T 0807/18 29-04-2022
Download und weitere Informationen:
VERFAHREN ZUR SICHERSTELLUNG DER FUNKTIONSSICHERHEIT IN DER ELEKTROMOBILITÄT MITTELS DIGITALER ZERTIFIKATE
I. Die Beschwerde richtet sich gegen die Entscheidung der Prüfungsabteilung, die europäische Patentanmeldung Nr. 12 748 416.0 (veröffentlicht als WO 2014/023349 A1) wegen mangelnder erfinderischer Tätigkeit zurückzuweisen.
II. Es wird auf die folgenden Dokumente verwiesen:
D1: DE 10 2010 026 689 A1
D2: WO 2010/028082 A1
D3: EP 1 401 144 A1
D5: XP055231034, Public key certificate, Wikipedia
D6: XP055231059, Digital signature, Wikipedia
D7: XP055231314, Root certificate, Wikipedia
D10: Patent Abstracts of Japan, JP09044562
D11: XP055306319, Network booting, Wikipedia
D12: US 5,565,755.
III. Die Beschwerdeführerin (Anmelderin) beantragte, die angefochtene Entscheidung aufzuheben und ein Patent gemäß Hauptantrag oder hilfsweise gemäß eines der Hilfsanträge 1 bis 4 zu erteilen. Alle Anträge entsprechen den Anträgen, die der angefochtenen Entscheidung zugrunde liegen.
IV. Der Hauptantrag besteht aus den folgenden Dokumenten:
- Beschreibung:
Seiten 1, 1a, 2, 2a, 2b, 3, 4, 4a, 5, 6, 6a, 7 bis 13, eingereicht mit Schreiben vom 28. September 2015;
- Ansprüche:
1 bis 11, eingereicht mit Schreiben vom 28. September 2015;
- Zeichnung:
Blatt 1/1 in der ursprünglichen Fassung.
V. Anspruch 1 gemäß Hauptantrag lautet wie folgt:
Verfahren zur Sicherstellung der Funktionssicherheit von an einem Ladevorgang beteiligten Komponenten (5) der Elektromobilitätstechnik eines Akteurs (4), der insbesondere als Elektrofahrzeug oder elektrische Ladestation ausgebildet ist, in Zusammenhang mit dem Ladevorgang oder im Zuge einer Prüfung,
wobei zumindest eine der beteiligten Komponenten (5) ein Modul (6) zur Umsetzung von Sicherheitsfunktionen umfasst, in dem ein erstes zugeordnetes digitales Zertifikat (10) einer technischen Prüfstelle (3) bezüglich eines Mittels zur Ausführung einer Selbstdiagnose der Komponente (5) und ein zweites zugeordnetes digitales Zertifikat (11) eines Herstellers (2) hinterlegt sind, gekennzeichnet durch folgende, bei den beteiligten Komponenten (5) auszuführende Schritte:
(1a) Aktivierung einer Selbstdiagnose durch das Mittel zur Ausführung einer Selbstdiagnose der Komponente (5),
(1b) Ausstatten eines Ergebnisses der Selbstdiagnose der Komponente (5) mit einer digitalen Signatur mittels des zweiten zugeordneten digitalen Zertifikats (11) des Herstellers (2),
(1c) Übermittlung der mit den digitalen Signaturen versehenen Ergebnisse der Selbstdiagnosen und einer Zuordnung der Ergebnisse zum Akteur (4) an die technische Prüfstelle (3),
(1d) Kontrolle einer Gültigkeit der digitalen Signaturen und Validierung der Ergebnisse der Selbstdiagnosen, und
(1e) Entscheidung über die Ausstellung eines temporären digitalen Zertifikats (12) aufgrund der Gültigkeit der digitalen Komponentensignaturen und eines Ergebnisses der Validierung.
VI. Der Wortlaut der Ansprüche der Hilfsanträge ist angesichts der getroffenen Entscheidung nicht relevant.
VII. Die Beschwerdeführerin hat im Wesentlichen argumentiert, dass das Verfahren gemäß D1 keine Sicherstellung der Funktionssicherheit von an einem Ladevorgang beteiligten Komponenten eines Akteurs betreffe. Außerdem werde in D1 keine Selbstdiagnose der Komponenten ausgeführt. Das beanspruchte Verfahren sei somit für den Fachmann nicht naheliegend.
