ELEKTRONISCHES ZUGANGSSYSTEM MIT MEHREREN TAKTGEBERN UND SPEICHERN

Beschreibung

[0001] Die vorliegende Erfindung betrifft ein elektronisches Zugangssystem sowie ein Verfahren zum Betrieb eines solchen Zugangssystems.

[0002] Elektronische Zugangssysteme sind in der Praxis weit verbreitet, um ausschließlich berechtigten Nutzern nach einer Überprüfung Zugang zu einer bestimmten Funktion oder zu einem Raum oder einem Behältnis zu gewähren. Ein elektronisches Zugangssystem mit mehreren Kartenlesern und einem zentralen Steuergerät, bei dem Kartenlesegeräte temporär Transaktionsinformationen speichern können, wenn die Kommunikationsverbindung mit dem zentralen Steuergerät abbricht, ist beispielsweise in der EP 0 104 767 A2 beschrieben.

[0003] Ein gattungsgemäßes Zugangssystem kann beispielweise lediglich einen Zugang zu einer bestimmten Funktion eines gesicherten (übergeordneten) Systems gewähren, wenn ein berechtigter Nutzer erkannt wird. So kann beispielsweise die Identität eines Nutzers verifiziert werden, um erst nach positiver Verifikation an einem Bankautomaten oder einem Bankterminal Zugang zu bestimmten Kontofunktionen zu ermöglichen. Analog kann ein gattungsgemäßes elektronisches Zugangssystem ausschließen, dass ein unberechtigter Nutzer räumlichen Zugang zu einem gesicherten Raum oder einem gesicherten Behältnis oder Gehäuse, wie z. B. einem Waffenschrank, erhält.

[0004] Derartige elektronische Zugangssysteme weisen üblicherweise wenigstens eine Außeneinheit auf sowie eine hierzu separate Steuereinheit, die üblicherweise aber in räumlicher Nähe zu der Außeneinheit, d.h., beispielsweise innerhalb desselben Gebäudes oder an dem zusichernden Element oder Raum angeordnet ist. Die Außeneinheit ist mit einer Eingabeeinrichtung und einer Auswertelogik ausgestattet, wobei mittels der Auswertelogik eine mittels der Eingabeeinrichtung erfasste Benutzerkennung mit wenigstens einer Referenz, insbesondere mindestens einem Referenzwert oder -muster vergleichbar ist, um anhand des entsprechenden Vergleichs zu bewerten, ob die erfasste Benutzerkennung zu einem Zugang berechtigt oder nicht. Die Eingabeeinrichtung kann hierfür beispielsweise einen Fingerabdruckscanner umfassen, so dass anhand eines abgescannten Fingerabdrucks als Benutzerkennung ermittelbar ist, ob ein berechtigter Nutzer Zugang verlangt. Die separate und mit der Außeneinheit gekoppelte Steuereinheit des Zugangssystems ist eingerichtet, von der Außeneinheit ein Freigabesignal zu empfangen, wenn die erfasste Benutzerkennung zu einem Zugang berechtigt. In Reaktion auf dieses Freigabesignal wird durch die Steuereinheit ein Steuersignal erzeugt, infolgedessen einem berechtigten Nutzer des Zugangssystems Zugang gewährt wird. Während also durch die Außeneinheit eine Prüfung erfolgt, ob ein berechtigter Benutzer Zugang verlangt, wird an der Steuereinheit bei positiver Überprüfung die Gewährung des jeweiligen Zugangs ausgelöst.

[0005] Bei einem elektronischen Zugangssystem für einen gesicherten Raum oder ein gesichertes Behältnis oder Gehäuse ist die Außeneinheit beispielsweise im Bereich einer Tür des Raumes oder des Behältnisses oder Gehäuses vorgesehen. Die Steuereinheit liegt demgegenüber üblicherweise im Inneren des Raumes oder des Behältnisses oder Gehäuses vor, um einen zusätzlichen Schutz vor etwaigen Manipulationen zu bieten. Dabei steuert die Steuereinheit beispielsweise ein elektronisches Schloss oder einen Verstellmechanismus, so dass bei Erfassung einer zulässigen Benutzerkennung und somit eines berechtigten Benutzers die jeweilige Tür automatisch freigegeben oder sogar selbsttätig geöffnet wird.

[0006] Bei elektronischen Zugangssystemen, insbesondere zur Sicherung von Türen an Räumen oder an Behältnissen oder Gehäuses handelt es sich typischerweise um autarke Systeme, die allenfalls an eine Stromversorgung angeschlossen sind, jedoch keine (dauerhaft aktivierte oder kontaktierte) Schnittstelle zu einem Steuerungssystem aufweisen. So wäre beispielsweise durch eine Verbindung mit einem Computernetzwerk oder einem einzelnen Computersystem eine höhere Manipulationsanfälligkeit gegeben, da über eine entsprechende Schnittstelle auch ein missbräuchlicher Angriff auf das Zugangssystem von Außen erleichtert wäre.

[0007] Die Autarkie elektronischer Zugangssysteme bringt jedoch Probleme im Hinblick auf die Protokollierung detektierter Ereignisse mit sich. So ist es beispielsweise nicht ohne weiteres möglich, gewährte und nicht gewährte Zugänge chronologisch und verlässlich zu speichern. Gerade bei Einbrüchen besteht aber ein großes kriminalistisches Interesse daran festzustellen, wann und gegebenenfalls durch wen zuletzt ein berechtigter Zugang erfolgte. Gleichermaßen kann auch von Versicherungsseite gefordert sein, dass ein verwendetes elektronisches Zugangssystem in der Lage ist, mit Datum und Uhrzeit anzugeben, ob und wann zuletzt ein berechtigter Zugang erfolgt ist, um im Schadensfall nachweisen zu können, dass tatsächlich ein unberechtigter Zugang erfolgt ist.

[0008] Der vorliegenden Erfindung liegt die Aufgabe zugrunde, ein elektronisches Zugangssystem in dieser Hinsicht zu verbessern und die vorgenannten Nachteile zu überwinden.

[0009] Diese Aufgabe wird sowohl mit einem elektronischen Zugangssystem des Anspruchs 1 als auch mit einem Verfahren zum Betrieb eines elektronischen Zugangssystems nach dem Anspruch 13 gelöst.

[0010] Gemäß der Erfindung ist ein elektronisches Zugangssystem mit wenigstens einer Außeneinheit und einer hiervon separaten - üblicherweise innenliegenden - Steuereinheit vorgeschlagen, wobei

• die Außeneinheit eine Eingabeeinrichtung und eine Auswertelogik aufweist und mittels der Auswertelogik eine mittels der Eingabeeinrichtung erfasste Benutzerkennung mit wenigstens einer Referenz vergleichbar ist, um anhand des Vergleichs zu bewerten, ob die erfasste Benutzerkennung zu einem Zugang berechtigt oder nicht, und
• die Steuereinheit eingerichtet ist, von der Außeneinheit ein Freigabesignal zu empfangen, wenn die erfasste Benutzerkennung zu einem Zugang berechtigt, und in Reaktion hierauf ein Steuersignal zu erzeugen, infolgedessen einem Benutzer des Zugangssystems Zugang gewährt wird.

[0011] Erfindungsgemäß ist sowohl in der Außeneinheit als auch in der Steuereinheit mindestens ein Speicher vorgesehen, in dem jeweils wenigstens mit einem Zeitstempel versehene Daten zu gewährten Zugängen gespeichert werden. Ferner weisen die Außeneinheit und die Steuereinheit jeweils einen Taktgeber zur Erzeugung einer Zeitinformation auf, wobei die erzeugten Zeitinformation der beiden Taktgeber der Außeneinheit und der Steuereinheit miteinander synchronisiert sind, um einen abgeglichenen internen Zeitstempel für das Zugangssystem bereitzustellen und eine Plausibilitätsprüfung für die aus den unterschiedlichen Speichern der Außeneinheit und der Steuereinheit stammenden Daten untereinander zu ermöglichen.

[0012] Nach einer anfänglichen Initialisierung der Taktgeber, auf deren Basis eine Anfangszeit - vorzugsweise einschließlich des aktuellen Datums und der aktuellen Uhrzeit - eingestellt wird, ist über den Taktgeber der Außeneinheit und über den Taktgeber der Steuereinheit grundsätzlich jedes nachfolgend auftretende und elektronisch detektierbare Ereignis mit einem konkreten Bezug zur Anfangszeit und damit mit einer konkreten Zeitangabe verknüpfbar. Um hierbei sicherzustellen, dass etwaige Manipulationen an der leichter zugänglichen Außeneinheit erkannt werden und der einem detektierten Ereignis zugeordnete Zeitstempel nicht ohne weiteres verfälscht werden kann, werden die voneinander räumlich getrennten Taktgeber der Außeneinheit und der Steuereinheit zur bzw. die von Ihnen erzeugten Zeitinformation gemäß dem ersten Aspekt der Erfindung miteinander synchronisiert. Durch die Synchronisation liegen in beiden Einheiten identische Zeitinformationen vor, die dann zur Verwendung eines einheitlichen Zeitstempels für die Protokollierung von (System-) Ereignissen genutzt werden können.

[0013] Dabei kann eine in der schwerer zugänglichen Steuereinheit über deren Taktgeber erzeugte Zeitinformation eine Referenz-Zeitinformation bilden, auf die eine Zeitinformation der Außeneinheit abgeglichen wird, oder es wird umgekehrt eine Referenz-Zeitinformation durch die Außeneinheit vorgegeben. So kann das elektronische Zugangssystem beispielsweise einen Synchronisationsmechanismus aufweisen, über den nach einem definierten Zeitraum - z.B. nach 12, 24 oder 48 Stunden - Zeitinformationen der Außeneinheit und der Steuereinheit miteinander abgeglichen werden.

[0014] In diesem Zusammenhang ist in einer Ausführungsvariante vorgesehen, dass die Steuereinheit auf die Zeitinformation der Außeneinheit abgeglichen wird. Hierbei kann beispielsweise eine Rolle spielen, dass ein Taktgeber der Außeneinheit leistungsfähiger ist und damit eine geringere Abweichung zu der tatsächlich verstrichenen Zeit aufweist. Eine durch den Taktgeber gesteuerte Uhr der Außeneinheit läuft somit genauer als eine durch den anderen Taktgeber gesteuerte Uhr der Steuereinheit. Werden somit beispielsweise einmal täglich die beiden Uhren miteinander synchronisiert und folglich die damit vorgegebenen Zeitinformationen abgeglichen, weisen beiden Uhren alle 24 Stunden zumindest keine Abweichung zueinander auf.

