技術文献】
【特許文献】
【0004】
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかし、PnCによる課金および充電のサービスの開始後の初期段階では、電動車等のバッテリーを搭載した装置と充電設備との間の認証方式の互換性、認証情報の有効性、契約の有効性等の不備に起因して様々な事象が起こり得る。開示される実施の形態の側面は、バッテリーを搭載した装置への充電のための認証において、充電を受ける装置と充電設備との間の不都合を極力抑制する。
【課題を解決するための手段】
【0006】
本開示の実施の形態は、バッテリーを搭載した装置に設けられる充電制御装置によって例示される。本充電制御装置は、制御部を備える。この制御部は、バッテリーを充電する外部の充電装置との間で第1の認証手続を実施することと、第1の認証手続において異常が検知された場合に、検知された異常の種類に応じて前記第1の認証手続または前記第1の認証手続に代わる第2の認証手続が実施されるように設定することと、を実行する。
【発明の効果】
【0007】
バッテリーを搭載した装置への充電のための認証において、充電を受ける装置と充電設備との間の不都合が極力抑制される。
【図面の簡単な説明】
【0008】
【
図1】
図1は、本実施の形態の充電システムの構成を例示する図である。
【
図2】
図2は、証明書チェーンと認証局の関係を例示する図である。
【
図3】
図3は、充電システムのハードウェアの構成を例示する図である。
【
図4】
図4は、電動車の充電制御装置と充電設備との間のPnCでの課金処理までの手順を例示するシーケンス図である。
【
図5】
図5は、電動車が充電設備にV2G ROOT証明書を通知して異常が検知されたときの処理例である。
【
図6】
図6は、充電設備において、証明書チェーンの有効性が確認でなかった場合の電動車の充電制御装置による処理例である。
【
図7】
図7は、電動車の充電制御装置が充電設備に、Contract証明書を要求して異常が検出されたときの処理例である。
【発明を実施するための形態】
【0009】
以下、図面を参照して、一実施の形態に係る充電システムおよび充電制御方法を説明する。
(構成)
図1は、本実施の形態の充電システムの構成を例示する図である。本充電システムは、電動車1と、電動車1のバッテリー(二次電池、蓄電池ともいう)に電力を供給する充電設備(Electric Vehicle Supply Equipment、EVSV)2を有する。なお、
図1では、
認証局CA1、CA2および中間認証局(SUB-CA11、SUB-CA12、SUB-CA21、SUB-CA22)と、Original Equipment Manufacturer(OEM)サー
バ5も記載されている。認証局CA1、CA2は、Vehicle to Grid(V2G ROOT
)証明書等の証明書を発行する。OEMサーバ5は、電動車1の製造元または販売元による電動車1への証明書の提供等を実行する。
【0010】
本充電システムによる処理の前提として、電動車1が製造元または販売元から出荷されるときに、電動車1の記憶装置(例えば
図3の外部記憶部13)には、少なくとも1つの認証局CA1が発行するV2G ROOT証明書が保存されている。また、電動車1は、OEMサーバ5にアクセスすることで、V2G ROOT証明書を更新することができる。また、電動車1は、OEMサーバ5にアクセスすることで、認証局CA1以外の認証局CA2が発行するV2G ROOT証明書を取得することができる。なお、認証局の数が、2つに限定される訳ではない。
【0011】
一方、充電設備2には、少なくとも1つの認証局CA1が発行するV2G ROOT証明書と、このV2G ROOT証明書に関連付けられる証明書チェーンが保存される。証明書チェーンは、例えば、Charge Point Operator SUB-Certificate Authorities 11(CPO SUB-CA11)、CPO SUB-CA12、EVSV Leaf証明書等を含む。
【0012】
第1の認証手続として、PnCと呼ばれる手順では、充電設備2のプラグ2Bが電動車1の接続部(受電部ともいう)に挿入されると、充電設備2と電動車1との間で認証が実施される。そして、認証後に電動車1への充電と、充電に対する課金が実施される。PnCのため、電動車1と、充電設備2は、それぞれ、V2G ROOT証明書を記憶装置に保存している。なお、充電設備2は、充電設備2からアクセス可能なコンピュータ上に保存されたV2G ROOT証明書を参照するようにしてもよい。PnCは、第1の課金方式ということもできる。
【0013】
