Ladecontroller in der ZonenarchitekturLadekommunikation meets SDV
Von
Tobias Schneider und Michael Vick *
6 min Lesedauer
Effiziente Ladekommunikation ist die Basis für zentrale Funktionen moderner Elektrofahrzeuge. Mit dem Aufkommen des Software-definierten Fahrzeugs stellt sich die Frage: Wie lässt sich Ladekommunikation zuverlässig in komplexe E/E-Architekturen integrieren?
Software-definiertes Fahrzeug: Wie lässt sich Ladekommunikation zuverlässig und performant in komplexe E/E-Architekturen integrieren?
(Bild: Vector Informatik)
Das Fahrzeug-seitige Ladekommunikationssteuergerät (Electric Vehicle Communication Controller, EVCC) ist häufig zentraler Bestandteil eines Mikrocontroller-basierten Onboard-Ladegeräts. Dieses übernimmt neben der Ladekommunikation auch die Steuerung und Überwachung elektrischer Schaltkreise. Dazu zählen unter anderem die Signalleitungen, zum Beispiel Control Pilot und der Verriegelungsmotor der Ladedose des Combined Charging System (CCS). Die für diese Aufgaben vorgesehenen Software-Anteile eines EVCC werden nach Vorgaben der ISO 26262 für funktionale Sicherheit entwickelt. In CCS-basierten Ladesystemen spielt außerdem die Cybersicherheit eine wichtige Rolle. Weil die Ladekommunikation eine Schnittstelle zur Außenwelt darstellt, kann sie von Angreifern als potenzielles Einfallstor genutzt werden, um sich Zugriff auf das fahrzeuginterne Netzwerk zu verschaffen. Als führender Standard für die Ladekommunikation spezifiziert die ISO 15118 daher wichtige Sicherheitsvorkehrungen für Authentizität, Integrität und Vertraulichkeit. Dazu zählen die Verschlüsselung der Ladekommunikation mittels Transport Layer Security (TLS) sowie die Nutzung von Public Key Infrastructure (PKI) zur Authentifizierung und Autorisierung von Fahrzeug und Ladestation. Diese Sicherheitsmechanismen bringen aufgrund von kryptographischen Operationen sowie der Zertifikatsverwaltung einen zusätzlichen Ressourcenbedarf mit sich. Dabei kann sich insbesondere die erhöhte Laufzeit negativ auf das Nutzererlebnis auswirken, da es vom Start der Ladekommunikation bis zum eigentlichen Energietransfer zu Wartezeiten kommen kann. Die schnelle Durchführung der kryptographischen Operationen in der Software stellt für herkömmliche Mikrocontroller aufgrund der Verwendung moderner elliptischer Kurven allerdings eine große Herausforderung dar.
Neue Möglichkeiten durch das SDV
Der Trend zum Software-definierten Fahrzeug (Software-defined Vehicle, SDV) zeigt sich u.a. durch die Struktur moderner E/E-Architekturen. Diese sind häufig als Zonenarchitektur aufgebaut. Das Fahrzeug ist dabei in geographische Zonen unterteilt. Neben den Mikrocontroller-basierten Zonen- und Sensor/Aktuator-Steuergeräten sind die zentralen High-Performance Computer (HPC) fester Bestandteil im SDV. Sie werden häufig als System-on-Chip (SoC) mit leistungsstarken Prozessoren und POSIX-basierten Betriebssystemen ausgeführt. Für die Realisierung eines EVCC in der Zonenarchitektur ergeben sich verschiedene Ansätze. Eine Möglichkeit ist das bereits genannte Onboard-Ladegerät. Es wird als separates Bauteil in eine Zone der E/E-Architektur integriert (Bild 1, 1). Eine weitere Variante ist die Integration des EVCC in einem Zonensteuergerät (Bild 2). Dafür bietet sich ein Zonensteuergerät an, das in der Nähe der CCS-Ladedose installiert wird, um die Distanz für die Powerline Communication (PLC) möglichst gering zu halten. Der dritte Ansatz ist die Umsetzung des EVCC als verteiltes System, wobei die einzelnen Software-Funktionen in Abhängigkeit der Eigenschaften vorhandener Steuergeräte verteilt werden (Bild 1, 3).