[0015] Im Hinblick auf eine kostengünstige und platzsparende Ausbildung ist der jeweilige Taktgeber durch einen (Mikro-) Prozessor der Außeneinheit bzw. der Steuereinheit bereitgestellt, mittels dem jeweils auch für die weiteren Funktionen der jeweiligen Einheit gesteuert und umgesetzt werden. Eine Zeitinformation wird somit vorzugweise (jeweils) aus dem Takt eines ohnehin notwendigen (Mikro-) Prozessor gewonnen und ohne die Verwendung einer separaten Echtzeituhr (engl. "real-time clock", kurz RTC). So würde die Verwendung einer Echtzeituhr und insbesondere eines separaten RTC-Chips unter anderem Kosten und Größe einer Platine und/oder der jeweiligen Einheit erhöhen. Darüber hinaus wäre ein Energiespeicher, z.B. in Form einer Batterie, zwingend nötig, der die Echtzeituhr dauerhaft mit Strom versorgt und in regelmäßigen Abständen gewechselt werden muss. Ein Batteriewechsel bringt aber einen erhöhten Wartungsaufwand mit sich, um die Funktionstüchtigkeit des Systems zu gewährleisten, und ist gerade bei Zugangssystemen, die sich an (private) Endverbraucher richten, beispielsweise für Haustüren oder Tresore, unerwünscht.

[0016] Die Zeitinformation wird vorzugweise - zumindest bei der Synchronisation - in einem persistenten, d.h., nicht-flüchtigen Speicher der Außeneinheit und/oder einem persistenten Speicher der Steuereinheit gespeichert. Beispielsweise weisen die Steuereinheit und/oder die Außeneinheit hierfür einen Flash-Speicher auf. In einem Ausführungsbeispiel weist die Steuereinheit einen (flüchtigen) Arbeitsspeicher und einen persistenten Speicher für die Zeitinformationen der Steuereinheit auf, während die Außeneinheit lediglich einen flüchtigen Arbeitsspeicher für die Zeitinformation der Außeneinheit aufweist. Im jeweiligen Arbeitsspeicher, beispielsweise ein RAM (Abkürzung für engl. "Random-Access Memory", zu Deutsch: Direktzugriffsspeicher), wird die Zeitinformation laufend aktualisiert. Mit anderen Worten wird über den flüchtigen Arbeitsspeicher eine die aktuelle Zeit wiedergebende Uhr bereitgestellt, von der ein in der Außeneinheit oder Steuereinheit genutzter Zeitstempel für die Protokollierung von Ereignissen stammt. Bei einer Synchronisation wird die aktuelle Zeitinformation aus dem flüchtigen Arbeitsspeicher der Außeneinheit an die Steuereinheit übertragen. In der Steuereinheit wird dann die erhaltene Zeitinformation der Außeneinheit sowohl in dem flüchtigen Arbeitsspeicher als auch in dem persistenten Speicher der Steuereinheit gespeichert. Damit wird zum einen eine Uhr der Steuereinheit auf die Zeitinformation aus der Außeneinheit abgeglichen und zum anderen eine Referenz-Zeitinformation zum Zeitpunkt der Synchronisation dauerhaft gespeichert. Über die dauerhaft gespeicherte Referenz-Zeitinformation ist z.B. nach einem Stromausfall insbesondere eine NeuKalibrierung der Uhr der Außeneinheit möglich.

[0017] So ist die Außeneinheit üblicherweise eher dem Risiko eines Stromausfalls, ggf. auch durch eine unzulässige Manipulation, ausgesetzt als die regelmäßig besser vor Manipulationen geschützte Steuereinheit. Fällt an der Außeneinheit die Stromversorgung aus, geht die Zeitinformation aus deren flüchtigen Arbeitsspeicher verloren. Liegt an der Außeneinheit wieder Strom an, wird dank einer entsprechenden Steuerlogik des Zugangssystem automatisch eine Synchronisation ausgeführt, bei der eine Zeitinformation aus dem flüchtigen Arbeitsspeicher oder aus dem persistenten Speicher der Steuereinheit an die Außeneinheit übertragen wird, so dass systemintern ein abgeglichener Zeitstempel bereitgestellt ist und in beiden Einheiten verwendet werden kann.

[0018] In einem Ausführungsbeispiel weist die Außeneinheit und/oder die Steuereinheit einen Energiespeicher, z. B. in Form eines Akkus oder einer Batterie auf, mittels dem im Fall eines Stromausfalls noch Daten in einen - vorzugsweise persistenten - Speicher geschrieben werden können. Der Speicher ist beispielsweise in derjenigen Einheit angeordnet, der auch einen Energiespeicher aufweist, gleichwohl dies nicht zwingend ist. Im Hinblick auf die Reduktion des Manipulationsrisikos oder zumindest ein verbessertes, späteres Erkennen einer Manipulation ist wenigstens ein Energiespeicher in der Steuereinheit vorgesehen. Hierüber kann zum Beispiel vorgesehen sein, dass die Steuereinheit mithilfe der durch den Energiespeicher zur Verfügung gestellten elektrischen Energie im Fall eines Stromausfalls noch dessen Auftreten zusammen mit einem Zeitstempel in einem persistenten (Flash-) Speicher der Steuereinheit protokolliert.

[0019] Um die Manipulierbarkeit insbesondere der abgeglichenen internen Zeitinformationen für das Zugangssystem zu erschweren, erfolgt in einer Ausführungsvariante die Kommunikation zwischen der Außeneinheit und der Steuereinheit verschlüsselt. Alternativ oder ergänzend können die Außeneinheit und die Steuereinheit miteinander gepaart werden, so dass sie in ihrer Kombination Unikate darstellen. Nach einem "Pairing" von Außeneinheit und Steuereinheit nach deren Inbetriebnahme ist eine einmal ordnungsgemäß initialisierte Außeneinheit nur noch mit einer bestimmten, hiermit gepaarten Steuereinheit zur Kommunikation geeignet und somit funktionsfähig.

[0020] Die Anfangszeit wird vorzugsweise über eine drahtlose Verbindung initialisiert, zum Beispiel über eine an der Außeneinheit vorgesehene Infrarot-Schnittstelle. Zur Initialisierung wird hierbei beispielsweise eine Fernbedienung des Zugangssystems verwendet. Das Zugangssystem kann ferner alternativ oder ergänzend eingerichtet sein, die Initialisierung einer Anfangszeit erst zu gestatten, nachdem ein berechtigter Benutzer mittels eines Fingerabdrucks erkannt wurde.

[0021] In einer Ausführungsvariante werden ferner in wenigstens einem der Speicher mindestens Daten über gewährte und nicht gewährte Zugänge mit dem Zeitstempel verknüpft gespeichert. Es wird mit anderen Worten jeder gewährte oder nicht gewährte Zugang als Ereignis zusammen mit der jeweiligen Zeitangabe als Datensatz in dem wenigstens einen Speicher hinterlegt. Derart kann zu einem späteren Zeitpunkt, zum Beispiel nach einem Einbruch, anhand der in dem Speicher hinterlegten Daten festgestellt werden, ob zum Zeitpunkt des Einbruchs oder wann zuvor letztmalig eine erfasste Benutzerkennung als zulässig erkannt und damit ein (vermeintlich) berechtigter Benutzer identifiziert wurde.

[0022] Die jeweils mit einem Zeitstempel verknüpften Daten sind bevorzugt in einer auslesbaren Datei gespeichert.

[0023] Damit die Daten auch noch auslesbar sind, wenn das gesamte System oder auch nur eine der beiden Einheiten nicht mehr mit Strom versorgt wird, ist vorzugsweise ein persistenter Speicher vorgesehen, z.B. ein bereits zuvor bereits angesprochener Flash-Speicher.

[0024] Gemäß der Erfindung ist vorgesehen, dass sowohl in der Außeneinheit als auch in der Steuereinheit mindestens ein Speicher vorgesehen ist, in dem jeweils wenigstens mit einem Zeitstempel versehene Daten zu gewährten und gegebenenfalls nicht gewährten Zugängen gespeichert werden. Es sind folglich wenigstens zwei räumlich voneinander separierte Speicher vorgesehen, die jeweils Daten über gewährte und bevorzugt auch über nicht gewährte Zugänge enthalten, so dass insbesondere zu einem späteren Zeitpunkt eine Plausibilitätsprüfung zum Beispiel der in dem Speicher der Außeneinheit abgelegten Daten anhand der in dem Speicher der Steuereinheit abgelegten Daten möglich ist. Dies wird insbesondere als vorteilhaft erachtet, da die für die Erfassung der Benutzerkennung von außen zugängliche Außeneinheit regelmäßig einem größeren Risiko für Manipulationen ausgesetzt ist und somit ein einzelner Speicher in der Außeneinheit ein geringeres Maß an Sicherheit bietet.

[0025] In einer möglichen Ausführungsvariante eines erfindungsgemäßen elektronischen Zugangssystems weist die Außeneinheit einen leistungsfähigeren (Mikro-) Prozessor auf als die Steuereinheit. So muss die Auswertlogik der Außeneinheit für die Prüfung, ob ein berechtigter Benutzer Zugang verlangt, regelmäßig deutlich leistungsfähiger ausgestaltet werden, um die Prüfung schnellstmöglich vornehmen zu können. Demgegenüber kann sich eine Steuerelektronik der Steuereinheit gegebenenfalls darauf beschränken, auf ein Freigabesignal der Außeneinheit ein Steuersignal zum Schalten eines Relais zu erzeugen. Über das geschaltete Relais kann dann beispielsweise ein Türöffner oder ein Schlossmotor angesteuert werden. Die vorgenannten Erfindungsaspekte ergänzen sich dann bei einem derartigen Zugangssystem mit unterschiedlich leistungsstarken Einheiten in besonders vorteilhafter Weise. So können beispielsweise durch die leistungsfähigere Außeneinheit deutlich mehr Daten verarbeitet und in deren Speicher abgelegt werden, während im Gegenzug in der leistungsschwächeren Steuereinheit eine geringere Anzahl Daten zu einem detektierten Ereignis ausreichend sind, um die Daten der Außeneinheit auf Plausibilität zu prüfen. Die in der Steuereinheit abgelegten Daten liegen dafür aber ebenso wie der in der Steuereinheit untergebrachte Taktgeber mit einem geringeren Manipulationsrisiko in einem gesicherten Bereich und räumlich beabstandet zu der Außeneinheit vor.