PnCでは、プラグ2Bによる充電設備2と電動車1との接続後、ユーザのV2G ROOT証明書が充電設備2に通知される(矢印P1)。そして、ユーザのV2G ROOT証明書が、充電設備2側に保存された事業者のV2G ROOT証明書によって認証される。この認証が完了すると、V2G ROOT証明書に関連付けされた階層的な構成を有する事業者の証明書チェーンが電動車1に応答される(矢印P2)。矢印P1と矢印P2による通信手順は、Transport Layer Security(TLS)ハンドシェークと呼ばれる。V2G ROOT証明書は、電動車1と充電設備2との間の通信の安全を確保するための第1の証明書ということができる。
【0014】
証明書チェーンは、認証局の階層に対応する。
図1のように、各認証局CA1、CA2等は、下位の認証局である中間認証局(SUB-CA11、SUB-CA12、SUB-
CA21、SUB-CA22等)を持つことができる。最上位にある認証局CA1、CA2はROOT認証局と呼ばれ、V2G ROOT証明書を発行する。また、下位の中間認証局の認証局証明書(CPO SUB-CA11証明書等)は、上位の認証局によって署名がされる。
図1の例の証明書チェーンでは、CPO SUB-CA11証明書、CPO
SUB-CA12証明書、EVSV Leaf証明書が例示されている。
図1の例では、証明書チェーンには、少なくとも1つのCPO SUB-CA11証明書等と、EVSV Leaf証明書が含まれる。
【0015】
電動車1は、ユーザのV2G ROOT証明書を基に証明書チェーンを上位から下位に順に認証することで、最終的には、EVSV Leaf証明書を認証できる。電動車1は、EVSV Leaf証明書の認証に成功すると、充電設備2との通信に使用する秘密鍵を得ることができ、以降は秘密鍵による通信が実施される。これにより、TLSハンドシェークが完了する。
【0016】
TLSハンドシェークの完了後は、秘密鍵を用いたV2G通信が実行される。V2G通信では、電動車1からの要求(P3)と、充電設備2からの応答(P4)が相互に送信され、充電と課金が実施される。このV2G通信では、充電の他、例えば、課金の詳細が定義されたContract証明書が充電設備2から電動車1に応答される。Contract証明書は、電動車1が充電設備2から充電を受けるための第2の証明書ということができる。
【0017】
なお、電動車への充電においては、上記のようなPnCによる通信以外に、第2の認証手続として、EIMを提示することによる外部認証方式の手順も可能である。外部認証方式は、例えば、クレジットカード、QRコード(登録商標)、RFID等により、課金情報を授受する処理である。EIMを提示することによる外部認証方式は、第2の課金方式ということもできる。
【0018】
図2は、証明書チェーンと認証局CA1の関係を例示する図である。
図2では、下位の認証局であるSUB-CA11、SUB-CA12および証明書の有効性を応答する機関のコンピュータであるOnline Certificate Status Protocol(OCSP)レスポンダも記載されている。
【0019】
本実施の形態では、充電設備2は充電事業会社によって提供される。充電事業会社は、充電設備2により、電動車1への充電サービスを実施する事業者である。ただし、充電事業会社は、電力を提供する電力事業者であって、一方、充電設備2は、電力事業者以外の他の事業者により提供されてもよい。ここで、他の事業者は、例えば、電力を提供する事業者から電力の供給を受け、充電設備2を運用する事業者である。
【0020】
充電設備2には、認証局CA1および中間認証局(SUB-CA11、SUB-CA12等)から、証明書チェーンが提供される。なお、中間認証局の数が2局に限定される訳ではない。証明書チェーンは、V2G ROOT証明書、CPO SUB-CA11証明書、CPO SUB-CA12証明書、EVSV Leaf証明書等を含む。証明書チェーンは、充電設備2に内蔵される記憶装置に保存されてもよい。また、証明書チェーンは、充電設備2が接続されるコンピュータに保存されてもよい。証明書チェーンが保存されるコンピュータは、充電設備2が設置されるサイト、例えば、充電スタンド、充電ステーションと呼ばれる場所に設けられてもよい。また、証明書チェーンが保存されるコンピュータは、充電設備2が設置されるサイトとネットワークで接続される事業者の管理コンピュータ等に保存されてもよい。充電設備2は、このようなコンピュータまたは管理コンピュータと連携して、電動車1との間でV2Gの通信において、証明書チェーンを用いて、電動車1への充電と課金を実行すればよい。
図1に例示した電動車1は、このような証明書チェーンを有する事業者の充電設備2にアクセスし、PnCによる充電を受けることが
できる。
【0021】
認証局CA1および中間認証局(SUB-CA11、SUB-CA12等)が発行する証明書は、事情により失効される場合がある。例えば、証明書が不正使用される可能性が生じたときに、認証局CA1および中間認証局(SUB-CA11、SUB-CA12等)のいずれかは、発行済みの証明書のいずれかを失効させることで、証明書チェーン全体の有効性をなくすことができる。このような失効した証明書は、失効リストとして公衆ネットワーク、例えば、インターネット上に公開される。