Bild 1: Unterschiedliche Ansätze für die Realisierung eines EVCC in der Zonenarchitektur.
(Bild: Vector Informatik)
Lösung eines verteilten EVCC
Dieser dritte Ansatz wurde im Rahmen eines Vorentwicklungsprojekts bei Vector untersucht. Dabei erfolgt die Verteilung der Software vorwiegend gemäß den Anforderungen der funktionalen Sicherheit und der Cybersicherheit. Die EVCC-Software wird dabei auf zwei Steuergeräte aufgeteilt. Die sicherheitsrelevanten Applikationen zur Steuerung elektrischer Schaltkreise werden in einem Mikrocontroller-basierten Gateway mit der Vector Basissoftware Microsar Classic ausgeführt, um von der Echtzeitfähigkeit zu profitieren. Das Gateway kann innerhalb eines Zonensteuergerätes (Bild 1,2) oder als eigenständiges Sensor-/Aktuator-Steuergerät umgesetzt werden. Im Gegensatz dazu wird die Ladekommunikation mit den Ressourcen-intensiven Software-Anteilen für die Cybersicherheit weitestgehend auf einem HPC ausgeführt. Mit leistungsstarker Prozessoren können so kürzere Laufzeiten für kryptographische Operationen erzielt werden. Der HPC wird mit Android Automotive OS (AAOS) betrieben (Bild 2).
Bild 2: Verteilung verschiedener Softwarefunktionen innerhalb eines Systems.
(Bild: Vector Informatik)
Das Gateway übernimmt die Kommunikation mit der Ladestation via Powerline Communication und mit dem Batterie-Management-System (BMS) über das interne Fahrzeugnetzwerk. Es integriert den PLC-Chip und steuert die Hardware-I/Os der Ladedose. Die ersten Schritte der Ladesequenz, wie Signal-Level Attenuation Characterization (SLAC) und SECC Discovery Protocol (SDP), laufen ebenfalls dort ab. Das Gateway leitet zudem Nachrichten von der Ladestation an das Android-System im HPC weiter. Das erfolgt über einen Network-Address-Translation-ähnlichen (NAT-ähnlich) Router innerhalb des Gateways, der nur Nachrichten des Ladeprotokolls in das Fahrzeugnetz durchlässt. Unerwünschte oder unbekannte Nachrichten werden herausgefiltert. Der NAT-ähnliche Router schützt das interne Netz und die nach außen gerichtete PLC-Schnittstelle. Er unterstützt dabei die Anforderungen aus ISO 21434. Das Gateway und der HPC sind per Ethernet über zwei Kanäle verbunden. Einer dient dem Ladeprotokoll, der andere der Synchronisierung der Zustände zwischen dem Android-System und dem Gateway. Weil das Gateway schneller startet, können einzelne Ladeschritte bereits vor der Verfügbarkeit des HPC initiiert werden. SLAC und SDP laufen ohne Eingaben des Android-Systems an, was die Zeit bis zum tatsächlichen Ladebeginn verkürzt. Im Android Automotive OS des HPC wird ein Großteil der Ladekommunikation verarbeitet. Zudem werden kryptographische Operationen ausgeführt und benötigte Zertifikate sowie Schlüssel verwaltet, was unter anderem für Plug & Charge essenziell ist. Die Ladekommunikation wird in AAOS als Charge-Service umgesetzt. Er basiert auf der bekannten Ladekommunikationssoftware Microsar Charge von Vector und enthält die protokollspezifische Implementierung inklusive der Zustandsmaschinen, den Efficient-XML-Interchange-Encoder/Decoder (EXI) sowie XML-Security für die Applikationsnachrichten. Die Architektur ist modular aufgebaut. Externe Komponenten wie die Crypto-Bibliothek oder die Zertifikats- und Schlüsselverwaltung lassen sich austauschbar integrieren. Der Charge-Service wird als nativer Service in das Android-Framework integriert. Dadurch werden ein