[0026] Bei dem erfindungsgemäßen elektronischen Zugangssystem, bei dem sowohl in einem Speicher der Außeneinheit als auch in einem Speicher der Steuereinheit Daten abgelegt werden, kann vorgesehen sein, dass gespeicherte Daten bei manipulationsfreien Betrieb des Zugangssystems in den mindestens zwei Speichern identisch sind. Daten werden somit redundant in beiden räumlich separierten Speichern abgelegt. Dies erleichtert eine Plausibilitätsprüfung. Hierbei können auch Kopien der in einer Einheit erfassten Daten im Speicher der anderen Einheit abgelegt werden.

[0027] Alternativ oder ergänzend können in den mindestens zwei Speichern gespeicherte Daten bei manipulationsfreiem Betrieb des Zugangssystems unterschiedlich sein. So können sich die jeweils gespeicherten Daten bereits dadurch voneinander unterscheiden, dass von den beiden Einheiten unterschiedliche Ereignisse elektronisch erfasst und hierfür Daten abgelegt werden. Beispielsweise können in einer Außeneinheit mit einem Fingerabdruckscanner ein erfasster Fingerabdruck und/oder - bei positiver Prüfung - eine zu dem Fingerabdruck gehörige Benutzer-Identifikationsnummer (kurz: Benutzer-ID) zusammen mit einem Zeitstempel verknüpft abgespeichert werden. In der damit gekoppelten Steuereinheit wird demgegenüber - ebenfalls mit einem Zeitstempel verknüpft - abgespeichert, wann ein Freigabesignal empfangen wurde und welches von mehreren möglichen Steuersignalen erzeugt wurde. So kann beispielsweise in der Steuereinheit auch (nur) mit einem Zeitstempel verknüpft abgespeichert werden, welches von mehreren möglichen Relais wann geschaltet wurde. Allgemeiner gefasst ist es somit in einer Ausführungsvariante vorgesehen, dass einen gewährten Zugang charakterisierende Daten in dem Speicher der Außeneinheit zu einen gewährten Zugang charakterisierende Daten in dem Speicher der Steuereinheit verschieden sind.

[0028] Dabei können aber selbstverständlich auch zusätzlich zu den verschiedenen Daten identische Daten(sätze) in beiden Speichern vorhanden sein. Beispielsweise werden bei positiver Prüfung eines Fingerabdrucks in einem Speicher der Außeneinheit stets eine Benutzer-ID und der erfasste Fingerabdruck oder eine komprimierte Version dieses erfassten Fingerabdrucks zusammen mit einem Zeitstempel abgelegt und in dem Speicher der Steuereinheit stets ebenfalls die Benutzer-ID zusammen mit einem Zeitstempel (als identische Daten) und ergänzend aber nur ein Parameter für das geschaltete Relais (als zu den Daten der Außeneinheit unterschiedliche Daten) abgelegt.

[0029] Da hierbei zusätzlich permanent die Taktgeber synchronisiert und somit die Zeitstempel ausgetauscht werden, können die in den Speichern abgelegten Protokolldateien problemlos zusammen betrachtet und ausgewertet werden.

[0030] In einem Ausführungsbeispiel ist die Eingabeeinrichtung der Außeneinheit dazu ausgebildet und vorgesehen, mindestens ein biometrisches Charakteristikum eines Benutzers als Benutzerkennung zu erfassen. Ein solches biometrisches Charakteristikum kann beispielsweise ein Fingerabdruck sein. Demgemäß kann die Eingabeeinrichtung einen Fingerabdruckscanner, vorzugsweise einen halbautomatischen Fingerabdruckscanner aufweisen. Bei einem halbautomatischen Fingerabdruckscanner wird ein Finger über eine schmale Scannerfläche eines Zeilensensors gezogen. Ein solches System bietet hierbei den Vorteil, dass an dem Fingerabdruckscanner selbst kein Fingerabdruck eines berechtigten Benutzers abgenommen werden kann.

[0031] Bei einem elektronischen Zugangssystem mit einem Fingerabdruckscanner wird es beispielsweise als vorteilhaft erachtet, dass in einem Speicher der Außeneinheit mehrere Ereignisse, beispielsweise die letzten 50 oder 100, die von der Außeneinheit erfasst werden, mit einem Zeitstempel zusammen protokolliert werden. Derartige Ereignisse sind beispielsweise:

• das Einlernen eines sogenannten "Masterfingers", also des Fingerabdrucks oder der Fingerabdrücke eines als Administrator betrachteten Benutzers;
• das Einlernen eines (weiteren) Benutzers;
• das Erfassen einer Benutzerkennung zusammen mit dem Prüfergebnis, also dem Ergebnis eines Identifikationsvorgangs zusammen mit einem Matching-Ergebnis, wobei bei einer positiven Überprüfung zusätzlich auch noch eine Benutzer-ID für den erkannten Benutzer abgespeichert werden kann;
• das Löschen eines Benutzers oder zumindest eines Benutzerfingers als eine in der Außeneinheit - vorzugsweise in einem Referenzspeicher - abgelegten Referenz;
• ein Reset des Zugangssystems;
• einen eventuellen Stromausfall und das (erneut) Einschalten des elektronischen Zugangssystems oder zumindest einer oder beider Einheiten des Zugangssystems;
• die Durchführung einer Implementierten Testfunktion zum initialen Testen der Funktionsfähigkeit des Zugangssystems;
• ein durch das Zugangssystem ausgelöster Sperr- und Entsperrvorgang;
• eine bestimmte, zum Beispiel 20 oder 30, Anzahl zuletzt erfasster Fingerabdrücke oder komprimierter und auswertbarer Versionen hiervon;
• Änderungen an den Einstellungen der Außeneinheit oder des Zugangssystems an sich, wie eine Umstellung von Relaisschaltzeiten, eine Umstellung eines hinterlegten Sicherheitslevels, etc..

[0032] In einer hiermit gekoppelten Steuereinheit können ebenfalls mehrere von dieser erfassten Ereignisse, beispielsweise ebenfalls die letzten 50 oder 100, zusammen mit einem Zeitstempel protokolliert werden, wie zum Beispiel:

• die Ansteuerung eines bestimmten Relais;
• der Empfangs eines Freigabesignals von der Außeneinheit;
• die Ansteuerung eines von mehreren möglichen Relais zusammen mit einem Identifikationsparameter, der angibt, welches der Relais angesteuert wurde oder ob beide Relais angesteuert wurden.

[0033] Im Hinblick auf ein elektronisches Zugangssystem, über dessen Steuereinheit ein Türschloss freigegeben oder geöffnet wird, können beispielsweise zwei durch die Steuersignale der Steuereinheit angesteuerte Relais dazu vorgesehen sein, einerseits einen Schlossmotor oder einen Türöffner und andererseits ein übergeordnetes Alarmsystem anzusteuern. Über das eine Relais wird somit beispielsweise das Türschloss freigegeben, während über das andere Relais die Alarmanlage - sofern aktiv - deaktiviert wird.

[0034] In einem Ausführungsbeispiel sind die Außeneinheit und die Steuereinheit des elektronischen Zugangssystems über wenigstens eine Signalleitung miteinander verbunden, die zwischen der Außeneinheit zwei über eine Steckerverbindung miteinander verbundene Teile aufweist. Durch das Lösen der Steckerverbindung kann somit eine Verbindung zwischen der Außeneinheit und der Steuereinheit unterbrochen werden. Das Vorsehen einer Steckerverbindung zwischen den beiden Einheiten des elektronischen Zugangssystems bietet einerseits den Vorteil einer erleichterten Integration der beiden Einheiten in eine zu sichernde Einrichtung. So kann beispielsweise die Außeneinheit einfacher in eine zu sichernde Tür eines Hauses montiert werden, während die als Inneneinheit oder Kontrollereinheit fungierende Steuereinheit innerhalb des Hauses, üblicherweise in der Nähe der Tür angebracht wird. Die Steckerverbindung liegt dabei vorzugsweise ausschließlich innerhalb des zu sichernden Räumen zugänglich vor, so dass eine Trennung der beiden Einheiten voneinander zu Manipulationszwecken von Außen nicht möglich ist.

[0035] Die Steckerverbindung zwischen Außeneinheit und Steuereinheit wird vorzugsweise zum Auslesen von in einem Speicher der Außeneinheit und/oder in einem Speicher der Steuereinheit gespeicherte Daten über gewährte und/oder nicht gewährte Zugänge genutzt. Hierfür kann eine separate Ausleseeinheit des Zugangssystems vorgesehen sein, die bei Bedarf mit der Außeneinheit und/oder der Steuereinheit verbindbar ist.

[0036] Eine solche Ausleseeinheit, die beispielsweise mit einem Computer oder Mobilgerät, wie z.B. PC, Laptop, Tablet oder Smartphone, über eine geeignete drahtgebundene oder drahtlose Schnittstelle verbindbar ist, weist in einem Ausführungsbeispiel ein erstes und ein zweites Anschlussstück auf. Diese beiden Anschlussstücke sind komplementär zu zwei Verbindungsstücken der zwischen der Außeneinheit und der Steuereinheit vorgesehenen Steckerverbindung ausgebildet. Derart sind das erste Anschlussstück mit einem ersten Verbindungsstück der Steckerverbindung und das zweite Anschlussstück mit einem zweiten Verbindungsstück der Steckerverbindung verbindbar, um Daten aus einem oder mehreren Speichern auszulesen. Durch die Verwendung zweier Anschlussstücke, die zueinander unterschiedlich ausgebildet sein können, wird einerseits vermieden, dass ein Anschlussstück der Ausleseeinheit mit dem falschen Verbindungsstück der Steckerverbindung verbunden wird. Andererseits können sowohl die Verbindungsstücke als auch die Anschlussstücke jeweils als Steckerteil oder als Buchsenteil ausgebildet sein, so dass die Steckerverbindung leicht trennbar und ein paralleler Anschluss beider Verbindungsstücke an die Ausleseeinheit bei getrennter Steckerverbindung möglich ist. So kann vorgesehen sein, dass die Ausleseeinheit gleichzeitig über ihre ersten und zweiten Anschlussstücke temporär an die Außeneinheit und die Steuereinheit angeschlossen wird, um (Protokoll-) Daten über gespeicherte Ereignisse aus beiden Einheiten auszulesen.

[0037] Über eine auf der Ausleseeinheit lauffähige Software können die ausgelesenen Daten zum Beispiel in ein bestimmtes Format konvertiert und/oder auf einem Display der Ausleseeinheit ausgegeben werden. Alternativ oder ergänzend können die ausgelesenen Daten durch einen Computer oder ein Mobilgerät, der bzw. das über eine geeignete Schnittstelle mit der Ausleseeinheit verbunden ist, in einem bestimmten Dateiformat importiert, exportiert und angezeigt werden. Hierbei kann selbstverständlich vorgesehen sein, dass eine entsprechende Software auf dem Computer oder Mobilgerät lauffähig ist, mit deren Hilfe Daten aus einem Speicher der Außeneinheit und/oder Speicher der Steuereinheit ausgelesen und verarbeitet werden können.