【0022】
OCSPレスポンダは、証明書チェーンの有効性を確認する事業者、または、事業者のコンピュータである。例えば、OCSPレスポンダは、証明書チェーンを有する事業者のコンピュータからの確認要求に対して、証明書の有効性を確認し、応答を事業者のコンピュータに返す。以下、事業者のコンピュータを単に事業者ともいう。OCSPレスポンダは、公衆ネットワーク上の失効リストにアクセスするか、または、認証局および中間認証局(SUB-CA11、SUB-CA12等)のデータベース等にアクセスして、証明書の有効性を確認する。
【0023】
したがって、充電事業会社、充電設備を運用する事業者等は、証明書チェーンの確認を要すると判断されるとき、または、定期的に、OCSPレスポンダに対して、それぞれの証明書の確認要求を行い、確認結果の応答を受ける。このような手順により、充電事業会社、充電設備を運用する事業者等は、証明書チェーンの有効性を認識し、把握できる。
【0024】
図3は、充電システムのハードウェアの構成を例示する図である。上述のように、本充電システムは、電動車1と、電動車1に搭載されたバッテリー19を充電する充電設備2とによって例示される。電動車1は、充電制御装置10と、充電制御装置10によって制御されるバッテリー19とを有している。
【0025】
充電制御装置10は、CPU11と、主記憶部12と、外部インターフェース(I/F)に接続される外部機器を有し、プログラムにより情報処理を実行する。外部機器としては、外部記憶部13、外部通信部16Aを例示できる。さらに、外部機器として、電力線通信部16Bが例示される。CPU11と主記憶部12を合わせて制御部ということができる。充電制御装置10が電動車1等の車両に搭載される場合には、制御部は、Electronic Control Unit(ECU)とも呼ばれる。
【0026】
CPU11は、主記憶部12に実行可能に展開されたコンピュータプログラムを実行し、充電制御装置10の機能を提供する。主記憶部12は、単にメモリとも呼ばれ、CPU11が実行するコンピュータプログラム、CPU11が処理するデータ等を記憶する。CPU11はプロセッサとも呼ばれる。
【0027】
主記憶部12は、Dynamic Random Access Memory(DRAM)、Static Random Access
Memory(SRAM)、Read Only Memory(ROM)等である。さらに、外部記憶部13
は、例えば、主記憶部12を補助する記憶領域として使用され、CPU11が実行するコンピュータプログラム、CPU11が処理するデータ等を記憶する。外部記憶部13は、ハードディスクドライブ、Solid State Drive(SSD)等である。
【0028】
外部通信部16Aは、公衆ネットワーク上の他の装置とデータを授受する。例えば、CPU11は、外部通信部16Aを通じて公衆ネットワーク上の事業者のコンピュータと通信する。外部通信部16Aは、携帯電話網にアクセスする無線通信装置であってもよい。また、外部通信部16Aは、無線(Local Area Network)LANにアクセスする通信装置であってもよい。
【0029】
電力線通信部16Bは、電力線通信部26Bと信号を送受信する。すなわち、電力線通信部16Bは、充電設備2とPower Line Communications(PLC)を実行する。なお、
電力線通信部16Bは内部にCPUと、メモリと、入出力インターフェース、通信インターフェース等を有してもよい。本実施の形態では、充電制御装置10は、外部通信部16Aまたは電力線通信部16Bにより、充電設備2と通信し、充電の要求および課金処理を実行する。
【0030】
また、充電制御装置10は、さらに、表示部、操作部を有してもよい。表示部は、例えば、液晶ディスプレイ、エレクトロルミネッセンスパネル等である。操作部は、例えば、キーボード、ポインティングデバイス等である。
【0031】
充電設備2の構成は、電動車1の充電制御装置10と同様である。充電設備2は、CPU21と、主記憶部22と、外部インターフェース(I/F)に接続される外部機器を有し、プログラムにより情報処理を実行する。外部機器としては、外部記憶部23、外部通信部26AおよびEIMリーダ2Aを例示できる。さらに、外部機器として、電力線通信部26Bが例示される。充電設備2のうち、EIMリーダ2A以外の構成は、電動車1の充電制御装置10と同様であるので、その説明を省略する。
【0032】
EIMリーダ2Aは、クレジットカード等のICカードから、接触または非接触で情報を読み取るカードリーダ、QRコード(登録商標)を読み取る画像読み取り装置、RFIDリーダ等である。
【0033】