1. Die beanspruchte Erfindung
Elektrofahrzeuge werden zur Aufladung der eingebauten Batterie an eine Ladestation angeschlossen. Bei einem Ladevorgang bestehen erhebliche Risiken für die Funktionssicherheit der Batterie und anderer, am Ladevorgang beteiligten Komponenten. Die Batterie des Elektrofahrzeugs ist ein großer Kostenfaktor, und Beschädigungen sind mit einem hohen finanziellen Risiko verbunden. Zudem ist der Ladevorgang zumeist ein unbeaufsichtigter Prozess, der möglicherweise im öffentlichen Raum stattfindet. Es besteht somit die Gefahr, dass erhebliche gesundheitliche und materielle Schäden im Falle eines Abbrandes oder einer Explosion verursacht werden.
Das beanspruchte Verfahren führt eine Überprüfung der Funktionssicherheit der an dem Ladevorgang beteiligten Komponenten eines Fahrzeugs oder einer Ladestation durch. Es wird somit sichergestellt, dass die Komponenten des Elektrofahrzeugs oder der Ladestation den Ladenvorgang störungsfrei durchführen können (siehe Seite 2, Zeile 23 bis Seite 3, Zeile 20 der veröffentlichten Anmeldung).
2. Hauptantrag - erfinderische Tätigkeit
Stand der Technik
2.1 D1 wurde sowohl vor der Prüfungsabteilung als auch von der Beschwerdeführerin als nächstliegender Stand der Technik angesehen. Auch die Kammer sieht D1 als nächstliegenden Stand der Technik an.
2.1.1 D1 beschreibt ein Verfahren und eine Steuereinheit zum Laden eines Fahrzeugakkumulators. Ein Fahrzeug mit einem eingebauten Akkumulator (Elektrofahrzeug) wird normalerweise zum Aufladen des Akkumulators an eine Ladesäule (Ladestation) angeschlossen. Solche Ladestationen befinden sich nicht nur an Tankstellen sondern auch an anderen möglichen Aufstellungsorten, wie z.B. Parkhäusern und Parkplätzen. In solchen Fällen ist dem Fahrer des Elektrofahrzeugs oft weder der Betreiber der Ladestation noch der Stromanbieter bekannt. Es besteht daher die Gefahr, dass das Elektrofahrzeug an eine durch Dritte manipulierte Ladestation angeschlossen wird, welche den Akkumulator des Fahrzeugs mit einer geringeren Strommenge auflädt als dem Fahrer mitgeteilt wird (siehe Absätze [0002] und [0003]).
2.1.2 Das Verfahren gemäß D1 erhöht die Sicherheit des Ladevorgangs gegenüber derartigen Manipulationen (Betrugsversuchen), indem es sicherstellt, dass die Ladestation autorisiert ist. Die Ladestation hat ein digitales Zertifikat (Z), das nachweisen soll, dass es sich um eine autorisierte Ladestation handelt. Bei dem Anschluss des Elektrofahrzeugs an die Ladestation prüft die Ladesteuereinheit (LSE) des Elektrofahrzeugs zuerst vorläufig das Zertifikat der Ladestation und bei erfolgreicher Prüfung wird eine sichere Kommunikationsverbindung zwischen Ladestation und Elektrofahrzeug aufgebaut. In einem weiteren Schritt übermittelt die Ladesteuereinheit das Zertifikat der Ladestation an einen Autorisierungsserver. Der Autorisierungsserver prüft erneut das Zertifikat der Ladestation und sendet das Autorisierungsprüfungsergebnis an die Ladesteuereinheit des Elektrofahrzeugs zurück. Bei erfolgreicher Autorisierungsprüfung wird der Ladevorgang an dieser Ladestation autorisiert und durch die Ladesteuereinheit in Gang gesetzt (siehe Absätze [0033] bis [0037]).