[0038] Ein weiterer Aspekt der Erfindung ist die Bereitstellung eines Verfahrens zum Betrieb eines elektronischen Zugangssystems, welches wenigstens eine Außeneinheit, mit einer Auswertelogik und einer Eingabeeinrichtung, wie zum Beispiel einem Fingerabdruckscanner, sowie eine von der Außeneinheit separate Steuereinheit zum Erzeugen von Steuersignalen aufweist.

[0039] Ein erfindungsgemäßes Verfahren zeichnet sich hierbei dadurch aus, dass

• sowohl in der Außeneinheit als auch in der Steuereinheit mindestens ein Speicher vorgesehen ist, in dem jeweils wenigstens mit einem Zeitstempel versehene Daten zu gewährten Zugängen - und vorzugsweise auch nicht gewährten Zugängen - gespeichert werden, und
• sowohl die Außeneinheit als auch die Steuereinheit einen Taktgeber zur Erzeugung einer Zeitinformation aufweisen und die Zeitinformationen der beiden Taktgeber miteinander synchronisiert werden, um einen abgeglichenen internen Zeitstempel für das Zugangssystem bereitzustellen und eine Plausibilitätsprüfung für die aus den unterschiedlichen Speichern der Außeneinheit und der Steuereinheit stammenden Daten untereinander zu ermöglichen.

[0040] Ein erfindungsgemäßes Verfahren kann somit von einem erfindungsgemäßen elektronischen Zugangssystem umgesetzt sein. Folglich gelten diesbezüglich vorstehend und nachfolgend genannte Vorteile und Merkmale auch für Ausführungsbeispiele eines erfindungsgemäßen Verfahrens und umgekehrt.

[0041] Weitere Vorteile und Merkmale der Erfindung werden bei der nachfolgenden Beschreibung von Ausführungsbeispielen anhand der Figuren deutlich werden.

[0042] Hierbei zeigen:

Figur 1

ein Ausführungsbeispiel eines erfindungsgemäßen elektronischen Zugangssystems mit einer einen Fingerabdruckscanner aufweisenden Außeneinheit;

Figur 2

schematisch und mit weiteren Details die Außeneinheit des Zugangssystems der Figur 1 und eine damit gekoppelte Steuereinheit;

Figur 3

schematisch die zwischen der Außeneinheit und der Steuereinheit ausgetauschten Daten und Signale;

Figur 4A

ein Beispiel für in einem Speicher der Außeneinheit und in einem Speicher der Steuereinheit identisch und chronologisch abgespeicherte Ereignisdaten;

Figur 4B

ein Beispiel für zueinander unterschiedliche Daten, die einerseits in einem Speicher der Außeneinheit und andererseits in einem Speicher der Steuereinheit abgespeichert werden;

Figur 5

schematisch die Außeneinheit und die Steuereinheit der Figur 2 mit einer über zwei Steckerverbindungen mit beiden Einheiten verbundenen Ausleseeinheit.

[0043] Die Figur 1 zeigt schematisch ein elektronisches Zugangssystem 1, bei dem eine elektronische Außeneinheit 2 in einem Außenraum AR zugänglich vorliegt und mit einer ausschließlich über einen gesicherten Innenraum IR zugänglichen Steuereinheit 3 gekoppelt ist. Über das elektronische Zugangssystem 1 ist beispielsweise eine Tür zu einem Haus oder einem Sicherheitsbereich gesichert, so dass nur berechtigten Benutzern ein Zugang hierzu gewährt wird. Während über die Außeneinheit 2 eine Benutzerkennung erfasst wird, um zu prüfen, ob es sich bei einer die Außeneinheit 2 nutzenden Person um einen berechtigten Benutzer handelt, wird über die damit gekoppelte Steuereinheit 3 eine Schlosseinrichtung, wie zum Beispiel ein Schlossmotor 5, angesteuert, wenn an der Außeneinheit 2 ein berechtigter Benutzer identifiziert wurde.

[0044] Zur Erfassung einer Benutzerkennung weist die Außeneinheit 2 eine Eingabeeinrichtung in Form eines vorzugsweise halbautomatischen Fingerabdruckscanners 21 auf. Zur Identifikation - wie auch zum vorherigen Einlernen eines berichtigten Benutzers - wird ein Finger über eine schmale Sensorfläche des Fingerabdruckscanners 21 gezogen. Der Fingerabdruckscanner 21 ist hierbei in einem Gehäuse 20 der Außeneinheit 2 untergebracht. Eine Außenseite dieses Gehäuses 20 ist beispielsweise an einer Tür oder im Bereich eines Türrahmens zugänglich, so dass eine Person ihren Finger an dem Fingerabdruckscanner 21 einlesen lassen kann. An der Außenseite des Gehäuses 20 sind Anzeigeelemente 22a und 22b, zum Beispiel in Form von farbigen Leuchten, vorgesehen, um insbesondere den aktuellen Betriebsmodus und -status der Außeneinheit 2 anzuzeigen. Darüber hinaus ein Empfänger E an der Außeneinheit 2 vorgesehen, beispielsweise ein Infrarot-Empfänger, der eine Schnittstelle zum drahtlosen Empfang von Daten aufweist. Dieser Empfänger E kann Daten in Form von Bediensignalen empfangen, die über einen Sender S einer Fernbedienung F ausgesandt werden. Diese Bediensignale dienen beispielsweise der Initialisierung der Außeneinheit 2 nach deren bestimmungsgemäßen Montage, einschließlich der Einstellung eines aktuellen Datums und einer aktuellen Uhrzeit. Zur Auslösung der Bediensignale weist die Fernbedienung F ein Bedienfeld B mit mehreren Tasten auf.

[0045] Im Betrieb des elektronischen Zugangssystems 1 erfasst die Außeneinheit 2 über ihren Fingerabdruckscanner 21 einen Fingerabdruck und vergleicht diesen mit einer oder mehrerer in einem Referenzspeicher hinterlegten Referenzabdrücken. Die zu vergleichenden Merkmale des erfassten Fingerabdrucks können hierbei beispielsweise nach einem in der EP 1 402 460 B1 beschriebenen Verfahren anhand der Minutien erfolgen. Ist der Vergleich positiv, das heißt, entspricht der erfasste Fingerabdruck beziehungsweise die hieraus extrahierten Merkmale der in einem Referenzspeicher der Außeneinheit 2 hinterlegten Referenz und ist somit ein berechtigter Nutzer identifiziert, sendet die Außeneinheit 2 über eine Signalleitung LT ein Freigabesignal an die Steuereinheit 3. Bei Empfang des Freigabesignals erzeugt die Steuereinheit 3 ein Steuersignal. In Folge dieses Steuersignals wird beispielsweise ein Relais geschaltet, um den Schlossmotor 5 zum Entriegeln der Tür anzusteuern.

[0046] Die Stromversorgung des elektronischen Zugangssystems 1 erfolgt über ein mit der Steuereinheit 3 verbundenes Netzteil 6. Dieses Netzteil 6 ist an eine Spannungsquelle 7 angeschlossen. Über eine mehradrige Ausbildung der Signalleitung LT oder über eine zusätzliche Leitung zwischen Außeneinheit 2 und Steuereinheit 3 wird dabei auch die Außeneinheit 2 mit Strom versorgt.

[0047] In der Figur 1 ist ferner noch in gestrichelten Linien dargestellt, dass die Steuereinheit 3 zusätzlich - vorzugsweise über ein weiteres Relais - mit einem Alarmsystem AS verbunden sein kann. Hierbei kann bei einem berichtigten Benutzer und Empfang eines Freigabesignals durch die Steuereinheit 3 eine Abschaltung des Alarmsystems AS ausgelöst werden. Ferner ist es möglich, bei einem festgestellten Manipulationsversuch an der Außeneinheit 2 einen (stillen) Alarm über das Alarmsystem AS auszulösen. Ein solcher Alarm kann beispielsweise aber auch ausgelöst werden, wenn an der Außeneinheit 2 wiederholt und innerhalb kurzer Zeit festgestellt wird, dass ein unberechtigter Benutzer Zugang verlangt.

[0048] Indem es sich bei dem elektronischen Zugangssystem 1 um ein Stand-Alone-Fingerabdruckerkennungssystem ohne permanente Verbindung zu einem Computer oder einem Computernetzwerk und somit um ein geschlossenes und autarkes System handelt, ist die Gefahr einer Manipulation von Außen deutlich reduziert. Jedoch wird es hierdurch erschwert, zuverlässig und mit einem verlässlichen Zeitstempel von der Außeneinheit 2 und/oder der Steuereinheit 3 detektierte Ereignisse zu protokollieren. In einem etwaigen Einbruchsfall muss aber aus versicherungstechnischen Gründen nachgewiesen werden können, dass das Zugangssystem 1 zuverlässig gearbeitet hat und zum Zeitpunkt des Einbruchs beispielsweise kein berechtigter Zugang erfolgt ist.

[0049] Bei der dargestellten erfindungsgemäßen Lösung sind vor diesem Hintergrund zwei wesentliche Verbesserungen vorgenommen, die insbesondere anhand der Figur 2 näher veranschaulicht werden sollen.