電動車1の充電制御装置10と充電設備2は、電源回路29のプラグがバッテリー19を充電する電力回路に接続されると、例えば、電力線通信部16B、26Bによって相互に通信し、TLS認証およびV2G通信を実行する。電動車1の充電制御装置10と充電設備2は、TLS認証およびV2G通信により、相互に認証し、電動車1のバッテリー19への充電と、充電に対する課金処理を実行する。ただし、電動車1の充電制御装置10と充電設備2は、電源回路29のプラグがバッテリー19を充電する電力回路に接続されると、外部通信部16A、26Aを介して通信するようにしてもよい。
【0034】
(処理手順)
図4は、電動車1の充電制御装置10と充電設備2との間のPnCでの課金処理までの手順を例示するシーケンス図である。
図4の手順は、充電設備2のプラグ2Bが電動車1の受電部に接続されたときに開始する。この手順は、TLSハンドシェークと、ハンドシェーク後のV2G通信とを含む。
【0035】
TLSハンドシェークでは、電動車1は、自身が有するV2G ROOT証明書を充電設備2に通知する。一方、充電設備2は、電動車1から受けたV2G ROOT証明書を含むメッセージに対する応答を返す。TLSハンドシェークでは、電動車1から充電設備2への要求と、充電設備2から電動車1への応答によって、最終的には、電動車1と充電設備2が互いに秘密鍵を共有する。そして、秘密鍵を用いて、以降のV2G通信が実行される。
【0036】
ここで、PnCにおいて生じ得る問題点を例示する。ここでは、TLSハンドシェークおよびその後のV2G通信において、充電のための通信セッションが停止する事象の発生が想定される。まず、TLSハンドシェークにおいて生じ得る問題点を例示する。
【0037】
(1)充電設備2が電動車1から通知されたV2G ROOT証明書と同一のV2G ROOT証明書を検出できず、その結果、通信セッションが停止することが想定される。
これは、電動車1が保持するV2G ROOT証明書を発行した認証局と、充電設備2または充電設備2が参照可能な事業者のコンピュータが保持するV2G ROOT証明書を発行した認証局とが異なる場合である。V2G ROOT証明書を発行する認証局は複数存在する。このため、電動車1が保持するV2G ROOT証明書を発行した認証局と同一の認証局から、充電設備2または充電設備2が参照可能な事業者のコンピュータがV2G ROOT証明書の発行を受けているとは限らない。このような場合には、充電設備2は、TLSによるハンドシェークを続行できず、通信セッションが停止する。なお、電動車1から通知されたV2G ROOT証明書の有効期限が切れている場合等においても、充電設備2は、TLSによるハンドシェークを続行できず、通信セッションが停止する。
【0038】
(2)充電設備2が電動車1から通知されたV2G ROOT証明書と同一のV2G ROOT証明書を検出できない場合にさらに次のことが想定される。すなわち、このような場合、充電設備2が、電動車1から通知されたV2G ROOT証明書とは異なるV2G ROOT証明書に関連付けられた証明書チェーンを電動車1に送信することが想定される。この場合、電動車1が充電設備2から送信された証明書チェーンの異常を検出し、通信セッションが停止する。
【0039】
(3)充電設備2がオフライン時にOCSP応答が得られず、証明書チェーンの有効期限または有効性の検証ができない場合が想定される。充電設備2は、例えば、定期的にOCSPレスポンダに対して証明書チェーンの有効期限または有効性の検証を依頼している。例えば、電動車1から通知されたV2G ROOT証明書に関連付けられた証明書チェーンのいずれかの証明書に対して有効期限の検証がなされていない場合があり得る。このとき、充電設備2または充電設備2に接続される事業者のコンピュータが、OCSPレスポンダと通信できないオフライン状態であると、証明書チェーンが失効していないことを示すOCSP応答を得ることができない。このような場合には、充電設備2は、TLSによるハンドシェークを続行できず、通信セッションが停止する。
【0040】
次に、V2G通信において生じ得る問題点を例示する。これは、第1の証明書であるV2G ROOT証明書およびこれに関連付けられた証明書チェーンによって充電制御装置10と充電設備2との間の通信の安全が確保された後の処理における問題である。なお、V2G ROOT証明書は、充電制御装置10と充電設備2との間の通信の安全を確保するための証明書の一例ということができる。
【0041】
(4)V2G通信において、Contract証明書が電動車1に提供されない場合に、通信セッションが停止することが想定される。V2G通信では、
図4のようなメッセージの交換により、充電制御および課金処理がなされる。例えば、電動車1が充電設備2にServiceDiscoveryReqを送信し、充電設備2はServiceDiscoveryResによって、電動車1に提供可能なサービスのリストを返信する。また、電動車1が充電設備2にServiceDetailReqを送信し、充電設備2はServiceDetailResによって、電動車1にサービスの詳細を通知する。
【0042】
