用于访问控制和清醒测试的分布式系统的制作方法

本发明总体涉及一种用于访问控制和清醒测试的系统，并且更具体地，涉及一种用于访问控制和清醒测试的分布式系统，分布式系统包括：授权控制和清醒测试站，其从寻求访问的个人获得授权数据和身体特征样本；中央控制单元，其基于在身体特征样本中没有检测到酒精和授权数据的肯定验证而发布临时授权信息；以及至少一个访问控制单元，其获得临时授权信息，并且在临时授权信息的肯定验证后准许寻求访问的个人进行访问。本发明还涉及用于访问控制和清醒测试的相应方法。

背景技术：

如今，在汽车、公共汽车、火车、卡车、货车和其他车辆上装备酒精气敏点火自锁装置变得越来越普遍，该酒精气敏点火自锁装置在自锁状态下中断从点火装置到所讨论车辆的起动马达的电信号。酒精气敏点火自锁装置通常包括安装在车辆中的呼吸分析器，并且当驾驶员试图启动车辆时，首先要求他或她将气吹入布置在呼吸分析器上并连接到呼吸分析器的吹口中，于是呼吸分析器分析呼气样本中酒精或其他物质的存在，并且如果没有检测到酒精(或仅检测到法律上可接受的酒精量)，移除点火自锁装置，使得可以正常启动车辆。

授予brown的美国专利no.3,780,311中公开了这种类型的示例性酒精气敏点火自锁装置，其中酒精气敏检测器包括响应于呼出的酒精产生第一电信号的快速作用固态传感器、响应于呼气样本的施加产生第二电信号的压敏开关、以及逻辑电路，该逻辑电路与汽车起动机互连以禁止操作直到逻辑电路接收到第一电信号和第二电信号的适当组合。

在酒精气敏点火自锁系统中，还已知将酒精气敏检测器与识别系统结合，该识别系统验证寻求进入车辆的人员的身份。授予crespo等人的美国专利no.7,823,681中存在例如此种组合的识别和酒精气敏点火自锁系统，其中，对生物统计学面部特征进行扫描并将其与先前授权的驾驶员的存储面部图像匹配，并且如果扫描的面部特征不能与存储的面部图像匹配和/或如果酒精气敏检测器检测到酒精的存在，则自锁系统锁定所讨论的车辆。

已知的酒精气敏点火自锁系统的共同特征是在特定车辆中将这种类型的系统实现为单独且独立的操作系统。换句话说，典型的酒精气敏点火自锁系统可以表征为独立的装置或设备，其在不与其他酒精气敏点火自锁系统相互作用的情况下运行，或者在不与执行通常包括在访问控制和清醒测试系统中的功能的其他系统和单元相互作用的情况下运行。尽管这种独立的特征在许多情况下提供了优势，但是它也产生了问题，例如，在其中一个驾驶员无法启动和驾驶一辆车辆的情况下，由于在车辆发生故障的驾驶员后面形成队列，对其他驾驶员驾驶他们的车辆的可能性产生了负面影响。此外，管理和操作大量车辆对于例如物流管理员来说也是具有挑战性的问题，其中每辆车辆装备有单独的酒精气敏点火自锁系统，因为总是存在不能启动一辆车辆的紧迫风险，这是因为酒精气敏点火自锁系统本身的故障或者指定的驾驶员实际上受到酒精的影响。此外，几个酒精气敏点火自锁系统的启动程序中的几个或反复出现的延迟可能会导致类似的物流问题，例如，当许多车辆和驾驶员在交通状况下相互作用时，或者当计划在特定的调度时间启动和驶离车辆时。例如，由于呼吸分析器的预热时间，此种延迟可能取决于温度。