Unterschiede - technische Aufgabe
2.2 Zunächst stimmt die Kammer mit der Beschwerdeführerin darin überein, dass das beanspruchte Verfahren nur in einem der an einem Ladevorgang beteiligten Akteure (Elektrofahrzeug oder Ladestation) stattfindet. Wie im Anspruch 1 definiert wird die Funktionssicherheit der Komponenten der Elektromobilitätstechnik eines Akteurs (entweder Elektrofahrzeugs oder Ladestation) sichergestellt. Die ausgeführte Selbstdiagnose betrifft diese Komponenten des Akteurs und die beiden digitalen Zertifikate, die im Verfahren verwendet werden, sind auch dem Akteur bzw. dessen Komponenten zugeordnet. Schließlich ist es der Akteur selbst, der das Ergebnis der Selbstdiagnose mittels eines der eigenen digitalen Zertifikate digital unterschreibt und an die technische Prüfstelle übermittelt. An keinem Punkt des beanspruchten Verfahrens wird eine Verbindung zu einem weiteren Akteur des Ladenvorgangs benötigt oder erwähnt.
Im Verfahren gemäß D1 prüft aber das Elektrofahrzeug (erster Akteur des Ladevorgangs) das digitale Zertifikat der Ladestation (zweiter Akteur des Ladevorgangs) und übermittelt dieses an den Autorisierungsserver. Eine Kommunikationsverbindung zwischen den beiden Akteuren (Elektrofahrzeug und Ladestation) ist dafür erforderlich.
Die Prüfungsabteilung hat diesen Unterschied des beanspruchten Verfahrens gegenüber dem Verfahren von D1 nicht gewürdigt.
2.3 Die Kammer stimmt mit der Beschwerdeführerin auch darin überein, dass der Begriff "Funktionssicherheit" im Anspruch 1 nicht mit der Sicherheit des Ladevorgangs gemäß D1 gleichzusetzen ist.
Wie bereits oben erwähnt besteht die Aufgabe des Verfahrens gemäß D1 darin, den Fahrer des aufzuladenden Elektrofahrzeugs gegen Betrug durch manipulierte Ladestationen zu schützen. Dies wird durch die Prüfung des digitalen Zertifikats der Ladestation durch einen Autorisierungsserver erreicht. Es wird somit sichergestellt, dass es sich um eine autorisierte Ladestation handelt.
Bei dem beanspruchten Verfahren wird dagegen sichergestellt, dass die an dem Ladungsvorgang beteiligten Komponenten eines Akteurs (Elektrofahrzeugs bzw. Ladestation) gut bzw. störungsfrei funktionieren. Es wird somit vermieden, dass Störungen während des Ladevorgangs vorkommen, die das Elektrofahrzeug und/oder die Ladestation beschädigen könnten.
Die Kammer ist daher nicht mit der Prüfungsabteilung einverstanden, dass D1 ein Verfahren zur Sicherstellung der Funktionssicherheit von an einem Ladevorgang beteiligten Komponenten der Elektromobilitätstechnik eines Akteurs im Sinne der Ansprüche offenbart.
2.4 Bezüglich der Selbstdiagnose hat die Prüfungsabteilung zwei Interpretationen vorgebracht.
2.4.1 Nach der ersten Interpretation sei eine Selbstdiagnose implizit in D1 offenbart. Das Hochfahren/Booten eines Geräts wie z.B. der Ladesteuereinheit oder der Ladestation impliziere eine Initialisierung oder Selbstdiagnose. Die Ladesteuereinheit und die Ladestation seien "CPU-basierte" Systeme und das Booten sei daher implizit.
Die Kammer stellt jedoch fest, dass D1 keine Angaben über die Struktur oder die Komponenten der Steuereinheit bzw. der Ladestation macht. Es ist daher nicht auszuschließen, dass sie z.B. durch eine zentrale Steuereinheit/einen Prozessor des Elektrofahrzeugs bzw. des Stromanbieters gesteuert bzw. betrieben werden und somit keinen eigenen Prozessor haben. Es ist ebenfalls nicht auszuschließen, dass die Steuereinheit und/oder die Ladestation nach Einschalten immer in Betrieb bleiben und beim Anschließen des Elektrofahrzeugs an die Ladestation nicht automatisch hochgefahren werden.
