功率仪表装置

1.一种电功率仪表装置，包括：
计量单元，被配置为耦合至电力线、确定功率消耗并提供表示所述功率消耗的测量数据；
包括存储器的可编程控制单元，所述存储器存储被配置为在控制单元上运行的软件；
以及
通过通信链接耦合到所述控制单元的安全单元，其中所述安全单元被配置为存储至少一个密钥并确定所述可编程控制单元的存储器中存储的软件是否已被授权，其中所述电功率仪表装置，还包括开关电路，包括至少一个开关元件，所述至少一个开关元件被配置为连接至所述电力线并被配置为根据由所述开关电路接收到的驱动信号来导通或关断；其中所述安全单元被配置为：
从控制单元接收所述开关电路的驱动信息；
检验所述驱动信息的有效性；以及
仅在所述驱动信息已被确定为有效时才根据所述驱动信息来产生所述驱动信号。
2.根据权利要求1所述的电功率仪表装置，其中所述至少一个密钥包括秘密密钥。
3.根据权利要求1所述的电功率仪表装置，其中所述至少一个密钥包括公开密钥。
4.根据权利要求1所述的功率仪表装置，其中所述控制单元还包括：
至少一个第一接口电路，被配置为将控制电路连接至网络。
5.根据权利要求1所述的功率仪表装置，还包括与控制单元耦合的显示器。
6.根据权利要求1所述的功率仪表装置，还包括：评估单元，被配置为存储测量数据。
7.根据权利要求6所述的功率仪表装置，
其中所述安全单元被配置为在从控制单元接收到请求时读出所存储的测量数据，以及其中所述安全单元被配置为：检验所述请求的有效性；以及仅在所述请求已被确定为有效时才读出所述测量数据。
8.根据权利要求1所述的功率仪表装置，其中所述安全单元还被配置为存储测量数据。
9.根据权利要求1所述的功率仪表装置，其中所述安全单元还被配置为通过验证特定行为来验证功率仪表的完整性。
10.根据权利要求1所述的功率仪表装置，其中所述安全单元还被配置为产生或评估证书。
11.根据权利要求1所述的功率仪表装置，其中所述控制单元和所述安全单元中的至少一个被配置为存储收费信息、日期信息和/或时间信息中的至少一个。

功率仪表装置\n技术领域\n[0001] 本发明的实施例涉及一种电功率仪表装置（arrangement），例如智能电功率仪表装置。\n背景技术\n[0002] 电功率仪表适于测量与电源线相连接的电负载的功率消耗。功率仪表耦合至电源线并测量电源线处的电压和流经电源线的电流以便确定功率消耗。\n[0003] 传统机电功率仪表包括显示自功率仪表被安装起已消耗的功率的非电子显示器。\n公用事业（utility）公司的雇员有规律地（通常每年几次）评估仪表读数以便计算自上次评估起的功率消耗并且以便相应地给客户开账单。\n[0004] 智能电功率仪表是以下电子设备：其耦合至电力线，并且适于测量功率消耗并将表示功率消耗的测量值存储在存储设备中。可以现场读出存储器。备选地，智能仪表可以具有将智能仪表连接至通信网络的接口。经由该网络，公用事业公司可以读取存储器，使得现场不需要有雇员。该网络可以是任何合适的网络，如无线网络、电话网络或电力线。\n[0005] 尤其是当功率消耗数据被传输至公用事业公司时，功率消耗数据是敏感数据，这是由于这些功率消耗数据允许基于消费者的习惯来得出结论并且因此可能被可以在网络上“窃听”的未授权第三方滥用于监视目的。此外，功率消耗数据可能被消费者篡改以便减少电费。\n[0006] 一些智能功率仪表包括开关装置（断路器），该开关装置可以由公用事业公司远程操作以便在例如客户未付账或者正在消耗过多功率时中断电力供应。不言而喻，断路器的未授权操作可能对于消费者而且对电网的稳定性具有严重后果。\n发明内容\n[0007] 在一个实施例中，本发明提供了一种安全且防篡改的仪表。\n[0008] 在第一方面中，一种电功率仪表装置包括计量单元，其被配置为耦合至电力线以便确定功率消耗并且提供表示所述功率消耗的测量数据。可编程控制单元包括存储器，其被配置为存储被配置为在控制单元上运行的软件。安全单元被配置为存储至少一个密钥并确认在所述可编程控制单元的存储器中存储的软件被授权。\n附图说明\n[0009] 现在将参照附图来解释示例。附图用于示意基本原理，使得仅示意了对于理解基本原理所必需的方面。附图不是按比例绘制的。在附图中，相同的参考字符表示相似的特征。