[0050] Die Figur 2 zeigt hierbei weitere Details der Außeneinheit 2 und der Steuereinheit 3, die über die mit einer Steckerverbindung 4 ausgestattete Signalleitung LT miteinander verbunden sind. So ist aus der Figur 2 ersichtlich, dass die Außeneinheit 2 eine Auswerteelektronik 23 aufweist, die üblicherweise mit wenigstens einem Mikroprozessor umgesetzt ist. Über die Auswerteelektronik 23 wird ein an dem Fingerabdruckscanner 21 erfasster Fingerabdruck geprüft und bewertet, ob dieser zu einem Zugang berechtigt. Die Auswerteelektronik 23 weist insbesondere hierfür eine Auswertelogik 230 und einen in der Figur 2 nicht dargestellten Referenzspeicher für zuvor abgespeicherte Referenzdaten zu den Fingerabdrücken berechtigter Benutzer auf. Weiterhin ist ein (Ereignisdaten-) Speicher 231 als Teil der Auswerteelektronik 23 vorgesehen sowie ein Taktgeber 232. In vergleichbarer Art und Weise weist die Steuereinheit 3 eine Steuerelektronik 30 mit einer Steuerlogik 300, einem (Ereignisdaten-) Speicher 301 und einem Taktgeber 302 auf. Über die Steuerlogik 300 der Steuerelektronik 30 wird insbesondere ein empfangenes Freigabesignal der Auswerteeinheit 2 bewertet, um in Abhängigkeit hiervon ein Steuersignal zu erzeugen. Dieses Steuersignal wird zur Schaltung von Relais R1, R2 der Steuereinheit 2 genutzt. Das eine Relais R1 steuert hierbei beispielsweise den Schlossmotor 5, während das andere Relais R2 das Alarmsystem AS steuert. Die beiden Taktgeber 232 und 302 sind jeweils durch einen (Mikro-) Prozessor der Außeneinheit 2 und der Steuereinheit 3 bereitgestellt. Mittels des jeweiligen Mikroprozessors können jeweils auch die weiteren Funktionen gesteuert und umgesetzt werden. Eine Zeitinformation wird hier also jeweils aus dem Takt eines Mikroprozessors gewonnen, der in der Außeneinheit 2 beispielsweise für die Verarbeitung biometrischer Daten und in der Steuereinheit 3 beispielsweise für die Erzeugung der Steuersignale jeweils ohnehin vorgesehen ist. Die jeweiligen Zeitinformationen werden folglich ohne die Verwendung einer separaten Echtzeituhr (engl. "real-time clock", kurz RTC) erzeugt.

[0051] In den beiden Speichern 231 und 301 der Außeneinheit 2 einerseits und der Steuereinheit 3 andererseits werden Ereignisdaten insbesondere über durch das Zugangssystem 1 gewährte und nicht gewährte Zugänge protokolliert. Die einzelnen Ereignisse werden hierbei mit einem Zeitstempel verknüpft, so dass zu einem späteren Zeitpunkt ersichtlich ist, wann ein bestimmtes Ereignis aufgetreten ist, also zum Beispiel ein eingelesener Fingerabdruck als nicht zu einem registrierten Benutzer gehörig identifiziert wurde oder aufgrund der Identifikation eines Fingerabdrucks eines berechtigten Benutzers ein Zugang gewährt wurde. Die Speicher 231 und 301 sind hierbei vorzugsweise als nicht-flüchtige, d.h., persistente Speicher ausgebildet, z.B. in Form von Flash-Speichern, so dass hierin Daten auch ohne permanente Versorgungsspannung und somit insbesondere im Fall eines Stromausfalls gespeichert bleiben.

[0052] In den Speichern 231 und 301 können hierbei die entsprechenden Daten redundant gespeichert sein, so dass zu einem späteren Zeitpunkt durch Vergleich von Datensätzen aus beiden Speichern 231 und 301 auf etwaige Manipulationen, zum Beispiel an der Außeneinheit 2 und deren Speicher 231, geschlossen werden kann. Alternativ oder ergänzend werden in den beiden Speichern 231 und 301 unterschiedliche Daten erfasst, die jedoch gleichermaßen eine Plausibilitätsprüfung der aus den unterschiedlichen Speichern 231 und 301 stammenden Daten untereinander ermöglichen. Wird beispielsweise in dem Speicher 231 der Außeneinheit 2 zu einem bestimmten Zeitpunkt die Identifikation eines berechtigten Benutzers und damit die Erzeugung eines Freigabesignals protokolliert, muss im Gegenzug im Speicher 301 der Steuereinheit 3 zu demselben Zeitpunkt oder kurz danach eine Ansteuerung eines oder beider Relais R1, R2 protokolliert sein.

[0053] Damit ferner ein in der Außeneinheit 2 zur Protokollierung von Ereignisdaten verwendeter Zeitstempel mit einem in der Steuereinheit 3 zur Protokollierung von Ereignisdaten verwendeten Zeitstempel vergleichbar und valide ist, werden deren Taktgeber 232 und 302 bzw. hiermit generierte Zeitinformationen vorzugsweise permanent oder einmalig innerhalb eines einstellbaren Zeitintervalls - z.B. 24 Stunden - miteinander synchronisiert, so dass ein abgeglichener interner Zeitstempel für das Zugangssystem 1 vorliegt. Hierdurch kann beispielsweise vermieden werden, dass durch eine Manipulation an der Außeneinheit 2 ohne weiteres die in beiden Speichern 231 und 301 abgelegten Ereignisdaten mit einem manipulierten Zeitstempel abgespeichert werden. Andererseits können bei ordnungsgemäßen, manipulationsfreien Betrieb ein üblicherweise leistungsfähigerer (Mikro-) Prozessor der Außeneinheit 2 und der hiermit bereitgestellte Taktgeber 232 zur Überprüfung des Zeitstempel benutzt werden, der durch den Taktgeber 302 in der üblicherweise weniger leistungsfähigen Steuereinheit 3 generiert wird. Zur Initialisierung der beiden Taktgeber 232 und 302 wird beispielsweise eine (aktuelle) Anfangs- oder Bezugszeit über die Fernbedienung F vorgegeben. Hierbei kann vorgesehen sein, dass erst nach Durchführung eines Authentifizierungsprozesses - z.B. dem Erkennen eines "Masterfingers" - über Zifferntasten der Fernbedienung das aktuelle Datum und die aktuelle Uhrzeit eingebbar sind.

[0054] Bei der Synchronisation wird zum späteren Nachweis der durchgeführten Synchronisation und für eine Neukalibrierung des Systems nach einem Stromausfall ein abgeglichener Zeitstempel in dem persistenten Speicher 301 der Steuereinheit 3 gespeichert. So können die Ausleseeinheit 2 und Steuereinheit 3 für die Erzeugung der in der jeweiligen Einheit 2 oder 3 erzeugten Zeitinformation jeweils einen mit dem zugehörigen Taktgeber 232 oder 302 gekoppelten flüchtigen Arbeitsspeicher (RAM) 233 oder 303 aufweisen

[0055] Die Zeitinformation wird laufend in den Arbeitsspeichern der Außeneinheit 2 und der Steuereinheit 3 gespeichert. Eine mithilfe des jeweiligen Taktgebers 232 oder 302 realisierte Uhr läuft also weiter. Bei einer Synchronisation wird die Zeitinformation der Außeneinheit 2 an die Steuereinheit 3 weitergegeben und hier sowohl im stromausfallsicheren (Flash-) Speicher 301 gespeichert als auch im flüchtigen RAM bzw. Arbeitsspeicher 303. Die im Anschluss daran fortwährende Aktualisierung mithilfe des Taktgebers 302 der Steuereinheit 3 basiert nun auf der mit der Außeneinheit 2 abgeglichenen Zeitinformation.

[0056] Die Uhr in der leistungsfähigeren Außeneinheit 2 ist genauer (leistungsfähiger Prozessor mit genauerem Takt). Die Uhr in der weniger leistungsfähigen Steuereinheit 3 hat eine deutliche Abweichung (pro Tag z.B. ca. 10 Minuten). Aufgrund der automatisch mindestens einmal täglich durchgeführten Synchronisation übersteigt aber die Abweichung der Zeitinformation der Steuereinheit 3 - gegenüber der Außeneinheit 2 - nie einen Maximalwert, von z.B. von 10 Minuten pro Tag.

[0057] Da sich die Außeneinheit 2 in einem von außen zugänglichen Bereich befindet, ist sie eher einem Stromausfall z.B. in infolge eines Manipulationsversuches, ausgesetzt. Bei einem Stromausfall sind die bis dahin protokollieren Ereignisse sicher im Speicher 232 der Außeneinheit 2 gespeichert. Die Zeitinformation im Arbeitsspeicher (RAM) der Außeneinheit 2 geht beim Stromausfall jedoch verloren. Wenn die Außeneinheit 2 wieder in Betrieb ist, wird zuerst eine Synchronisation mit der Steuereinheit 3 durchgeführt und die aktuelle Zeitinformation der Steuereinheit 3 an die Außeneinheit 2 übertragen.

[0058] Die Steuereinheit 3 kann ferner einen Energiespeicher, z. B. in Form eines Akkus oder einer Batterie aufweisen, mittels dem im Fall eines Stromausfalls noch Daten in den Speicher 301 geschrieben werden können. Hierüber kann zum Beispiel vorgesehen sein, dass die Steuereinheit 3 mithilfe der durch den Energiespeicher zur Verfügung gestellten elektrischen Energie im Fall eines Stromausfalls noch das Auftreten des Stromausfalls zusammen mit einem Zeitstempel in dem persistenten (Flash-) Speicher 301 der Steuereinheit 3 protokolliert. Zudem kann diese in dem stromausfallsicheren Speicher 301 abgelegte Zeitinformation nach dem Stromausfall dazu genutzt werden, den systeminternen Zeitstempel zu aktualisieren und damit sowohl in der Steuereinheit 3 als auch in der Außeneinheit 2 wieder eine aktualisierte und synchronisierte Zeitinformation vorliegen zu haben. Diese Not-Energiespeicher ist hierbei vorzugsweise so ausgelegt und die jeweiligen Steuerelektronik so eingerichtet, dass über die hiermit bereitgestellte elektrische Energie noch wenigstens ein Zeitstempel nach dem Auftreten eines Stromausfalls abspeicherbar ist. Aufgrund dieser Minimalanforderung ist der Not-Energiespeicher problemlos derart dimensionierbar, dass er während der kalkulierten typischen Lebensdauer des Zugangssystems nicht ausgetauscht werden muss.

[0059] Ein Austausch von Daten zwischen den beiden Einheiten 2 und 3 erfolgt über die Signalleitung LT vorzugsweise verschlüsselt, so dass hierüber eine Manipulation nicht möglich oder zumindest weitestgehend ausgeschlossen ist. Eine Verschlüsselung kann hierbei anhand üblicher Verschlüsselungalgorithmen erfolgen. Ferner sind die Einheiten 2 und 3 miteinander gepaart, so dass diese nach ihrer Montage und Initialisierung ausschließlich noch miteinander, jedoch nicht mit anderen Einheiten 2 und 3 kommunizieren können.

[0060] Die Figur 3 veranschaulicht schematisch den Austausch unterschiedlicher Daten und Signale zwischen den beiden Einheiten 2 und 3 des elektronischen Zugangssystems 1.

[0061] So ist einerseits ein Synchronisationssignal 80 vorgesehen, um die beiden Taktgeber 232 und 302 der beiden Einheiten 2 und 3 miteinander zu synchronisieren und somit dafür zu sorgen, dass bei der Protokollierung von erfassten Ereignissen durch die beiden Einheiten 2 und 3 jeweils ein abgeglichener Zeitstempel verwendet wird.