因此，需要一种更加通用和鲁棒的系统，该系统可以更有效和可靠地处理访问控制和清醒测试，其中系统尤其应当能够处理寻求进入大量车辆的大量人员的访问控制和清醒测试，其中人员和/或车辆以此方式相互连接或相互依赖，即一个人员启动和驾驶某一车辆的成功或失败影响另一个人驾驶他/她的车辆的可能性，或影响第三方执行他/她的工作的可能性。例如，此类第三方可以是管理大量车辆和相关驾驶员的物流管理员。用于访问控制和清醒测试的系统在其中许多个人寻求访问区域的情况下也应该是有用的，例如访问限制区域或诸如道路的公共区域。还需要一种用于访问控制和清醒测试的改进方法，该方法提供了相应的优点。

技术实现要素：

通过根据独立权利要求的本发明来实现上述目的。从属权利要求中阐述了优选实施例。

本发明总体涉及一种用于访问控制和清醒测试的系统，并且更具体地，涉及一种用于访问控制和清醒测试的分布式且优选非侵入式系统，其中授权控制和清醒测试站从寻求访问例如车辆或区域的个人获得授权数据和身体特征样本。授权和清醒测试站配置成分析身体特征样本，例如，其可以是呼气样本或基于透皮酒精检测的样本，并且授权和清醒测试站还配置成检测身体特征样本中酒精的存在，并且将分析结果发送到中央控制单元。由于该系统设计成对用户友好并能处理多个个人，所以用于访问控制和清醒测试的系统优选地是非侵入式系统。授权控制和清醒测试站还配置成将从寻求访问的个人获得的授权数据发送到中央控制单元，中央控制单元将授权数据与先前已经存储在中央控制单元中的通用授权信息进行比较，并且如果在授权数据和通用授权信息之间发现肯定匹配并且如果在身体特征样本中没有检测到酒精(或者检测到酒精的量低于预定可接受的限度)，则中央控制单元发布临时授权信息。分布式访问控制和清醒测试系统还包括至少一个访问控制单元(实际上通常是许多访问控制单元)，该访问控制单元配置成获得由中央控制单元发布的临时授权信息并验证临时授权信息的有效性，并且还配置成基于临时授权信息的有效性的肯定验证，准许寻求此种访问的个人进行访问。

在本文中，分布式系统定义为其中可以任意定位和配置主要功能单元的系统。在根据本发明的系统和方法中，主要功能单元是中央控制单元、授权控制和清醒测试站以及访问控制单元。根据本发明的一个方面，在不同的位置设置需要与用户交互的单元、授权控制和清醒测试站以及访问控制单元。用户将首先在第一位置处接触授权控制和清醒测试站，然后在第二位置处接触访问控制单元。第二位置可以例如在车辆中，并且访问控制单元是经由无线通信与中央控制单元通信的移动单元。

根据本发明的分布式访问控制和清醒测试系统使得与中央控制单元合作的授权控制和清醒测试站可以向寻求访问例如大量车辆的大量个人发布临时授权信息。因此，已经通过授权控制和清醒测试站的每个人都知道他或她清醒并且被授权进入车辆，只要通常布置在特定车辆中的访问控制单元能够验证临时授权信息的有效性。同样，第三方(例如物流管理员)知道通过授权控制和清醒测试站的所有个人都可能是有空的并且能够驾驶车辆。在本发明的一个实施例中，临时授权信息有效性的验证包括在个人与访问控制单元交互之前很长时间没有发布临时授权信息的控制，访问控制单元通过将发布临时授权信息的时间标识与显示当前时间的精确时钟进行比较来验证临时授权信息的时间有效性。在另一个实施例中，临时授权信息有效性的验证还包括对授权数据的重复检查，即授权数据与通用授权信息的重复匹配，或者其他授权数据(即授权控制和清醒测试站没有使用的授权数据)与存储在中央控制单元中的通用授权信息的匹配，以避免一个人员以不适当的方式获得最初为另一个人员发布的临时授权信息。在本发明的所有实施例中，授权数据可以以数字或字符等形式传送到授权控制和清醒测试站，授权数据由寻求访问的个人输入授权控制和清醒测试站，或者由授权控制和清醒测试站从例如射频识别(rfid)卡、驾驶执照、护照或显示识别数据的移动电话读取，个人将识别数据呈现给授权控制和清醒测试站。或者，可以以生物统计学数据的形式提供授权数据，例如以面部图像、指纹或眼睛识别数据的形式，授权控制和清醒测试站通过扫描寻求访问的个人来获得这些授权数据。