\n[0010] 图1示意了根据第一实施例的功率仪表装置的框图，该功率仪表装置包括计量单元、控制单元和安全单元；\n[0011] 图2示意了根据第二实施例的功率仪表装置的框图；\n[0012] 图3示意了可以由安全单元执行的软件认证方法的一个实施例；\n[0013] 图4示意了包括开关电路的电功率仪表装置的实施例；\n[0014] 图5示意了其中控制单元包括用于与公用事业公司进行通信的通信接口的电功率仪表装置的实施例；\n[0015] 图6示意了由公用事业公司和安全单元执行的功率仪表认证方法的一个实施例；\n以及\n[0016] 图7示意了由公用事业公司和安全单元执行的公用事业认证方法的一个实施例。\n具体实施方式\n[0017] 图1示出了示意电功率仪表装置（具体地是智能功率仪表装置）的第一实施例的框图。功率仪表装置包括计量单元11，该计量单元11被配置为耦合至电力线100并确定功率消耗（或者更准确地是电能消耗）。计量单元11测量经由电力线100传送的电能。这可以是从供应者（未示出）（如公用事业公司）传送至消费者（或者更准确地是传送至与电力线100相连接且由用户操作的电负载51（以虚线示意））的电能。然而，这也可以是在例如消费者对电流产生装置（如太阳能电池板）进行操作时沿相反方向从消费者传送至供应者的能量。\n[0018] 计量单元11包括例如感测设备12，该感测设备12耦合至电力线11并被配置为将测量信号S12提供给评估单元13。测量信号S12至少表示流经电力线11的电流，但也可以包括两个子信号，其中一个子信号表示流经电力线100的电流而一个子信号表示电力线100处可用的电压。评估单元13被配置为根据电流信号或者根据电流和电压信号来计算功率消耗。根据第一备选方案，评估单元13根据测量的电流来计算有效电流（均方根电流）并基于该有效电流以及电力线100处的电压的已知（且通常仅稍微变化）均方根值来计算功率消耗。根据第二备选方案，评估和存储单元13考虑到测量的电流值和测量的电压值两者来计算功率消耗。\n[0019] 评估单元13还被配置为计量所评估的功率消耗以便提供表示累积功率消耗的测量数据，其为经由电力线100传送的电能。该测量数据表示自在过去的给定时间起消耗的能量。例如，该时间可以是安装功率仪表时的时间或者上次从计量单元11读出测量数据时的时间。\n[0020] 可选地，计量单元11被配置为存储若干测量数据（功率仪表读数），其中这些测量数据中的每一个表示在过去的另一时间处的累积功率消耗（能量消耗）。这些测量数据提供了功率消耗历史，该功率消耗历史不仅允许确定绝对能量消耗而且允许评估功率消耗的波动。存储功率仪表读数的历史提供了附加信息，如在哪些时间处功率消耗相对高或相对低的信息。\n[0021] 具有感测设备12和评估单元13的计量单元11可以是传统智能功率仪表计量单元。这种计量单元通常是已知的，使得在这点上不需要进一步的解释。\n[0022] 在图1中，仅示意了一个电力线100。然而，功率仪表装置可以连接至多于一个电力线，如三相电力系统中的三个电力线。在这种情况下，功率仪表装置包括三个感测设备\n12，这三个感测设备12将其感测信号提供给评估单元13。\n[0023] 功率仪表装置还包括控制单元20。控制单元20被配置为与计量单元11进行通信，使得控制单元20可以从评估单元13接收数据（如测量数据）和/或控制单元20可以将数据（如，用于在已取得测量数据之后重置计量单元11的数据）提供给计量单元11。控制电路20与计量单元11之间的通信链路可以以传统方式利用这两个单元11、20之间的直接链路（如所示意）或者利用也可以用于向功率仪表装置内的其他单元的数据传输的总线（未示意）来实现。\n[0024] 控制电路20包括具有存储器22（具体地是非易失性存储器）的可编程设备21，在该存储器22中可以存储软件程序。可编程设备21可以利用微控制器来实现。根据一个实施例，存储器22不仅被配置为存储软件，而且被配置为存储从计量单元11取得的测量数据。\n[0025] 可选地，输入/输出装置（如显示器23和/或小键盘24）连接至控制单元20中的可编程设备21。输入/输出装置允许用户从控制单元20取得信息，如可编程设备21中存储的测量数据或由控制单元20从评估单元13取得的评估数据。