[0062] Darüber hinaus kann die Außeneinheit ein Freigabesignal 81 an die Steuereinheit 3 übermitteln. Über dieses Freigabesignal 81 wird signalisiert, dass über den Fingerabdruckscanner 21 der Außeneinheit 2 ein berechtigter Benutzer identifiziert wurde und somit über die Steuereinheit 3 der Schlossmotor 5 zum Entriegeln der Tür angesteuert werden kann.

[0063] Ferner können zwischen den beiden Einheiten 2 und 3 Ereignisdaten 82 und 83 ausgetauscht werden, um beispielsweise bestimmte Informationen redundant zu speichern. Beispielsweise ist in der Außeneinheit 2 zu jedem Referenz-Fingerabdruck eine bestimmte Benutzer-ID hinterlegt. Wird über den Fingerabdruckscanner 21 der Außeneinheit 2 erkannt, dass ein bestimmter, als berechtigt identifizierte Benutzer Zugang verlangt, übermittelt die Außeneinheit 2 nicht nur das Freigabesignal 81 an die Steuereinheit 3, sondern auch die Benutzer-ID. Dementsprechend kann die Steuereinheit 3 beispielsweise an der Benutzer-ID erkennen, welches Relais R1 oder R2 geschaltet werden soll (sofern dies bei unterschiedlichen Benutzern unterschiedlich gehandhabt werden soll). Vorrangig wird aber die übermittelte Benutzer-ID dazu genutzt, diese als Teil eines zusätzlichen Datensatzes in dem Speicher 301 der Steuereinheit 3 abzuspeichern, um zu protokollieren, für welchen Benutzer - nach Kenntnis der Steuereinheit 3 - zu welchem Zeitpunkt ein bestimmtes Relais R1, R2 geschaltet und somit beispielsweise der Schlossmotor 5 angesteuert wurde.

[0064] Die in den Speichern 231 und 301 der beiden Einheiten 2 und 3 abgelegten Ereignisdaten werden bevorzugt in Tabellenform chronologisch abgelegt. Derartige Tabellen zeigen die Figuren 4A und 4B jeweils schematisch.

[0065] In der Figur 4A ist eine redundant in beiden Speichern 231 und 301 gespeicherte Tabelle veranschaulicht. Hierbei sind spaltenweise unterschiedliche Daten als Speichereinträge L1 bis L4 abgelegt. Ein erster Speichereintrag L1 enthält dabei den Zeitstempel und erlaubt somit einen Rückschluss auf den Zeitpunkt des jeweils protokollierten Ereignisses, insbesondere Datum und Uhrzeit. Der Speichereintrag L2 der weiteren Spalte gibt in derselben Zeile das erfasste Ereignis an, also z. B. einen Parameter für einen gewährten Zugang (Wert "1") oder einen nicht gewährten Zugang (Wert "0") an. In der nachfolgenden Spalte wird als Speichereintrag L3 eine Benutzer-ID des erkannten berechtigten Benutzers abgelegt, wenn dessen Fingerabdruck erkannt wurde. In einer weiteren Spalte wird dann als Speichereintrag L4 eine durch die Außeneinheit 2 oder die Steuereinheit 3 ausgeführte Aktion gespeichert, z. B. ein Wert, anhand dessen ablesbar ist, welches Relais R1, R2 geschaltet wurde ("0" für beide Relais R1 und R2, "1" für Relais R1 und "2" für Relais R2).

[0066] Bei dem durch die Figur 4B veranschaulichten Ausführungsbeispiel werden in den Speichern 231 und 301 der beiden Einheiten 2 und 3 des elektronischen Zugangssystems 1 zumindest teilweise unterschiedliche Daten gespeichert. Ein Datensatz des Speichers 231 enthält hier exemplarisch analog zu dem Ausführungsbeispiel der Figur 4A die Speichereinträge L1 bis L3 ergänzt um einen zusätzlichen Speichereintrag L5. Der Speichereintrag L5 des Speichers 231 der Außeneinheit 2 enthält beispielsweise einen Indikator, welcher von mehreren erfassten Fingern eines berechtigten Benutzers erfasst wurde und/oder ein - gegebenenfalls komprimiertes - Abbild des erfassten Fingerabdrucks des (berechtigten oder unberechtigten) Benutzers. Ein korrespondierender Datensatz des Speichers 301 der Steuereinheit 3 enthält zusätzlich zu dem den Zeitpunkt charakterisierenden Speichereintrag L1 die Speichereinträge L3 für die Benutzer-ID und den Speichereintrag L4 für das geschaltete Relais R1, R2.

[0067] Sowohl im Speicher 231 der Außeneinheit 2 als auch im Speicher 301 der Steuereinheit 3 können auch weitere Ereignisse (bzw. Ereignisdaten) verknüpft mit einem Zeitstempel und somit zusammen mit einem Speichereintrag L1 für den Zeitstempel abgespeichert werden, wie z. B.

• das Einlernen neuer Finger,
• einen Indikator zur Klassifizierung, ob ein Abgleich eines erfassten Fingerabdrucks mit den hinterlegten Fingerabdrücken zu einem positiven oder negativen Ergebnis geführt hat,
• einen Stromausfall und/oder ein Einschaltzeitpunkt,
• die Ausführung einer "Autotest-Funktion" und/oder
• ein Abbild der erfassten Fingerabdrücke - gegebenenfalls begrenzt auf eine bestimmte Anzahl, z. B. 20.

Gerade durch die Speicherung von an dem Zugangssystem 1 detektierten Ereignissen in der gegen Manipulation gut geschützten üblicherweise innen innerhalb des zu sichernden Raumes liegenden Steuereinheit 3 übernimmt diese die Funktion einer "Blackbox" des Zugangssystem 1, d.h., eines Aufzeichnungsgeräts, das Ereignisse bzw. zugehörige (Ereignis-) Daten chronologisch und auslesbar (und damit auswertbar) protokolliert.

[0068] Zum Auslesen der in den Speichern 231 und 301 abgelegten Daten ist eine Ausleseeinheit 9 vorgesehen. Diese weist zwei Anschlussstücke 9a und 9b zur Verbindung mit den beiden Einheiten 2 und 3 des Zugangssystems 1 auf. Dabei werden die beiden Anschlussstücke 9a und 9b an eines von zwei Verbindungsstücken 4a und 4b gesteckt, über die zwei Leitungsteile der Signalleitung LT im Bereich der Steckerverbindung 4 miteinander verbunden sind. Die Verbindungsstücke 4a und 4b sind dementsprechend beispielsweise als Stecker und Buchse ausgebildet, so dass sie problemlos sowohl als Schnittstelle zur Verbindung mit der jeweils anderen Einheit 3 oder 2 als auch als Schnittstelle zur Verbindung mit der Ausleseeinheit 9 dienen können. Vorzugsweise sind dementsprechend die Anschlussstücke 9a und 9b der Ausleseeinheit 9 als zu den Verbindungsstücken 4a und 4b komplementäre Stecker und Buchse ausgebildet.

[0069] Indem die Ausleseeinheit 9 zwei Anschlussstücke 9a und 9b aufweist, können über die Ausleseeinheit 9 Daten aus beiden Speichern 231 und 301 parallel ausgelesen werden. Die Ausleseeinheit 9 dient hierbei beispielsweise als Adapter und verfügt daher über ein Verbindungsstück 9c, über das die Ausleseeinheit 9 - z.B. über einen USB-Anschluss - an ein Mobilgerät oder einen Computer, d.h., insbesondere einen PC oder ein Notebook, angeschlossen werden kann. Hierdurch sind die in den beiden Einheiten 2 und 3 räumlich voneinander separiert vorgehaltenen Daten problemlos in einer Protokolldatei zusammenzuführen oder in mehrere Protokolldateien überführbar sowie auf dem jeweiligen über das Anschlussstück 9c angeschlossenen Gerät auswertbar.

[0070] Die Steckerverbindung 4 zur Verbindung der im Außenraum AR zugänglichen Außeneinheit 2 und der im Innenraum IR untergebrachten Steuereinheit 3 befindet sich bevorzugt ebenfalls in dem durch das Zugangssystem 1 gesicherten Innenraum IR. Derart ist ein Zugriff auf die Steckerverbindung 4 und somit auf die beiden Verbindungsstücke 4a und 4b nur bei Zugang zum Innenraum IR oder innerhalb des Innenraums IR möglich.

Bezugszeichenliste

[0071] 

1

Zugangssystem

2

Außeneinheit

20

Gehäuse

21

Fingerabdruckscanner

22a, 22b

Anzeigeelement

23

Auswerteelektronik

230

Auswertelogik

231

Speicher (persistent)

232

Taktgeber

233

Arbeitsspeicher (volatil)

3

Steuereinheit

30

Steuerelektronik

300

Steuerlogik

301

Speicher (persistent)

302

Taktgeber

303

Arbeitsspeicher (volatil)

4

Steckerverbindung

4a, 4b

Verbindungsteil

5

Schlossmotor

6

Netzteil

7

Spannungsquelle

80

Synchronisationssignal

81

Freigabesignal

82

Ereignisdaten (an Außeneinheit)

83

Ereignisdaten (an Steuereinheit)

9

Ausleseeinheit

9a, 9b

Anschlussstück

9c

Verbindungsstück

AS

Alarmsystem

B

Bedienfeld

E

Empfänger

F

Fernbedienung

L1 - L5

Speichereintrag

LT

Signalleitung

S

Sender

Ansprüche

1. Elektronisches Zugangssystem, mit wenigstens einer Außeneinheit (2) und einer hiervon separaten Steuereinheit (3), wobei

- die Außeneinheit (2) eine Eingabeeinrichtung (21) und eine Auswertelogik (23) aufweist und mittels der Auswertelogik (23) eine mittels der Eingabeeinrichtung (21) erfasste Benutzerkennung mit wenigstens einer Referenz vergleichbar ist, um anhand des Vergleichs zu bewerten, ob die erfasste Benutzerkennung zu einem Zugang berechtigt oder nicht, und

- die Steuereinheit (3) eingerichtet ist, von der Außeneinheit (2) ein Freigabesignal zu empfangen, wenn die erfasste Benutzerkennung zu einem Zugang berechtigt, und in Reaktion hierauf ein Steuersignal zu erzeugen, infolge dessen einem Benutzer des Zugangssystems (1) Zugang gewährt wird, wobei

- sowohl in der Außeneinheit (2) als auch in der Steuereinheit (3) mindestens ein Speicher (231, 301) vorgesehen ist, in dem jeweils wenigstens mit einem Zeitstempel (L1) versehene Daten (L2 - L5) zu gewährten Zugängen gespeichert werden, und

- sowohl die Außeneinheit (2) als auch die Steuereinheit (3) einen Taktgeber (232, 302) zur Erzeugung einer Zeitinformation aufweisen und die Zeitinformationen der beiden Taktgeber (232, 302) miteinander synchronisiert sind, um einen abgeglichenen internen Zeitstempel für das Zugangssystem (1) bereitzustellen und eine Plausibilitätsprüfung für die aus den unterschiedlichen Speichern (231, 301) der Außeneinheit (2) und der Steuereinheit (3) stammenden Daten (L2-L5) untereinander zu ermöglichen.