schneller Start sowie die Überwachung durch den Service-Manager sichergestellt. Letzterer startet den Dienst, überwacht ihn und startet ihn bei Bedarf neu. Zudem kann der Charge-Service mit Hilfe des Vendor Native Development Kit (VNDK) entwickelt und gepflegt werden. Die Allokation des Charge-Services innerhalb von AAOS ist wichtig, weil Android-Systeme über mehrere Partitionen mit unterschiedlichen Zwecken und Berechtigungen verfügen (Bild 3). Die System-Partition mit den Komponenten des Android-Kernsystems besitzt die höchsten Privilegien und uneingeschränkten API-Zugriff. Sie ist jedoch nicht für nutzerspezifische Erweiterungen vorgesehen. Der Charge-Service wird in der Vendor-Partition gehalten, da diese den Zugriff auf alle notwendigen System-APIs besitzt und Schutzmechanismen gegen unbefugte Änderungen der Daten bietet.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Bild 3: Übersicht der Partitionen in Android Automotive OS
(Bild: Vector Informatik)
Bewertung
Eine verteilte EVCC-Lösung wirkt sich besonders positiv auf das Laufzeitverhalten aus. In realen Testszenarien konnte die Laufzeit eines TLS 1.3-Handshakes mit Client- und Server-Authentifizierung gemäß ISO 15118-20 um den Faktor 8-10 im Vergleich zu einem Mikrocontroller-basierten System verbessert werden. Zudem wurden alle im Standard geforderten Zeitlimits während der gesamten Ladesequenz eingehalten.
Der Speicherbedarf für die Zertifikatsketten fällt weniger stark ins Gewicht, weil SoC-Plattformen über deutlich größere Speicherressourcen als herkömmliche Mikrocontroller verfügen. Zudem kann der Mikrocontroller zur Ansteuerung der Ladedose wesentlich kleiner ausgelegt werden, da die Ladekommunikation in den HPC verlagert wird. Das führt zu einer signifikanten Kostenersparnis. Des Weiteren sind die Update-Fähigkeit und Aufstartzeit wichtige Eigenschaften eines EVCC. Die Update-Strategie ist häufig herstellerspezifisch und hängt von den technischen Eigenschaften eines Steuergeräts ab. Die oben aufgeführte Software-Verteilung bietet die Möglichkeit, das Ladeprotokoll zentral im HPC zu aktualisieren, was insbesondere bei der Verwendung mehrerer Ladedosen vorteilhaft ist. Ein Beispiel hierfür sind elektrisch betriebene LKW mit mehreren Ladedosen für das Combined Charging System (CCS) und Megawatt Charging System (MCS). Darüber hinaus lässt sich das Variantenmanagement durch dynamisches Konfigurieren von Funktionen im Charge-Service vereinfachen.
Eine schnelle Aufstartzeit führt durch eine kurze Wartezeit beim Ladevorgang zu einem positiven Nutzererlebnis. Mikrocontroller-basierte Systeme ermöglichen Aufstartzeiten im Millisekunden-Bereich, wohingegen HPCs oft mehrere Sekunden benötigen. Bei einer verteilten EVCC-Lösung muss das Aufstartverhalten so gestaltet sein, dass die Ladekommunikation unmittelbar beginnen kann, sobald das Ladekabel eingesteckt wird. Daher führt der Mikrocontroller die ersten Schritte der Ladesequenz aus. Neben den positiven Aspekten führt die verteilte EVCC-Lösung jedoch zu erhöhter Komplexität. So nimmt die Anzahl der Kommunikationspfade innerhalb des Fahrzeugs zu. In den Ladeablauf sind außerdem unterschiedliche Hardware-Plattformen und Software-Ökosysteme involviert. Dadurch erhöht sich der Aufwand für den Test des Gesamtsystems, da der Testaufbau durch die Beteiligung mehrerer Steuergeräte komplexer wird und die Anzahl der Testfälle steigt.