此外，显示器可以用于显示收费信息或服务信息，如仪表序列号等。\n[0026] 由控制单元20显示的测量数据可以例如由被公用事业公司所授权的人读取，并可以形成用于对消费者收费的基础。因此，最相关的是，由控制单元20显示的或由其他装置传输至公用事业公司的测量数据是正确的。从评估单元13取得且由控制单元20显示或被转发至公用事业公司的数据由被存储器22中存储的软件所管控的处理设备21处理。假定具有欺诈意图的第三方利用显示或转发所操控的测量数据（例如，表示比实际消耗低的消耗的数据）的被篡改软件或固件来替换该软件或固件。在这种情况下，显著的经济损失可能是公用事业公司的后果。\n[0027] 为了防止控制单元20中存储的软件被篡改或者为了检测控制单元20中存储的被篡改软件，功率仪表10包括安全单元14，该安全单元14被配置为确认可编程控制单元20的存储器22中存储的软件或固件被授权。安全单元14可以被实现为硬件安全模块（HSM）。\n根据一个实施例，计量单元11和安全单元14实现在公共模块或外壳（在图1中以虚线示意）中。该模块或外壳10可以包括附加安全装置（未示出）（如安全开关），该附加安全装置可以例如在打开或尝试打开模块或外壳10的情况下禁用功率仪表，或者向公用事业公司报警。\n[0028] 安全单元14经由通信链路耦合至控制单元20。该通信链路可以是如图1中示意的专用通信链路。根据图2中示意的另一实施例，功率仪表10包括通信总线18，其中控制单元20、计量单元11和安全单元14耦合至该通信总线18并且该通信总线18允许这些单元之间的通信。\n[0029] 软件认证方法通常是已知的。这些传统方法中的任一种方法可以由安全单元14执行以便验证存储器22中存储的软件被认证或授权。在图3中示意性地示意了可以由安全单元14和控制单元20实现的软件认证方法的一个实施例。在该方法中，控制单元20的存储器22包括两个存储扇区：第一扇区221，其中存储程序代码；以及第二扇区222，其中存储认证信息。例如，认证信息是第一扇区221中存储的程序代码或部分程序代码的校验和的加密版本。例如，校验和是使用安全散列算法（SHA）（如SHA1或SHA256）从程序代码中获得的。安全散列算法是单向函数，使得基于校验和，不能识别程序代码。第二扇区222中存储的校验和使用一对密钥中的第一密钥来进一步加密。该对密钥中的第二密钥存储在安全单元14中，并允许安全单元14对认证信息进行解密以便取得校验和。第一密钥是仅被公用事业所已知的且用于对校验和进行解密的秘密密钥，而第二密钥是公开密钥。该第二密钥可以存储在安全单元14或控制单元20中。安全单元14还对第一扇区221中存储的程序代码应用安全散列算法，并将对程序代码应用散列算法的结果与通过对认证信息进行解密而获得的校验和进行比较。如果该校验和等于应用散列算法的结果，则认为存储器22中存储的软件/固件被授权。再者，图3中示意的方法仅是用于执行软件认证的多种不同方法中的一种。代替图3中示意的方法，这些其他方法中的每一种方法可以结合图1和2中示意的功率仪表而实现。如果认证过程的结果将是存储器中存储的软件未被授权，则根据一个实施例，丢弃/去激活该软件。\n[0030] 参照图4，根据另一实施例的功率仪表10包括也被称作断路器的开关电路16。开关电路16包括具有负载路径的开关元件，其被配置为连接至电力线100或者更准确地是被配置为连接在电力线100的两个端子之间。开关电路16在控制输入处接收控制或驱动信号S16，并被配置为每当它被驱动时呈现（assume）并锁定导通状态或关断状态。在导通状态中，开关电路16允许电流流经电力线100，而在关断状态中，开关电路16防止电流流动，即中断电力线100。开关电路16可以包括传统开关元件（如继电器或半导体电力开关）以及用于根据控制或驱动信号S16来驱动开关元件的驱动电路。这种开关电路或断路器通常是已知的，使得在这点上不需要进一步的解释。\n[0031] 在图1中，仅示意了一个电力线。因此，在图4中仅示意性地示意了开关电路16的一个开关元件。当然，功率仪表可以连接至多于一个电力线，如三相电力系统中的三个电力线。在这种情况下，开关电路包括与该多个电力线相对应的多个开关，其中这些开关中的每一个连接至电力线之一。开关电路的这些若干开关可以通常由控制器驱动信号S16控制或驱动。