2. Zugangssystem nach Anspruch 1, dadurch gekennzeichnet, dass in wenigstens einem der Speicher (231, 301), vorzugsweise in einer auslesbaren Datei, mindestens Daten (L2 - L5) über gewährte und nicht gewährte Zugänge mit dem Zeitstempel (L1) verknüpft gespeichert werden.

3. Zugangssystem nach einem der Ansprüche 1 bis 2, dadurch gekennzeichnet, dass in den mindestens zwei Speichern (231, 301) gespeicherte Daten bei manipulationsfreiem Betrieb des Zugangssystem unterschiedlich sind und einen gewährten Zugang charakterisierende Daten (L2, L3, L5) in dem Speicher (231) der Außeneinheit (2) zu einen gewährten Zugang charakterisierende Daten (L3, L4) in dem Speicher (301) der Steuereinheit (301) verschieden sind.

4. Zugangssystem nach Anspruch 3, dadurch gekennzeichnet, dass

- die Außeneinheit (2) dazu ausgebildet und vorgesehen ist, bei einem gewährten Zugang in Ihrem Speicher (231) einen Zeitstempel (L1) zusammen mit einer Benutzer-ID (L3) und/oder einem erfassten Fingerabdruck abzuspeichern, und/oder

- die Steuereinheit (3) dazu ausgebildet und vorgesehen ist, bei einem gewährten Zugang in ihrem Speicher (301) einen Zeitstempel (L1) zusammen mit einer Information über ein durch das Steuersignal geschaltetes Relais (R1, R2) zu speichern.

5. • Zugangssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass in der Steuereinheit (3) und der Außeneinheit (2) jeweils ein flüchtiger Speicher (233, 303) zur fortlaufenden Aktualisierung der jeweiligen Zeitinformation vorgesehen ist, und das Zugangssystem (1) dazu ausgebildet und vorgesehen ist, bei einer Synchronisation eine Zeitinformation der Außeneinheit (2) in dem flüchtigen Speicher (303) der Steuereinheit (3) abzuspeichern.

6. Zugangssystem nach Anspruch 5, dadurch gekennzeichnet, dass die Steuereinheit (3) zusätzlich mindestens einen nicht-flüchtigen Speicher (301) aufweist und eingerichtet ist, bei einer Synchronisation die von der Außeneinheit (2) empfangene Zeitinformationen auch in dem nicht-flüchtigen Speicher (301) abzuspeichern.

7. Zugangssystem nach Anspruch 5 oder 6, dadurch gekennzeichnet, dass die Steuereinheit (3) eine Steuerlogik (300) aufweist, die eingerichtet ist,

- bei einer Unterbrechung einer Stromversorgung für das Zugangssystem (1) oder nur für die Außeneinheit (2) und/oder die Steuereinheit (3) eine Zeitinformation in einem nicht-flüchtigen Speicher (301) abzuspeichern und/oder

- nach einer Unterbrechung einer Stromversorgung für die Außeneinheit (2) - zur Synchronisation der Zeitinformationen - automatisch eine Zeitinformation der Steuereinheit (3) an die Außeneinheit (2) zu übertragen.

8. Zugangssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Eingabeeinrichtung (21) der Außeneinheit (2) dazu ausgebildet und vorgesehen ist, mindestens ein biometrisches Charakteristikum eines Benutzers als Benutzerkennung zu erfassen, insbesondere einen Fingerabdruck.

9. Zugangssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Zugangssystem (1) eine Schnittstelle für die drahtlose Übermittlung von Daten, insbesondere eine Infrarot-Schnittstelle aufweist, über die Daten zur Initialisierung einer Anfangszeit übertragbar sind.

10. Zugangssystem nach Anspruch 9, dadurch gekennzeichnet, dass zur Initialisierung der Anfangszeit eine Fernbedienung (F) vorgesehen ist, über die Daten an eine an der Außeneinheit (2) vorgesehene Schnittstelle übertragbar sind, und/oder das Zugangssystem (1) eingerichtet ist, die Initialisierung einer Anfangszeit erst zu gestatten, nachdem ein berechtigter Benutzer erkannt wurde.

11. Zugangssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Außeneinheit (2) und die Steuereinheit (3) über eine Signalleitung (LT) miteinander verbunden sind, die zwischen der Außeneinheit (2) und der Steuereinheit (3) zwei über eine Steckerverbindung (4) miteinander verbundene Teile aufweist.

12. Zugangssystem nach Anspruch 11, dadurch gekennzeichnet, dass eine Ausleseeinheit (9) vorgesehen ist, die mit der Außeneinheit (2) und/oder der Steuereinheit (3) verbindbar ist, um in einem Speicher (231) der Außeneinheit (2) und/oder in einem Speicher (301) der Steuereinheit (3) gespeicherte Daten über gewährte Zugänge auszulesen. und die Steckerverbindung (4) zwei miteinander verbundene Verbindungsstücke (4a, 4b) aufweist und die Ausleseeinheit (9) ein erstes und ein zweites Anschlussstück (9a, 9b) aufweist, wobei das erste Anschlussstück (9a) mit einem ersten Verbindungsstück (4a) der Steckerverbindung (4) und das zweite Anschlussstück mit einem zweiten Verbindungsstück (4b) der Steckerverbindung (4) verbindbar ist, um Daten aus einem oder mehreren Speichern (231, 301) auszulesen.

13. Verfahren zum Betrieb eines elektronischen Zugangssystems, insbesondere eines Zugangssystems nach einem der Ansprüche 1 bis 12, bei dem

- eine Außeneinheit (2) mit einer Eingabeeinrichtung (21) und einer Auswertelogik (23) vorgesehen ist, wobei über die Auswertelogik (23) eine mittels der Eingabeeinrichtung (21) erfasste Benutzerkennung mit wenigstens einer Referenz verglichen wird, um anhand des Vergleichs zu bewerten, ob die erfasste Benutzerkennung zu einem Zugang berechtigt oder nicht, und

- eine von der Außeneinheit (2) separate Steuereinheit (3) vorgesehen ist, die von der Außeneinheit (2) ein Freigabesignal empfängt, wenn die erfasste Benutzerkennung zu einem Zugang berechtigt, und in Reaktion hierauf ein Steuersignal erzeugt, infolge dessen einem Benutzer des Zugangssystems (1) Zugang gewährt wird, wobei

- sowohl in der Außeneinheit (2) als auch in der Steuereinheit (3) mindestens ein Speicher (231, 301) vorgesehen ist, in dem jeweils wenigstens mit einem Zeitstempel (L1) versehene Daten (L2 - L5) zu gewährten Zugängen gespeichert werden, und

- sowohl die Außeneinheit (2) als auch die Steuereinheit (3) einen Taktgeber (232, 302) zur Erzeugung einer Zeitinformation aufweisen und die Zeitinformationen der beiden Taktgeber (232, 302) miteinander synchronisiert werden, um einen abgeglichenen internen Zeitstempel für das Zugangssystem (1) bereitzustellen und eine Plausibilitätsprüfung für die aus den unterschiedlichen Speichern (231, 301) der Außeneinheit (2) und der Steuereinheit (3) stammenden Daten (L2-L5) untereinander zu ermöglichen.

Claims

1. Electronic entry system, having at least one exterior unit (2) and a control unit (3) that is separate therefrom, wherein

- the exterior unit (2) has an input device (21) and evaluation logic (23), and a user identifier captured by means of the input device (21) is comparable with at least one reference by means of the evaluation logic (23) in order to use the comparison to rate whether or not the captured user identifier provides authorization for an entry, and

- the control unit (3) is configured to receive a clearance signal from the exterior unit (2) if the captured user identifier provides authorization for an entry, and to react thereto by generating a control signal as a result of which a user of the entry system (1) is granted entry,
wherein

- both in the exterior unit (2) and in the control unit (3) at least one memory (231, 301) is provided that is used to store in each case at least data (L2-L5), provided with a time stamp (L1), pertaining to granted entries, and

- both the exterior unit (2) and the control unit (3) have a clock generator (232, 302) for generating time information, and the time information of the two clock generators (232, 302) are synchronized with one another in order to provide an aligned internal timestamp for the entry system (1) and to allow a plausibility check for the data (L2-L5) coming from the different memories (231, 301) of the exterior unit (2) and the control unit (3) among one another.

2. Entry system according to Claim 1, characterized in that at least one of the memories (231, 301), preferably a readable file, is used to store at least data (L2-L5) about granted and non-granted entries in combination with the time stamp (L1).

3. Entry system according to either of Claims 1 and 2, characterized in that
data stored in the at least two memories (231, 301) are different during manipulation-free operation of the entry system, and data (L2, L3, L5) characterizing a granted entry in the memory (231) of the exterior unit (2) are different from data (L3, L4) characterizing a granted entry in the memory (301) of the control unit (301).

4. Entry system according to Claim 3, characterized in that

- the exterior unit (2) is designed and intended to respond to a granted entry by using its memory (231) to store a time stamp (L1) together with a user ID (L3) and/or a captured fingerprint, and/or

- the control unit (3) is designed and intended to respond to a granted entry by using its memory (301) to store a time stamp (L1) together with information about a relay (R1, R2) switched by the control signal.

5. Entry system according to one of the preceding claims, characterized in that a volatile memory (233, 303) is provided in the control unit (3) and the exterior unit (2) for continually updating the respective time information, and the entry system (1) is designed and intended to store, upon synchronization, time information of the exterior unit (2) in the volatile memory (303) of the control unit (3).

6. Entry system according to Claim 5, characterized in that the control unit (3) additionally has at least one non-volatile memory (301) and is configured to store, upon synchronization, the time information received from the exterior unit (2) in the non-volatile memory (301) too.

7. Entry system according to Claim 5 or 6, characterized in that the control unit (3) has control logic (300) configured

- to store time information in a non-volatile memory (301) upon interruption to a power supply for the entry system (1) or just for the exterior unit (2) and/or the control unit (3) and/or

- to transmit automatically after an interruption to a power supply for the exterior unit (2) - in order to synchronize the time information - time information of the control unit (3) to the exterior unit (2).