Bezüglich letzterer Bemerkung wird festgestellt, dass Anspruch 1 definiert, dass das Verfahren in Zusammenhang mit dem Ladevorgang oder im Zuge einer Prüfung ausgeführt wird. Laut Merkmal (1a) des Anspruchs 1 wird die Selbstdiagnose durch ein Mittel zur Ausführung einer Selbstdiagnose der Komponente aktiviert. Nach Ansicht der Kammer entspricht eine Selbstdiagnose, die automatisch beim Hochfahren/Booten ausgeführt wird, nicht der Selbstdiagnose gemäß Anspruch 1, weil es sich nicht um eine automatisch ausgeführte Selbstdiagnose handelt.
Die Kammer kann somit der ersten Interpretation der Prüfungsabteilung nicht zustimmen.
2.4.2 Die Kammer findet die zweite Interpretation der Prüfungsabteilung nicht schlüssig. Es wird auf die Laderegeln/Steuersignale zur Steuerung des Ladevorgangs Bezug genommen, die vom Autorisierungsserver zur Ladesteuerungseinheit des Elektrofahrzeugs übermittelt werden können (siehe auch Absätze [0039] und [0040] von D1). Laut Prüfungsabteilung müsse das Elektrofahrzeug sicherstellen, dass der Akkumulator und die Laderegeln anwesend seien, um diese Laderegeln/Steuersignale auszuführen. Für den Fall, dass der Akkumulator und die Laderegeln nicht anwesend oder falsch verbunden seien, werde die Ladesteuereinheit eine bestimmte Fehlmeldung generieren, sonst könne D1 nicht funktionieren (siehe angefochtene Entscheidung Seiten 5 und 6).
Die Kammer kann nicht nachvollziehen, wie der durch die Prüfungsabteilung beschriebene Vorgang als Selbstdiagnose gemäß Anspruch 1 angesehen werden könnte. Die Kammer stellt fest, dass die Laderegeln/Steuersignale vom Autorisierungsserver mit dem Autorisierungsprüfungsergebnis an die Ladesteuereinheit des Elektrofahrzeugs übermittelt werden, also nachdem das Zertifikat der Ladestation an den Autorisierungsserver gesendet wurde. Die Selbstdiagnose gemäß Anspruch 1 wird aber vor der Übermittlung des Zertifikats (und des Ergebnisses der Selbstdiagnose) an die technische Prüfstelle ausgeführt. Schon aufgrund dieses Unterschieds kann der zweiten Interpretation der Prüfungsabteilung nicht zugestimmt werden.
2.5 Zusammenfassend unterscheidet sich das beanspruchte Verfahren von dem aus D1 bekannten Verfahren im wesentlichen dadurch, dass es
- nur einen der an einem Ladevorgang beteiligten Akteure betrifft (statt zwei in D1);
- die Funktionssicherheit der an dem Ladevorgang beteiligten Komponenten des Akteurs sicherstellt (statt die Sicherheit gegen Betrug wie in D1);
- eine Selbstdiagnose der an dem Ladevorgang beteiligten Komponente des Akteurs ausführt;
- das Ergebnis der Selbstdiagnose mit einer digitalen Signatur mittels eines eigenen Zertifikats ausstattet;
- die mit digitalen Signaturen versehenen Ergebnisse der Selbstdiagnose an die technische Prüfungsstelle übermittelt (statt das Zertifikat eines weiteren an dem Ladevorgang beteiligten Akteurs zu übermitteln);
- die Validierung der Ergebnisse der Selbstdiagnose durch die technische Prüfstelle beinhaltet; und
- die Entscheidung über die Ausstellung eines temporären digitalen Zertifikats aufgrund des Ergebnisses der Validierung enthält.
Die Schritte der Prüfung der Gültigkeit der digitalen Signaturen, die Übermittlung des Prüfungsergebnisses an den Akteur und gegebenenfalls die Autorisierung des Ladevorgangs werden als in D1 offenbart angesehen.
2.6 Die Kammer teilt nicht die Meinung der Prüfungsabteilung, dass die unterscheidenden Merkmale keine gemeinsame Wirkung erzielen und somit mehrere technische Teilprobleme lösen (siehe auch Punkt 12 und Unterpunkte der angefochtenen Entscheidung).
Vielmehr ist die Kammer der Überzeugung, dass die unterscheidenden Merkmale, die unter Punkt 2.5 oben festgestellt worden sind, grundlegende Unterschiede zwischen dem Verfahren gemäß Anspruch 1 und dem Verfahren in D1 darstellen. Folglich wird auch die zulösende technische Aufgabe so formuliert, dass sie diese grundlegenden Unterschiede widerspiegelt.