\n[0032] 在图4中示意的实施例中，驱动信号S16由安全单元14提供。在该实施例中，开关电路16直接连接至安全单元14。然而，这仅是示例。安全单元14和/或开关电路16也可以连接至信号总线18，并可以经由信号总线18从安全单元14接收驱动信号S16。\n[0033] 例如，安全电路14可能被配置为在它检测到在控制单元20中存储未授权软件时（即，在软件认证过程已失败之后）关断开关电路16。\n[0034] 图5示意了功率仪表10的另一实施例。在该实施例中，控制单元20包括第一接口电路25，该第一接口电路25被配置为将控制单元20连接至网络31。第一接口单元25实现控制电路20与电力或公用事业公司41之间的数据通信。网络31可以是传统数据通信网络，如电话网络、无线网络或适于电力线通信的电力线网络。\n[0035] 控制单元20与电力公司41之间的数据通信可以包括：功率消耗数据经由网络31从控制单元20至公用事业公司41的传输；在存储器22中存储且在控制单元20上运行的软件的软件更新的传输；（例如，开关电路16的）控制信息或控制数据（例如，如收费数据）经由网络31从公用事业公司41至控制单元20的传输。借助于控制信息，公用事业公司\n41可以远程致动（即，导通或关断）断路器16。由控制单元20从计量单元11取得且经由网络31传输至公用事业公司41的功率消耗允许电力公司基于客户的能量消耗来给客户开账单，其中不需要对功率消耗或能量消耗数据的现场读取。\n[0036] 经由网络31，公用事业公司41可以验证与公用事业公司41进行通信或尝试与公用事业公司41进行通信的功率仪表10是由公用事业公司41或由另一可信实体授权的功率仪表。在图6中示意性地示意了用于验证功率仪表10是否是被授权的功率仪表的方法的实施例。在该实施例中，公用事业公司41保持从具有公开密钥和私有密钥的一对密钥中选择的公开密钥，并且功率仪表的安全单元14保持对应的私有密钥15。可以以传统方式产生该对密钥，并可以以传统方式将该对密钥提供给公用事业公司41和安全单元14。这些密钥可以是恒定的，或者这些密钥可以是在会话开始时安全协商的会话密钥。为了验证对功率仪表的授权，公用事业公司41经由网络31和控制单元20将质询（challenge）发送至安全单元14。安全单元14利用安全单元14中存储的私有密钥来对该质询进行加密，并将加密后的质询转发至公用事业公司41。公用事业公司41使用公用事业公司41中存储的公开密钥来对加密后的质询进行解密，并将解密后的从安全单元14接收到的响应与原始转发至安全单元14的质询进行比较。如果原始转发至安全单元14的质询与解密后的响应相对应，则公用事业公司41中存储的公开密钥和安全单元14中存储的私有密钥是对应的密钥。\n在这种情况下，认为功率仪表是被授权的功率仪表。\n[0037] 以等效的方式，功率仪表（具体地是在功率仪表中实现的安全单元14）可以验证经由网络31向功率仪表请求消耗数据或将控制数据（如，用于导通或关断断路器16的数据）转发至功率仪表的实体是被授权的实体。在图7中示意了使得安全单元14能够验证请求数据或转发控制数据的实体（如公用事业公司41）是被授权的实体的方法的实施例。在该方法中，安全单元14保持公开密钥，而公用事业模型41保持对应的私有密钥。出于验证目的，安全单元14经由控制单元20和网络31将质询转发至公用事业公司41。公用事业公司41使用私有密钥来对质询进行加密并将响应转发至安全单元14，其中该响应是加密后的质询。安全单元14使用公开密钥来对从公用事业公司41接收到的响应进行解密，并将解密过程的结果与原始转发至公用事业公司41的质询进行比较。如果该质询与解密后的响应相对应，则认为公用事业公司41被授权。\n[0038] 根据一个实施例，仅在使用例如图7中示意的方法成功地验证了公用事业公司41被授权之后，功率仪表装置将功率消耗数据传输至公用事业公司41。此外，功率仪表被配置为：仅在使用例如图6中示意的方法成功地验证了公用事业公司41被授权之后，接受来自公用事业公司41的传输功率消耗数据的请求或者接受从公用事业公司41接收的控制数据。\n[0039] 除了对功率仪表和公用事业公司41进行认证以外或者作为对功率仪表和公用事业公司41进行认证的备选，可以对公用事业公司41与功率仪表之间的通信进行加密。