また、電動車1が充電設備2にCertificateInstallationReqによって、充電設備2に、現時点で有効な契約の証明書(Contract証明書)を発行するように求める。これに対して、充電設備2は電動車1に、CertificateInstallationResによってContract証明書を返信する。Contract証明書は、電力を供給する事業者(モビリティサービス提供事業者という)と電動車1のユーザとの間の契約の詳細を示す契約書である。そして、電動車1が充電設備2にPaymentDetailReqによって、例えば、Contract証明書を指定して、課金の仕方を要求する。この要求に対して、充電設備2は、PaymentDetailResによって電動車1へ応答する。
【0043】
Contract証明書は、電動車1が事前に電動車1の製造元、販売元のコンピュータ、また
は電力を供給するモビリティサービス提供事業者に発行を求めることも可能である。ただし、
図4の例では、電動車1が充電を受けるときに、充電設備2にContract証明書の発行を要求する手順を例示している。この場合、電動車1は、充電設備2に対して、電動車1の製造元、販売元から発行された証明書(OEM プロビジョニング証明書)を提示する。充電設備2は、電動車1から通知されたOEM プロビジョニング証明書に関連付けられた有効なContract証明書を有している場合には、Contract証明書を電動車1に提供できる。
【0044】
しかしながら、充電設備2または充電設備2が参照可能な事業者のコンピュータが、OEM プロビジョニング証明書に関連付けられた有効なContract証明書を保持していない場合、V2G通信のセッションが停止する。有効なContract証明書を保持していない場合とは、例えば、そのContract証明書の有効期限が到来している場合、OEM プロビジョニング証明書への電子署名が無効な場合、そのContract証明書に対する電子署名が無効な場合等である。このような場合には、充電設備2は、Contract証明書を電動車1に提供できないので、通信セッションが停止する。なお、
図4で例示されたAuthorizationRes, AuthorizationReqについては、ISO-15118に定義されているので、その説明を省略する。
【0045】
以下、上記(1)乃至(4)の問題に対応する電動車1の充電制御装置10による処理を例示する。
図5は、電動車1が充電設備2にV2G ROOT証明書を通知して異常が検知されたときの処理例である。すなわち、
図5は、電動車1が有するV2G ROOT証明書に起因する異常停止検出時の処理である。このような場合、電動車1の充電制御装置10は、電動車1のV2G ROOT証明書の有効性検証を実施する(S1)。より具体的には、充電制御装置10は、電動車1の製造元または販売元のコンピュータであるOEMサーバ5に対してOCSP要求を送信し、V2G ROOT証明書の有効性を確認する。なお、ここでは、充電制御装置10は、外部通信部16Aによりネットワーク上のOEMサーバ5にアクセスする。
【0046】
そして、充電制御装置10は、自身が保持するV2G ROOT証明書が有効か否かを判定する(S2)。充電制御装置10が保持するV2G ROOT証明書が有効でない場合、充電制御装置10は、OEMサーバ5にV2G ROOT証明書の更新を要求する(S3)。V2G ROOT証明書が更新されることで、異常は解消する。したがって、OEMサーバ5は、第1の証明書であるV2G ROOT証明書の発行が可能なネットワーク上の管理装置の一例ということができる。
【0047】
一方、S2の判定で、自身が保持するV2G ROOT証明書が有効である場合、充電制御装置10は、充電設備2から証明書チェーンを受信しているか否かを判定する(S4)。S2の判定で、充電制御装置10が保持するV2G ROOT証明書が有効である場合には、異常は、充電制御装置10が保持するV2G ROOT証明書と充電設備2が保持するV2G ROOT証明書が整合しないことに起因するものであると想定できる。このような場合で、充電制御装置10が充電設備から証明書チェーンを受信している場合、OEMサーバ5に、当該証明書チェーンに対応するV2G ROOT証明書を取得するため、更新を要求する(S5)。
【0048】
すなわち、電動車1と充電設備2とで、それぞれが保有するV2G ROOT証明書に不一致があっても、充電設備2から電動車1に、充電設備2が有するV2G ROOT証明書に関連付けられた証明書チェーンが返信される場合がある。この場合には、電動車1の充電制御装置10は、充電設備2から送付された証明書チェーンに対応するV2G ROOT証明書の発行元の認証局を認識できる。そこで、電動車1は、電動車1の製造元または販売元のコンピュータであるOEMサーバ5から、証明書チェーンに対応するV2G