根据本发明的用于访问控制和清醒测试的分布式系统具有几个优点，这将从下面的描述中变得清楚。例如，借助于根据本发明的分布式访问控制和清醒测试系统，物流管理员知道已经通过授权控制和清醒测试站的每个驾驶员都在他/她的调度之下，并且有空来驾驶物流管理员管理的车辆；并且如果某个驾驶员不能通过授权控制和清醒测试站，例如由于饮酒，至少从纯操作的角度来看，这种情况基本上可以作为正常病假处理，并且驾驶员的行程被分配给另一个驾驶员。因此，根据本发明的分布式访问控制和清醒测试系统简化了规划，并最终导致更好地利用资源。这与常规系统形成对比，在常规系统中，单独的酒精气敏点火自锁系统安装在每辆车辆中，并且其中总是存在一个驾驶员不能启动其中他/她作为指定驾驶员的车辆的风险。例如，如果物流管理员管理一队公共汽车，此种启动失败通常会导致某些公共汽车乘坐的延迟甚至取消，主要是因为此种启动失败发生在管理过程的最后阶段，即通常发生在公共汽车已经计划出发的时间点。

可以以多种方式发布和处理临时授权信息，例如:1)将临时授权信息发送并存储在访问控制单元中；2)临时授权信息存储在中央控制单元中，并且可由访问控制单元访问和检索；或者3)将临时授权信息传送到媒体中，在本文中称为临时授权信息载体，寻求访问的个人将临时授权信息载体传送到他/她随后与之交互的访问控制单元。

根据本发明的一个方面，根据上面的示例1)，访问控制单元接收并存储临时授权信息，并且可操作以作为独立单元执行访问过程的一部分，即，在访问过程的所有步骤期间不必与中央控制单元进行通信。这体现的优点在于，即使中央控制单元和访问控制单元之间的通信丢失，例如如果访问控制单元是移动单元和/或减少系统中的响应时间，也可以执行访问过程。

一种用于访问控制和清醒测试的系统包括至少一个授权控制和清醒测试站，其可以是固定单元或便携式单元。在一个实施例中，授权控制和清醒测试站布置为移动电话，例如智能电话，其配备有酒精传感器，并且可选地配备有相机。

根据本发明的系统中发生的所有通信可以是有线或无线通信(如果适用)；并且系统可以优选地设置为自动操作系统，其在不与人工操作员进行任何交互的情况下自动操作。

本发明还涉及用于访问控制和清醒测试的相应方法，该方法包括以下步骤：在中央控制单元中存储通用授权信息；通过授权控制和清醒测试站从寻求访问的个人获得授权数据；将授权数据从授权控制和清醒测试站发送到中央控制单元；通过授权控制和清醒测试站从寻求访问的个人获得身体特征样本；在授权控制和清醒测试站中分析身体特征样本以用于检测身体特征样本中酒精的存在；将分析结果从授权控制和清醒测试站发送到中央控制单元；如果在通用授权信息和授权数据之间存在肯定匹配并且分析结果表明没有检测到酒精(或者检测到酒精浓度低于预定可接受的限度)，则通过中央控制单元发布临时授权信息；由至少一个访问控制单元获得临时授权信息；通过至少一个访问控制单元验证临时授权信息的有效性；以及如果对临时授权信息的有效性有肯定的验证，则通过至少一个访问控制单元准许寻求访问的个人进行访问。