该通信可以包括从功率仪表传输至公用事业公司41的功率消耗数据，或者可以包括从公用事业公司41传输至功率仪表的数据请求或控制数据。对功率仪表与公用事业公司41之间的通信进行加密可以包括使用具有公开密钥和私有密钥的密钥对，其中功率仪表和公用事业公司41中的一个使用公开密钥来对要传输的信息进行加密，而功率仪表和公用事业模型41中的另一个使用对应的私有密钥来对加密后的信息进行解密。在功率仪表中，这种通信中所涉及的密钥可以存储在安全单元14中，该安全单元14可以被实现为硬件安全模块。\n[0040] 在功率仪表中，向公用事业公司41传输的数据的加密和从公用事业公司41接收的数据或控制信息的解密由安全单元14执行。为此，安全单元14接收要传输至公用事业公司41的数据（如来自计量单元11的数据），并在经由控制单元20和网络将数据传输至公用事业公司41之前对这些数据进行加密。同样地，安全单元14接收由控制单元20传输的数据或信息，对这些数据或信息进行解密，并将解密后的信息转发至功率仪表中的相应单元（如断路器16或计量单元11）。从公用事业公司41针对计量单元11接收的数据可以是例如在已从计量单元11读取功率消耗数据并将其转发至公用事业公司41之后对计量单元进行重置的数据。由断路器16接收的数据或信息是导通或关断断路器16的开关信息。\n[0041] 根据另一实施例，对要传输或接收的数据分别进行的加密和解密不是由安全单元\n14执行的，而是由控制单元20执行的。在这种情况下，安全单元14（其可以被实现为硬件安全单元）存储对加密/解密过程所需的加密/解密密钥并将这些密钥提供给控制单元20。\n[0042] 安全单元14的功能是在功率仪表装置与电力公司之间提供安全数据通信。在这一点上，“安全数据通信”意味着：仅向电力公司41处的被授权实体揭露由功率仪表装置提供的数据（如功率消耗数据），并且仅从电力公司处的被授权实体接受外部数据（如，断路器\n16的控制数据或逻辑单元21的软件更新）。此外，硬件安全单元安全地存储功率仪表装置中所需的所有密钥，如用于通信的密钥以及为验证对控制单元20中存储的软件的认证所需的密钥。根据另一实施例，安全单元14被配置为安全地存储由计量单元11提供的测量数据或测量数据的历史（其然后可以传输至公用事业公司）。根据又一实施例，安全单元14也被配置为存储关于篡改尝试的信息。这种篡改尝试可以包括将未授权软件存储在控制单元20中，其中可以使用在上文中详细解释的方法来检测这种类型的篡改尝试。根据一个实施例，计量单元11被配置为接收收费信息。可以在评估单元13中使用该收费信息以基于功率消耗来计算能量价格。\n[0043] 根据一个实施例，可以经由逻辑单元21和另一网络32（如家域网（HAN））将评估单元13中存储的收费信息提供给电负载。出于供电目的，这些负载还连接至电力线。例如，电负载中的该收费信息可以用于在例如收费不是给定的收费时防止电负载的操作。\n[0044] 参照图5，功率仪表装置另外可以包括电压供应电路17的断电控制，该电压供应电路17连接至电力线100并被配置为功率仪表装置的电路提供供应电压。为了避免通过经过由控制单元20发出的命令将功率仪表10发送至休眠模式而对功率仪表10的未授权禁用，也可以经过安全单元14来管理该功能。\n[0045] 除认证和加密/解密功能外，安全单元14可以存储在系统中出于不同的加密目的而使用的所有秘密密钥，如用于认证或加密/解密目的的秘密密钥；通过验证特定行为来验证功率仪表的完整性；或者产生并评估证书，以更新秘密密钥或实现附加的安全功能。\n[0046] 尽管揭露了本发明的各个示例性实施例，但是对本领域的技术人员将显而易见，在不脱离本发明的精神和范围的情况下可以进行将实现本发明的一些优势的各种改变和修改。对本领域的合理技术人员将显而易见，可以用其他执行相同功能的组件进行适当替换。应当提及，参照具体附图所解释的特征可以与其他附图的特征进行组合，即使在其中并未明确提及这一点的情况下也是如此。此外，可以在使用适当处理器指令的所有软件实现中或者在利用硬件逻辑和软件逻辑的组合来实现相同结果的混合实现中实现本发明的方法。对发明概念的这种修改旨在被所附权利要求所覆盖。