8. Entry system according to one of the preceding claims, characterized in that the input device (21) of the exterior unit (2) is designed and intended to capture at least one biometric characteristic of a user as a user identifier, in particular a fingerprint.

9. Entry system according to one of the preceding claims, characterized in that the entry system (1) has an interface for the wireless transmission of data, in particular an infrared interface, via which data for initializing a starting time are transferrable.

10. Entry system according to Claim 9, characterized in that in order to initialize the starting time there is provision for a remote control (F) via which data are transferrable to an interface provided on the exterior unit (2), and/or the entry system (1) is configured to permit the initialization of a starting time only after an authorized user has been detected.

11. Entry system according to one of the preceding claims, characterized in that the exterior unit (2) and the control unit (3) are connected to one another via a signal line (LT) that has, between the exterior unit (2) and the control unit (3), two parts connected to one another via a plug connection (4) .

12. Entry system according to Claim 11, characterized in that there is provision for a reading unit (9) that is connectable to the exterior unit (2) and/or the control unit (3) in order to read data stored in a memory (231) of the exterior unit (2) and/or in a memory (301) of the control unit (3) about granted entries, and the plug connection (4) has two connecting pieces (4a, 4b) connected to one another, and the reading unit (9) has a first and a second connection piece (9a, 9b), wherein the first connection piece (9a) is connectable to a first connecting piece (4a) of the plug connection (4) and the second connection piece is connectable to a second connecting piece (4b) of the plug connection (4) in order to read data from one or more memories (231, 301).

13. Method for operating an electronic entry system, in particular an entry system according to one of Claims 1 to 12, in which

- an exterior unit (2) having an input device (21) and evaluation logic (23) is provided, wherein the evaluation logic (23) is used to compare a user identifier captured by means of the input device (21) with at least one reference in order to use the comparison to rate whether or not the captured user identifier provides authorization for an entry, and

- a control unit (3), separate from the exterior unit (2), is provided that receives a clearance signal from the exterior unit (2) if the captured user identifier provides authorization for an entry, and reacts thereto by generating a control signal as a result of which a user of the entry system (1) is granted entry,
wherein

- both in the exterior unit (2) and in the control unit (3) at least one memory (231, 301) is provided that is used to store, respectively, at least data (L2-L5), provided with a time stamp (L1), pertaining to granted entries, and

- both the exterior unit (2) and the control unit (3) have a clock generator (232, 302) for generating time information, and the time information of the two clock generators (232, 302) are synchronized with one another in order to provide an aligned internal time stamp for the entry system (1) and to allow a plausibility check for the data (L2-L5) coming from the different memories (231, 301) of the exterior unit (2) and the control unit (3) among one another.

Revendications

1. Système d'accès électronique, comprenant au moins une unité extérieure (2) et une unité de commande (3) séparée de celle-ci, dans lequel

- l'unité extérieure (2) possédant une unité de saisie (21) et une logique d'interprétation (23) et un identificateur d'utilisateur, acquis au moyen de l'unité de saisie (21), pouvant être comparé à au moins une référence au moyen de la logique d'interprétation (23) afin d'évaluer à l'aide de la comparaison si l'identificateur d'utilisateur acquis autorise ou non un accès, et

- l'unité de commande (3) étant conçue pour recevoir un signal de libération de l'unité extérieure (2) lorsque l'identificateur d'utilisateur acquis autorise un accès et, en réaction à cela, générer un signal de commande en conséquence duquel l'accès est accordé à un utilisateur du système d'accès (1), dans lequel

- l'unité extérieure (2) et l'unité de commande (3) comprennent au moins une mémoire (231, 301), dans laquelle sont stockées des données (L2 - L5) respectivement pourvues d'au moins un horodatage (L1) à propos des accès accordés, et

- l'unité extérieure (2) ainsi que l'unité de commande (3) possédant un générateur d'horloge (232, 302) destiné à générer une information de temps et les informations de temps des deux générateurs d'horloge (232, 302) étant synchronisées entre elles afin de fournir un horodatage interne aligné pour le système d'accès (1) et de rendre possible un contrôle de plausibilité entre elles pour les données (L2 - L5) issues des différentes mémoires (231, 301) de l'unité extérieure (2) et de l'unité de commande (3) .

2. Système d'accès selon la revendication 1, caractérisé en ce qu'au moins des données (L2 - L5) à propos des accès accordés et non accordés sont stockées en étant combinées à l'horodatage (L1) dans au moins l'une des mémoires (231, 301), de préférence dans un fichier lisible.

3. Système d'accès selon l'une des revendications 1 et 2, caractérisé en ce que les données stockées dans les au moins deux mémoires (231, 301) sont différentes dans le cas d'un fonctionnement sans manipulation du système d'accès et les données (L2, L3, L5) qui caractérisent un accès accordé dans la mémoire (231) de l'unité extérieure (2) sont différentes des données (L3, L4) qui caractérisent un accès accordé dans la mémoire (301) de l'unité de commande (301).

4. Système d'accès selon la revendication 3, caractérisé en ce que

- l'unité extérieure (2) est configurée et prévue pour, dans le cas d'un accès accordé, stocker dans sa mémoire (231) un horodatage (L1) conjointement avec un ID d'utilisateur (L3) et/ou une empreinte digitale acquise, et/ou

- l'unité de commande (3) est configurée et prévue pour, dans le cas d'un accès accordé, stocker dans sa mémoire (301) un horodatage (L1) conjointement avec des informations à propos d'un relais (R1, R2) commuté par le signal de commande.

5. Système d'accès selon l'une des revendications précédentes, caractérisé en ce que l'unité de commande (3) et l'unité extérieure (2) comportent chacune une mémoire volatile (233, 303) pour la mise à jour continue des informations de temps respectives, et le système d'accès (1) est configuré et prévu pour stocker une information de temps de l'unité extérieure (2) dans la mémoire volatile (303) de l'unité de commande (3) lors d'une synchronisation.

6. Système d'accès selon la revendication 5, caractérisé en ce que l'unité de commande (3) possède en outre au moins une mémoire non volatile (301) et elle est conçue pour stocker les informations de temps reçue de la part de l'unité extérieure (2) également dans la mémoire non volatile (301) lors d'une synchronisation.

7. Système d'accès selon la revendication 5 ou 6, caractérisé en ce que l'unité de commande (3) possède une logique de commande (300) qui est conçue pour

- dans le cas d'une interruption d'une alimentation électrique pour le système d'accès (1) ou seulement pour l'unité extérieure (2) et/ou l'unité de commande (3), stocker une information de temps dans une mémoire non volatile (301) et/ou

- après une interruption d'une alimentation électrique pour l'unité extérieure (2), transmettre automatiquement une information de temps de l'unité de commande (3) à l'unité extérieure (2) en vue de la synchronisation des informations de temps.

8. Système d'accès selon l'une des revendications précédentes, caractérisé en ce que l'unité de saisie (21) de l'unité extérieure (2) est configuré et prévu pour acquérir au moins une caractéristique biométrique d'un utilisateur en tant qu'identificateur d'utilisateur, notamment une empreinte digitale.

9. Système d'accès selon l'une des revendications précédentes, caractérisé en ce que le système d'accès (1) possède une interface pour la communication sans fil de données, notamment une interface à infrarouges, par le biais de laquelle peuvent être transmises des données servant à l'initialisation d'un moment de début.

10. Système d'accès selon la revendication 9, caractérisé en ce qu'une commande à distance (F) est présente pour l'initialisation du moment de début, par le biais de laquelle des données peuvent être transmises à une interface présente au niveau de l'unité extérieure (2) et/ou le système d'accès (1) est conçu pour n'autoriser l'initialisation d'un moment de début qu'après qu'un utilisateur autorisé ait été reconnu.

11. Système d'accès selon l'une des revendications précédentes, caractérisé en ce que l'unité extérieure (2) et l'unité de commande (3) sont reliées entre elles par le biais d'une ligne de signal (LT) qui possède deux parties reliées l'une à l'autre par le biais d'une connexion à enfichage (4) entre l'unité extérieure (2) et l'unité de commande (3).

12. Système d'accès selon la revendication 11, caractérisé en ce qu'une unité de lecture (9) est présente, laquelle peut être reliée à l'unité extérieure (2) et/ou à l'unité de commande (3) en vue de lire les données à propos des accès accordés stockées dans une mémoire (231) de l'unité extérieure (2) et/ou une mémoire (301) de l'unité de commande (3), et la connexion à enfichage (4) possède deux pièces de connexion (4a, 4b) reliées l'une à l'autre et l'unité de lecture (9) possède une première et une deuxième pièce de raccordement (9a, 9b), la première pièce de raccordement (9a) pouvant être reliée à une première pièce de connexion (4a) de la connexion à enfichage (4) et la deuxième pièce de raccordement pouvant être reliée à une deuxième pièce de connexion (4b) de la connexion à enfichage (4) en vue de lire des données depuis une ou plusieurs mémoires (231, 301) .

13. Procédé pour faire fonctionner un système d'accès électronique, notamment un système d'accès selon l'une des revendications 1 à 12, dans lequel

- une unité extérieure (2) comprenant une unité de saisie (21) et une logique d'interprétation (23) est présente, un identificateur d'utilisateur, acquis au moyen de l'unité de saisie (21), étant comparé à au moins une référence par le biais de la logique d'interprétation (23) afin d'évaluer à l'aide de la comparaison si l'identificateur d'utilisateur acquis autorise ou non un accès, et

- une unité de commande (3) séparée de l'unité extérieure (2) est présente, laquelle reçoit de la part de l'unité extérieure (2) un signal de libération lorsque l'identificateur d'utilisateur acquis autorise un accès et, en réaction à cela, génère un signal de commande en conséquence duquel l'accès est accordé à un utilisateur du système d'accès (1), dans lequel

- au moins une mémoire (231, 301) se trouvant à la fois dans l'unité extérieure (2) ainsi que dans l'unité de commande (3), dans laquelle sont stockées des données (L2 - L5) respectivement pourvues d'au moins un horodatage (L1) à propos des accès accordés, et

- l'unité extérieure (2) ainsi que l'unité de commande (3) possédant un générateur d'horloge (232, 302) destiné à générer une information de temps et les informations de temps des deux générateurs d'horloge (232, 302) étant synchronisées entre elles afin de fournir un horodatage interne aligné pour le système d'accès (1) et de rendre possible un contrôle de plausibilité entre elles pour les données (L2 - L5) issues des différentes mémoires (231, 301) de l'unité extérieure (2) et de l'unité de commande (3) .

Zeichnung