如同用于访问控制和清醒测试的系统，方法可以应用三种不同的操作原理来向至少一个访问控制单元提供临时授权信息，即：临时授权信息从中央控制单元发送到至少一个访问控制单元；临时授权信息存储在中央控制单元中并且由至少一个访问控制器访问和检索或以其它方式读取；或者临时授权信息从授权控制和清醒测试站传送到临时授权信息载体中，寻求访问的个人将临时授权信息载体传送到至少一个访问控制单元。此外，在用于访问控制和清醒测试的方法中，授权控制和清醒测试站可以至少部分地集成在移动电话中，并且验证临时授权信息的有效性的步骤可以优选地包括验证临时授权信息的时间有效性的步骤，并且身体特征样本可以是呼气样本或透皮酒精检测，并且访问控制单元可以位于车辆中，或者位于限制区域的门或障碍物处，其中所有这些特征可以单独地或组合地结合到用于访问控制和清醒测试的方法中。

附图说明

在下文中，将通过非限制性示例并参考附图进一步描述和说明本发明，其中：

图1示出了根据本发明的用于访问控制和清醒测试的分布式系统的大体轮廓；

图2示出了根据本发明在用于访问控制和清醒测试的分布式系统中获得访问的过程的流程图；

图3示出了用于访问控制和清醒测试的分布式系统的大体轮廓，其中中央控制单元至少部分集成在授权控制和清醒测试站中；

图4示出了根据第三操作原理操作的用于访问控制和清醒测试的分布式系统的大体轮廓；

图5示出了移动电话形式的授权控制和清醒站，该移动电话配备有相机并连接到酒精传感器；

图6示意性示出了本发明的一个实施例；

图7示意性示出了本发明的一个实施例；

图8示意性示出了本发明的一个实施例；以及

图9是根据本发明一个实施例的方法的流程图。

具体实施方式

图1示出了根据本发明的分布式访问控制和清醒测试系统1的大体轮廓。系统1包括授权控制和清醒测试站2、中央控制单元3和至少一个访问控制单元4(在图1中，示出了两个访问控制单元4)。中央控制单元3配置和布置成存储关于潜在地能够访问其中系统1布置成授予访问的功能、区域、设备或单元(例如车辆)的个人或人员的通用授权信息。通用授权信息可以包括关于公司员工的一般信息，例如就业号码、个人身份号码、允许的工作时间、访问限制等，以及关于由公司发行并与特定员工关联的身份载体的信息，例如公司身份证明或徽章。通用授权信息还可以包括生物统计识别信息，例如指纹、眼睛识别数据或面部识别数据的形式。

授权控制和清醒测试站(诸如授权控制和清醒测试站2)的重复率通常是在5至10秒内进行一次测试，而访问控制单元(诸如访问控制单元4)的吞吐量快5至10倍。因此，其中将这两种功能分开的预设系统架构非常重要。

授权控制和清醒测试站2配置和布置成通过从寻求访问其中系统1布置成授予访问的功能、区域、设备或单元的人员或个人获得授权数据来验证寻求访问的人员或个人的身份。作为简单的示例，寻求访问的个人可以将他/她的就业号码或个人身份号码的形式的授权数据输入到授权控制和清醒测试站2，授权控制和清醒测试站2将授权数据(即，就业号码或个人身份号码)发送到中央控制单元3，中央控制单元3执行个人所提供的授权数据和先前存储在中央控制单元3中的通用授权信息之间的匹配过程。(或者，可以以生物统计学数据的形式提供授权数据，例如面部图像、指纹或眼睛识别数据，授权控制和清醒测试站2通过扫描寻求访问的个人的身体部分获得这些授权数据。)如果中央控制单元3发现授权数据和通用授权信息之间匹配(例如，由个人输入的就业号码列在中央控制单元3中存储的就业号码中，或者扫描的面部图像与先前存储在中央控制单元3中的面部图像匹配)，并且如果没有与通用授权信息相关联的适用限制，则找到肯定的匹配。此类限制可以是地理限制；例如，该个人受雇于公司，但不被允许进入他/她现在试图进入的特定场所或区域。限制的其它示例可以是时间依赖性限制；例如，仅允许个人白天工作，但是在夜间与授权控制和清醒测试站2交互；或设备依赖性限制；例如，仅允许个人驾驶公司汽车，但是将授权数据输入到位于公共汽车车库入口处的授权控制和清醒测试站2中。