Der Fachmann wird somit mit der technischen Aufgabe konfrontiert, das Verfahren gemäß D1 derart anzupassen, dass es die Funktionssicherheit der an dem Ladevorgang beteiligten Komponenten eines Akteurs (Elektrofahrzeug oder Ladestation) sicherstellt.
Lösung - Naheliegen
2.7 Die Kammer ist der Überzeugung, dass das Verfahren gemäß Anspruch 1 für den von D1 ausgehenden Fachmann nicht naheliegend ist.
2.7.1 Das Verfahren von D1 ist nicht geeignet, die Funktionssicherheit der an dem Ladevorgang beteiligte Komponenten sicherzustellen. Der Fachmann müsste daher erhebliche Anpassungen des beschriebenen Verfahrens vornehmen, um die technische Aufgabe zu lösen. Ohne jeglichen Hinweis dazu in D1 bezüglich des konkreten Vorgehens gehen solche Anpassungen über das allgemeine Fachwissen hinaus und wären nicht ohne erfinderischen Zutun auszuführen.
2.7.2 Die übrige Dokumente des Stands der Technik würden dem Fachmann ebenfalls nicht weiterhelfen. Sie liegen von der Erfindung weiter als D1 entfernt:
- D2 betrifft ein Verfahren und eine Vorrichtung zur zuverlässigen und überprüfbaren Bestimmung einer tatsächlichen Reduzierung von Schadstoffen als Ergebnis des Betriebs eines elektrischen Fahrzeugs anstelle eines Fahrzeugs mit Verbrennungsmotor.
- D3 betrifft ein Verfahren zur Erzeugung und/oder Validierung elektronischer Signaturen mit asymmetrischem Schlüsselpaar. Mit einem Ladungsvorgang von Elektrofahrzeugen hat D3 nichts zu tun.
- Die Dokumente D5, D6 und D7 beziehen sich auf ausgewählte Kapitel der Verschlüsselung von Daten und stellen eher das allgemeine Fachwissen in diesem Gebiet dar. Gleiches gilt für D10, das Maßnahmen im Zusammenhang mit "Network booting" beschreibt.
- D10 beschreibt einen Verkaufsautomaten mit einem Selbstdiagnose-Modul.
- D12 beschreibt die Rechner-Steuerung eines Ladeprozesses einer Batterie an einer Ladestation.
Die Kammer sieht daher keine Lehre bei einer Kombination von D1 mit einem dieser Dokumenten, die dem Fachmann einen Hinweis auf die Merkmalskombination des Anspruchs 1 des Hauptantrags geben würde.
2.8 Die Kammer kommt somit zum Schluss, dass der Gegenstand des Anspruchs 1 des Hauptantrags auf einer erfinderischen Tätigkeit im Sinne von Artikel 56 EPÜ beruht (Artikel 52(1) EPÜ). Ansprüche 2 bis 11 hängen vom Anspruch 1 ab und sind daher auch erfinderisch.
3. Die Beschwerdeführerin hat mit Schreiben vom 28. September 2015 eine an die Ansprüche angepasste Beschreibung eingereicht. Die Kammer hat bei dieser Beschreibung nichts zu beanstanden.
4. Die Kammer ist somit überzeugt, dass die Patentanmeldung gemäß Hauptantrag und die Erfindung, die sie zum Gegenstand hat, den Erfordernissen des EPÜ genügen. Daher ist gemäß Artikel 97(1) EPÜ ein Patent zu erteilen (Artikel 111(1) EPÜ).
Aus diesen Gründen wird entschieden:
1. Die angefochtene Entscheidung wird aufgehoben.
2. Die Angelegenheit wird an die Prüfungsabteilung mit der Anordnung zurückverwiesen, ein Patent mit den folgenden Dokumenten zu erteilen:
- Beschreibung:
Seiten 1, 1a, 2, 2a, 2b, 3, 4, 4a, 5, 6, 6a, 7 bis 13, eingereicht mit Schreiben vom 28. September 2015;
- Ansprüche:
1 bis 11, eingereicht mit Schreiben vom 28. September 2015;
- Zeichnung:
Blatt 1/1 in der ursprünglichen Fassung.