Schlussfolgerungen
Das Vorentwicklungsprojekt von Vector verdeutlicht die Vor- und Nachteile verschiedener Integrationsansätze eines EVCC. Die Auswahl des Ansatzes sollte sich an der verfügbaren Hardware und der Software-Verteilung innerhalb der Zonenarchitektur orientieren. Zudem können sich durch zukünftige Hardware-Plattformen mit leistungsfähigeren Prozessoren und Hardware-Beschleunigern neue Integrationsszenarien ergeben. Eine geeignete Ladekommunikations-Software muss dafür jedoch flexibel und portierbar sein. Im SDV sind mehr denn je ökonomische und projektspezifische Faktoren der Steuergeräteentwicklung zu berücksichtigen. Aus technischer Sicht steht der Umsetzung einer effizienten Ladekommunikation im SDV jedenfalls nichts mehr im Wege. (se)
* Tobias Schneider ist Projektleiter in der Vorentwicklung bei Vector Informatik. Michael Vick ist Solution Manager für die Ladekommunikations-Software MICROSAR Charge bei Vector Informatik.
:quality(80)/p7i.vogel.de/wcms/fb/70/fb70f75028538f1658ca77d9a6d609a9/0129663582v2.jpeg "Audi ernennt mit Rouven Mohr einen neuen CTO zum 01. März 2026. (Bild: Audi )")
:quality(80)/p7i.vogel.de/wcms/e9/17/e917ac0f2198232f9a0570a3fc8d66f4/0129644217v2.jpeg "Rheinmetall konzentriert sich in Zukunft auf das florierende Rüstungsgeschäft und stößt das Automotive-Business ab. (Bild: Rheinmetall)")
:quality(80)/p7i.vogel.de/wcms/cf/00/cf00f16f6f54c2cc9970a234b944c709/0129615765v2.jpeg "Toyota plant im polnischen Wałbrzych auf einer Fläche von 25.000 Quadratmetern ein neues Kreislaufwerk zu errichten. (Bild: Toyota)")
:quality(80)/p7i.vogel.de/wcms/aa/c6/aac692cf3ab8e03157d2179a1e1c5b61/0129596854v2.jpeg "Die Chancen für eine europäische Zellfertigung stehen schon länger schlecht. Als Günde sind hohe Fertigungskosten, technische Schwierigkeiten beim Hochlauf der Produktion sowie Überkapazitäten am Markt zu nennen. (Bild: McKinsey)")
:quality(80)/p7i.vogel.de/wcms/8d/3b/8d3b284de5a5de65ba7453e75b085be7/0129651134v2.jpeg "Software-definiertes Fahrzeug: Wie lässt sich Ladekommunikation zuverlässig und performant in komplexe E/E-Architekturen integrieren? (Bild: Vector Informatik)")
:quality(80)/p7i.vogel.de/wcms/6a/20/6a20d837ebe5d7346bbda7378c0982b6/0129641063v2.jpeg "Mehrere Partner aus Industrie und Wissenschaft entwickeln eine Megawatt-Brennstoffzelle für maritime Anwendungen; und darüber hinaus. (Bild: DFDS)")
:quality(80)/p7i.vogel.de/wcms/5a/24/5a2411b164b103bc1a7a01ac508abade/0129630833v2.jpeg "Das zentral positionierte, beleuchtete Claas-Logo wird von Arbeits- und Tagfahrlichtern eingerahmt. (Bild: Claas)")
:quality(80)/p7i.vogel.de/wcms/6e/f9/6ef9080deb168cff730982b6c0e6c4be/0129603821v2.jpeg "TDK präsentiert zwei für On-Board-Ladegeräte optimierte Serien von DC-Link-Kondensatoren. (Bild: TDK)")
:quality(80)/p7i.vogel.de/wcms/8b/bb/8bbb00e076add5387fb9a16c43ce9f2b/0129635487v2.jpeg "Mit dem Mireo Plus H sind erste Wasserstoffzüge im Fahrgastbetrieb im Einsatz. Doch der TÜV Süd betont, dass es bisher keine harmonisierten Sicherheitsstandards für alternative Antriebskonzepte im Bahnverkehr gibt. (Bild: Siemens Mobility)")