授权控制和清醒测试站2还配置和布置成分析身体特征样本，该身体特征样本是从寻求访问其中系统1布置成授予访问的功能、区域、设备或单元的个人获得的，并且授权控制和清醒测试站2配置和布置成检测身体特征样本中酒精的存在。身体特征样本可以是呼气样本，寻求访问的个人经由例如设置在授权控制和清醒测试站2处或其中的吹口将呼气样本递送到授权控制和清醒测试站2。此类系统在本领域中是众所周知的，并且本文将不进一步描述它们的内部功能。呼吸分析器可以是非接触式的，使用co2测定来补偿样品稀释，并且通过消除附着吹口的需要来实现更快的吞吐量。红外吸收是酒精检测传感器的优选工作原理，但是电化学检测也是可能的。身体特征样本的另一个示例是透皮酒精检测，其中个人将他/她的指尖放在半透明板上，于是指尖例如被红外光进行激光照射，并且设备对已经通过指尖的光进行光谱分析。例如，可以从trutouch技术公司获得此种系统。因此，分布式访问控制和清醒测试系统1优选地是用于访问控制和清醒测试的非侵入式系统，这适用于本文呈现的所有实施例和示例。

授权控制和清醒测试站2还配置和布置成将身体特征样本的分析结果发送到中央控制单元3，如果授权数据和通用授权信息之间存在肯定匹配并且没有检测到酒精，则中央控制单元3发布临时授权信息，将该临时授权信息发送到至少一个访问控制单元4，或者可以由至少一个访问控制单元4访问或获得该临时授权信息。如本文所使用的，术语“没有检测到酒精”包括检测到酒精的量或浓度低于预定的可接受的水平，该水平可能与法律限制相关或不相关；并且术语“清醒”是指在人员或个人的血液或呼气中不存在超过某一阈值浓度的酒精，即乙醇，其中阈值浓度可能与法律限制相关或不相关。此外，在清醒测试为阴性的情况下，即测试结果表明人员的血液或呼气中存在超过某一阈值浓度的酒精，除非后续调查(通常包括进一步的清醒测试)给出结果显示该人员(现在)是清醒的，否则该人员将无法进入。

如上所述，至少一个访问控制单元4配置和布置成获得由中央控制单元3发布的临时授权信息，并验证临时授权信息的有效性，并且如果临时授权信息有效，则准许寻求此种访问的个人进行访问。因此，验证临时授权信息的有效性的步骤至少包括验证临时授权信息的时间有效性，即验证临时授权信息仍然有效并且不是很久以前发布的。因此，访问控制单元4获得发布临时授权信息的时间指示，并将该时间指示与由精确时钟提供的当前时间进行比较，精确时钟可以是设置在访问控制单元4中的内部时钟或设置在例如中央控制单元3中的外部时钟，并且如果时间指示在从当前时间起的预定时间间隔内，则通过访问控制单元4准许个人进行访问。图2示出了用于访问控制和清醒测试的系统1的一般操作原理的流程图。

在用于访问控制和清醒测试的分布式系统1的一个实施例中，至少一个访问控制单元4还配置成从寻求访问的个人获得授权数据，并将该授权数据与通常存储在中央控制单元3中的通用授权信息进行匹配。由访问控制单元4获得的授权数据可以是个人在他/她与授权控制和清醒测试站2交互时已经提供的相同授权数据，或者传送到访问控制单元4的授权数据可以是不同的授权数据。由授权控制和清醒测试站2获得的授权数据可以是例如就业号码，而由访问控制单元4获得的授权可以是指纹，反之亦然。该第二次身份验证的目的是消除或至少最小化以非合法方式获得临时授权信息的人员被准许进行访问的风险。可以在本文呈现的所有实施例和示例中实现第二次身份验证过程。