ROOT証明書を取得することで、異常が解消する。この場合、証明書チェーンは、充電設備2が保持するV2G ROOT証明書を特定する情報の一例ということができる。また、S5の処理は、充電設備2が保持するV2G ROOT証明書に整合するV2G ROOT証明書をOEMサーバ5に発行させる処理の一例ということができる。
【0049】
S4の判定で、充電制御装置10は、充電設備2から証明書チェーンを受信していない場合、充電制御装置10は、直ちに異常を解消する情報がない。すなわち、この場合は、異常が、充電制御装置10が保持するV2G ROOT証明書と充電設備2が保持するV2G ROOT証明書が整合しない場合である。かつ、この場合は、充電制御装置10が、充電設備2が保持するV2G ROOT証明書を特定する情報を充電設備2から取得できない場合である。
【0050】
そこで、このような場合には、充電制御装置10は、充電設備2のMedia Access Control(MAC)アドレスを記憶する(S6)。このMACアドレスは、PnCによる課金で問題が生じる充電設備2を識別情報である。そこで、次回以降の充電において、充電制御装置10が記憶したMACアドレスと、次回の充電において、接続先の充電設備2のMACアドレスが一致するか否かを判定する(S7)。充電制御装置10が記憶したMACアドレスと、次回の接続先の充電設備2のMACアドレスが一致する場合、充電制御装置10は、次回の接続先の充電設備2では、PnCによる課金で問題が生じると判断できる。そこで、充電制御装置10は、第1の認証手続であるPnCによる充電ではなく、これに代わるEIMによる認証モード(外部認証方式)での充電動作に切り替える(S8)。これによって、充電制御装置10は、PnCによる充電での異常の発生を抑制できる。EIMによる認証モードは、第2の認証手続ということができる。
【0051】
一方、充電制御装置10が記憶したMACアドレスと、次回接続先の充電設備のMACアドレスが一致しない場合、充電制御装置10はPnCによる充電動作を実施すればよい(S9)。以上から、
図5の処理は、第1の認証手続であるPnCにおいて異常が検知されたときに、異常の種類に応じてPnCまたはPnCに代わる第2の認証手続であるEIMによる認証モードが実施されるように設定する処理の一例ということができる。
【0052】
図6は、充電設備2において、証明書チェーンの有効性が確認でなかった場合の電動車1の充電制御装置10による処理例である。すなわち、充電設備2から返信された証明書チェーンにOCSP応答による有効性の確認結果が添付されていない場合、充電制御装置10は、
図6の処理を実行すればよい。
【0053】
この処理では、充電制御装置10は、充電設備2から返信された証明書チェーンの全証明書を電動車1の現在時刻を基に失効していないか、検証する(S11)。そして、充電制御装置10は、証明書チェーンのすべての証明書が有効か否かを判定する(S12)。証明書チェーンのすべての証明書が有効である場合、充電制御装置10は、通常のPnC動作を継続すればよい(S13)。
【0054】
一方、証明書チェーンのいずれかの証明書が失効している場合、充電制御装置10は、当該証明書チェーンによってTLSのハンドシェークを続行できない。この場合の異常は、充電設備2に起因するものであり、電動車1の充電制御装置10は解決困難である。すなわち、この場合の異常は、充電設備2に保持された証明書が有効でないことに起因するとといえる。そこで、充電制御装置10は、充電設備2のMACアドレスを記憶する(S14)。このMACアドレスは、PnCによる課金で問題が生じる充電設備2の識別情報である。
【0055】
そして、次回以降の充電において、充電制御装置10が記憶したMACアドレスと、次
回の接続先の充電設備のMACアドレスが一致するか否かを判定する(S15)。充電制御装置10が記憶したMACアドレスと、次回の接続先の充電設備2のMACアドレスが一致する場合、充電制御装置10は、次回の接続先の充電設備では、PnCによる課金で問題が生じると判断できる。そこで、充電制御装置10は、第1の認証手続としてのPnCによる充電ではなく、これに代わる2の認証手続であるEIMによる認証モードでの充電動作に切り替える(S16)。これによって、充電制御装置10は、PnCによる充電での異常の発生を抑制できる。
【0056】
一方、充電制御装置10が記憶したMACアドレスと、次回接続先の充電設備のMACアドレスが一致しない場合、充電制御装置10はPnCによる充電動作を実施すればよい(S17)。以上から、
図6の処理は、第1の認証手続であるPnCにおいて異常が検知されたときに、異常の種類に応じてPnCまたはPnCに代わる第2の認証手続であるEIMによる認証モードが実施されるように設定する処理の一例ということができる。
【0057】
図7は、電動車1の充電制御装置10が充電設備2に、Contract証明書を要求して異常が検出されたときの処理例である。これは、