:quality(80)/p7i.vogel.de/wcms/fd/c9/fdc99f6a323694b79c0bbe20992de3ff/0129617912v2.jpeg "Peter Park will mit Automatic Payment den gesamten Parkvorgang leichter gestalten und manuelle Bezahlprozesse überflüssig machen. (Bild: Peter Park)")
:quality(80)/p7i.vogel.de/wcms/87/b6/87b66610836056a717e397d0ee010c8e/0129568242v2.jpeg "Air bp und Airbus haben einen mehrjährigen Vertrag zur Lieferung von Kraftstoff unterzeichnet. (Bild: Airbus)")
:quality(80)/p7i.vogel.de/wcms/b9/16/b9166464a702f16ccd3d8fb25d237ed4/0129557498v2.jpeg "So soll zukünftig die seegängige Technologieplattform aussehen. Sie soll als schwimmendes Labor dabei helfen, klimaverträgliche Antriebe zu erforschen und weiterzuentwickeln. (Bild: DLR)")
:quality(80)/p7i.vogel.de/wcms/c3/68/c368a3ad72ac970809451c311e05a07b/0127817359v2.jpeg "Der Erfolg der Zürcher S-Bahn: Die Doppelstockzüge, seit 1990 im Netz der Zürcher
S-Bahn eingesetzt werden. (Bild: SBB/CFF/FFS)")
:quality(80)/p7i.vogel.de/wcms/6a/4f/6a4f63cfca5e01026d25edd19b5302c5/0127761368v3.jpeg "Mit der Bahn quer durch Europa: Durch die neuen Pläne sollen Flüge reduziert werden und der Schienenverkehr ausgebaut werden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/42/86/4286fd057b5413102fbac1758d2dc55f/0127713923v3.jpeg "Rheinmetall wirde mit dem Red Dot Design Award 2025 für den Ladebordstein im Gesamtwettbewerb „Product Design“ in der Kategorie „Innovative Design“ prämiert. (Bild: Rheinmetall)")
:quality(80)/p7i.vogel.de/wcms/36/49/36496a26b0c295de6d9a36d66ea7571a/0125402418v3.jpeg "Eine chinesische Magnetschwebebahn erreichte 650 km/h in nur 7 Sekunden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/99/d6/99d6d872eb722f6fee63a352f97d17ae/0128044433v2.jpeg "In einem SDV ist die Software das zentrale Produkt. Sie ermöglicht Funktionen wie Over-the-Air-Updates, personalisierte Fahrerlebnisse und automatisiertes Fahren. Um das zu ermöglichen, muss die Art und Weise, wie Fahrzeuge entwickelt und konstruiert werden, grundlegend neu gedacht werden. (Bild: Intellias)")
:quality(80)/p7i.vogel.de/wcms/30/cb/30cb780fd7026ae9761fa2030548c3c0/0126557858v2.jpeg "Funktionen und Intelligenz eines Software-dinierten Fahrzeugs sind maßgeblich von der Rechenarchitektur und Software abhängig. (Bild: NXP)")
:quality(80)/p7i.vogel.de/wcms/b9/f9/b9f91374f6a0bb400dfe4f874c9b7e90/0123462634v2.jpeg "Mit Microsar IO hat Vector eine schlanke, sichere und leistungsfähige Embedded Software für kleine Mikrocontroller vorgestellt. (Bild: Vector Informatik)")
:quality(80)/p7i.vogel.de/wcms/24/72/24722282c9c39f8b70c004e63df33c92/0124697970v2.jpeg "Der Kommunikationscontroller vSECC.MCS ermöglicht die Echtzeit-Kommunikation zwischen Ladesystem und Fahrzeug beim Megawattladen und unterstützt Ladeleistungen bis zu 3,75 MW. (Bild: Vector Informatik)")