本发明的用于访问控制和清醒测试的分布式系统与其中访问控制和清醒测试单元被实现为一个特定车辆中单独操作的独立设备的系统相比提供了许多优点。例如，应当理解，访问控制单元(诸如访问控制单元4)比授权控制和清醒测试站(诸如授权控制和清醒测试站2)运行得快得多，授权控制和清醒测试站2不仅必须处理授权数据，而且必须获得和分析身体特征样本，这一过程花费几秒甚至几分钟。利用本发明的用于访问控制和清醒测试的系统，授权控制和清醒测试站可以放置在其中个人倾向于有更多时间与控制和测试站交互的位置和环境中，例如在公司大楼的使人舒适的入口区域中，而访问控制单元放置在驾驶员的车辆中，其中在该位置和环境中驾驶员已经开始他/她的轮班并渴望驶离以遵守他/她的时间表。授权控制和清醒测试站通常也固有地比访问控制单元对外部条件(例如温度)更敏感，并且利用本发明的用于访问控制和清醒测试的系统，授权控制和清醒测试站可以优选地放置在最佳和用户友好的位置，而访问控制单元放置在更“粗糙”的环境中，该环境可以远离授权控制和清醒测试站定位。

根据本发明的一个方面，在不同的位置设置需要与用户交互的单元、授权控制和清醒测试站2以及访问控制单元4。用户将首先在第一位置处接触授权控制和清醒测试站2，然后在第二位置处接触访问控制单元4。第二位置可以例如在车辆中，并且访问控制单元是经由无线通信与中央控制单元3通信的移动单元。

此外，用于访问控制和清醒测试的系统1包括至少一个访问控制单元4，并且在图1中，示意性地描绘了两个访问控制单元4，但是应当理解，系统1可以包括任意数量的访问控制单元4。在本发明的一个实施例中，在车辆中实现访问控制单元4；并且可以例如由物流管理员将用于访问控制和清醒测试的系统1用来管理和处理车队，车队中的每辆车配备有特定的访问控制单元4，如上面参考公共汽车车队所例示和讨论的。当在车辆中实现访问控制单元4时，术语“访问”意味着允许进入或启动所讨论的车辆。术语“访问”也可以指允许进入区域，该区域可以是或多或少受限制的区域，包括场所和公共建筑；并且访问控制单元可以例如安装在路障或门中。装备有酒精传感器的路障在本领域中是众所周知的，有时称为“酒精检测门(alcogate)”。然而，这些酒精检测门也作为独立的装置单独运行，这意味着如果一辆车的一名驾驶员不被允许通过酒精检测门，可能会出现排队和其它交通堵塞，这将对其他驾驶员产生负面影响。同样，如上所述，仅仅是分析呼气样本的时间就造成了潜在的交通问题。酒精检测门也具有法律含义，因为潜在的酒驾司机在他/她试图通过酒精检测门时实际上已经在驾驶他/她的车辆，并且因此操作酒精检测门可能需要警察在场。