図4で述べたように、第1の証明書であるV2G ROOT証明書およびこれに関連付けられた証明書チェーンによって充電制御装置10と充電設備2との間の通信の安全が確保された後の処理である。
図1で述べたように、Contract証明書は、電動車1が充電設備2から充電を受けるための第2の証明書ということができる。また、電動車1の充電制御装置10が充電設備2に、Contract証明書を要求する場合とは、充電制御装置10が充電設備2から充電を受けるためのContract 証明
書を有していない場合である。
【0058】
この場合、電動車1の充電制御装置10は充電設備2にContract証明書のインストールを要求する(S21)。そして、充電制御装置10は、正常にContract証明書を取得できたか否かを判定する(S22)。充電制御装置10が正常にContract証明書を取得できた場合には、処理をS25に進め、通常のPnC動作を継続する。
【0059】
一方、充電設備2または充電設備2が参照可能な事業者のコンピュータが、有効なContract証明書を保持していない場合がある。この場合には、充電設備2は、充電制御装置10に異常を通知する。この場合には、充電制御装置10はContract証明書を取得できない。
【0060】
充電設備2から異常が通知されると、充電制御装置10は、電動車1の製造元または販売元のコンピュータであるOEMサーバ5に対してContract証明書のインストールを要求する(S23)。OEMサーバ5は、第2の証明書であるContract証明書の発行が可能なネットワーク上の管理装置の一例ということができる。そして、充電制御装置10は、OEMサーバ5からContract証明書のインストールが可能であるか否かを判定する(S24)。Contract証明書のインストールが可能である場合、充電制御装置10は、OEMサーバ5からContract証明書をインストールし、通常のPnC動作を継続する(S25)。
【0061】
一方、Contract証明書のインストールが可能でない場合、充電制御装置10は、Contract証明書の証明書IDを記憶する(S26)。証明書IDは、第2の証明書であるContract証明書の識別情報ということができる。
【0062】
Contract証明書のインストールができない場合とは、例えば、Contract証明書を発行する事業者(モビリティサービス提供事業者)とユーザとの間で情報が共有されていない場合等である。これは、Contract証明書発行の準備が整っていない場合ということができる。そこで、充電制御装置10は、次回、充電設備2との接続時に、S26で記憶した証明書IDで特定されるContract証明書が未更新のままか否かを再度判定する(S27)。S
27の処理は、次回以降の充電において、有効なContract証明書が取得できているか否かを判定する処理の一例である。Contract証明書が未更新のままの場合、充電制御装置10は、第1の認証手続に代わる第2の認証手続であるEIM認証モードでの充電動作を実行する(S28)。これにより、充電制御装置10は、Contract証明書がないこと、または、未更新であることによる充電動作の異常を回避できる。一方、Contract証明書が更新済みの場合、充電制御装置10は、第1の認証手続であるPnCでの充電動作を実行する(S29)。以上から、
図7の処理は、第1の認証手続であるPnCにおいて異常が検知されたときに、異常の種類に応じてPnCまたはPnCに代わる第2の認証手続であるEIMによる認証モードが実施されるように設定する処理の一例ということができる。
【0063】
(実施の形態の効果)
PnCでの充電動作では、現状多くの課題が存在すると想定される。例えば、電動車1と充電設備2との間で、証明書の互換性がなく通信セッションが停止してしまうという事象が起こり得る。このような事象としては、例えば、車両が保持しているV2G Root証明書を充電設備2が見つけられない、充電設備2が証明書提供のサービスに対応していない、電動車1に保持されている証明書が無効になっている、といった問題が考えられる。このような場合、通信セッションが停止してしまうが、再度、電動車1が同一の充電設備2と接続したときに、問題の根本原因が解決していない限り同じ事象が繰り返し発生することが考えられる。本実施の形態によれば、事象の種類、あるいは、問題の種類に応じて、このような事象が繰り返し発生することを回避することが可能となる。
【0064】
より具体的には、電動車1の充電制御装置10は、まず、充電設備2との間でPnCによる充電と課金の動作(第1の認証手続)を実施する。そして、異常が検知されたときに、電動車1の充電制御装置10は、異常の種類に応じて第1の認証手続または第1の認証手続に代わる第2の認証手続が実施されるように設定する。ここで、第2の認証手続は、例えば、EIMによる外部認証方式での認証手続である。このため、充電制御装置10は、異常の種類に応じて、適切に、次回の充電における異常の発生を回避できる。
【0065】
さらに具体的には、充電制御装置10は、第1の証明書であるV2G ROOT証明書が有効でないことに起因する異常の場合には、V2G ROOT証明書の発行が可能なネットワーク上のOEMサーバ5に有効なV2G ROOT証明書を発行させる。また、V2G ROOT証明書が充電設備2の保持するV2G ROOT証明書と整合しないことに起因する異常が発生した場合は、充電制御装置10は以下のように処理する。
【0066】
まず、充電制御装置10が、充電設備2が保持するV2G ROOT証明書を特定する情報を充電設備2から取得できた場合には、充電制御装置10は、OEMサーバ5にV2G ROOT証明書を管理装置としてのOEMサーバ5に発行させる。ここで、証明書を特定する情報とは、充電設備2が保持するV2G ROOT証明書に関連付けされる証明書チェーンである。これにより、充電設備2が保持するV2G ROOT証明書が取得さえると、充電制御装置10は、PnCによって充電の処理を受けることができる。
【0067】
一方、充電制御装置10が、充電設備2が保持するV2G ROOT証明書を特定する情報を充電設備2から取得できない場合には、充電制御装置10は、充電設備2の識別情報であるMACアドレスを記憶する。これにより、充電制御装置10は、次回以降の充電において、充電設備2との間で第1の認証手続であるPnCに代わる第2の認証手続として、EIMによる認証モードが実施されるように設定する。したがって、充電制御装置10は、異常の種類に応じて、適切に、次回の充電における異常の発生を回避できる。
【0068】
さらに、異常が充電設備2に保持された証明書チェーンが有効でないことに起因する場合には、充電制御装置10は、充電設備2との間で第1の認証手続であるPnCに代わる
第2の認証手続としてEIMによる認証モードが実施されるように設定する。したがって、充電制御装置10は、異常の種類に応じて、適切に、次回の充電における異常の発生を回避できる。
【0069】
ところで、第1の証明書であるV2G ROOT証明書は充電設備2との間の通信の安全を確保するための証明書である。充電制御装置10は、第1の証明書であるV2G ROOT証明書によって充電装置との間の通信の安全が確保された後に、Contract証明書によってV2G通信により、充電の処理を受ける。しかし、充電制御装置10がContract証明書を有していない場合があり得る。この場合、充電制御装置10は充電設備2にContract証明書を要求してもよい。しかし、充電設備2が有効なContract証明書を充電制御装置10に提供できない場合もあり得る。この場合には、充電制御装置10はContract証明書の発行が可能なネットワーク上の管理装置であるOEMサーバ5に有効なContract証明書を要求する。このようにして、充電制御装置10が有効なContract証明書を取得できた場合には、PnCによって充電の処理を受けることができる。
【0070】
しかし、充電制御装置10は、有効なContract証明書を取得できない場合には、そのContract証明書の識別情報を記憶しておき、次回以降の充電において、有効なContract証明書が取得されているか否かを判定する。そして、有効なContract証明書が取得できていない場合には、充電制御装置10は、充電設備2との間で第1の認証手続であるPnCに代えて、第2の認証手続として、EIMによる認証モードでの充電動作を実施させる。このようにして、充電制御装置10は、異常の種類に応じて、適切に、次回の充電における異常の発生を回避できる。
【0071】
(コンピュータが読み取り可能な記録媒体)
コンピュータその他の機械、装置(以下、コンピュータ等)に上記いずれかの機能を実現させるプログラムをコンピュータ等が読み取り可能な記録媒体に記録することができる。そして、コンピュータ等に、この記録媒体のプログラムを読み込ませて実行させることにより、その機能を提供させることができる。
【0072】
ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。このような記録媒体のうちコンピュータ等から取り外し可能なものとしては、例えばフレキシブルディスク、光磁気ディスク、CD-ROM、CD-R/W、DVD、ブルーレイディスク、DAT、8mmテープ、フラッシュメモリなどのメモリカード等がある。また、コンピュータ等に固定された記録媒体としてハードディスク、ROM(リードオンリーメモリ)等がある。さらに、SSD(Solid State Drive)は、コンピュータ等から取り外し可能な記録媒体としても、コンピュータ
等に固定された記録媒体としても利用可能である。
【符号の説明】
【0073】
1 電動車
2 充電設備
5 OEMサーバ
10 充電制御装置
11、21 CPU
12、22 主記憶部
13、23 外部記憶部
16A、26A 外部通信部
16B、26B 電力線通信部
19 バッテリー
29 電源回路
2A EIMリーダ
2B プラグ