利用本发明的用于访问控制和清醒测试的分布式系统，其可以克服与酒精检测门相关的问题，这将通过下面的非限制性示例来证明，其中根据本发明的系统与路障或门结合使用，该路障或门位于车辆轮渡的出口处或轮渡港口中的某个其它地方，使得所有车辆或某些类型的车辆(诸如卡车)必须在允许它们最终离开港口区域并驶离连接道路之前通过障碍物。在此轮渡示例中，访问控制单元布置成与障碍物连接，而授权控制和清醒测试站可以放置在轮渡的车辆甲板的入口处，其中授权控制和清醒测试站结合中央控制单元可以向已经将有效授权数据输入到授权控制和清醒测试站并且还提供了身体特征样本的所有驾驶员发布临时授权信息，身体特征样本在由授权控制和清醒测试站分析后指示驾驶员是清醒的。因此，将要离开轮渡的所有车辆都载有清醒和(临时)授权的驾驶员，并且布置在位于轮渡出口区域的障碍物处的访问控制单元只需要验证临时授权信息的有效性，即验证驾驶员很久以前未通过授权控制和清醒测试站。通过这种布置，不存在与分析呼气样本或其他身体特征样本所花费的时间相关的不必要的延迟，并且与潜在的酒驾的驾驶员试图通过障碍物并被拒绝通过障碍物时所引起的问题相关的交通问题的风险更小，并且法律影响也不那么严重，因为酒驾的驾驶员已经在车辆甲板的入口处停止，即在他/她实际驾驶车辆之前停止。

根据本发明，可以以多种方式实现用于访问控制和清醒测试的系统。因此，在上面结合图1描述的实施例中，示意性地将中央控制单元3描绘为远离授权控制和清醒测试站2的独立单元。然而，可以将中央控制单元的部件或功能集成到授权控制和清醒测试站中，或者将中央控制单元完全集成到授权控制和清醒测试站中。在图3中示意性地公开用于访问控制和清醒测试的此种系统11，其中授权控制和清醒测试站12包括中央控制单元13，如虚线所示，其与至少一个(这里为两个)访问控制单元14通信。然而，从功能的观点来看，集成中央控制单元13的所有功能与上面参考图1描述的中央控制单元3中的一个中央控制单元的功能相同，并且根据本发明的访问控制和清醒测试系统在本文中将明确参考中央控制单元进行描述，即使中央控制单元至少部分地集成到授权控制和清醒测试站中。

如上所述，中央控制单元基于寻求访问的个人的身份的肯定验证(即个人提供的授权数据和存储在中央控制单元中的通用授权信息之间的肯定匹配)并且没有检测到酒精而发布临时授权信息，其中临时授权信息随后由访问控制单元获得。根据本发明，可以以多种方式发布临时授权信息，其包括但不限于三个操作原则:1)将临时授权信息发送到访问控制单元并优选地存储在访问控制单元中；2)临时授权信息存储在中央控制单元中，并且可由访问控制单元访问和检索；或者3)将临时授权信息传送到媒体(在本文中称为临时授权信息载体)中，寻求访问的个人将其传输或以其它方式传送到他/她随后与之交互的访问控制单元。

作为第一操作原理的示例，作为本发明的一个方面，其中临时授权信息被发送到访问控制单元，中央控制单元发送例如个人就业号码的形式的临时授权信息以及时间戳，时间戳指示何时发布临时授权信息，即个人将正确的授权数据输入到授权控制和酒精测试站的时间点，并且还提供表明个人没有受到酒精影响的身体特征样本。访问控制单元接收并存储临时授权信息，并且当个人随后与访问控制单元交互时，要求他或她输入他/她的就业号码，并且访问控制单元将由个人现在提供的就业号码与已经存储在访问控制单元中的就业号码相匹配，并且如果找到肯定的匹配，则访问控制单元将与其相关联的时间戳与由精确时钟(例如，精确的内部时钟)给出的当前时间进行比较，并且如果时间戳给出的时间与当前时间之间的差异在预定时间间隔内(该预定时间间隔可以被预编程或者与临时授权信息一起发送)，则准许个人进行访问。在采用该操作原理时，访问控制单元4可操作以作为独立单元执行访问过程的一部分，即，在访问过程的所有步骤期间不必与中央控制单元进行通信。该第一操作原理的优点在于，即使访问控制单元和中央控制单元之间的通信中断，访问控制单元也是可操作的。另一个优点在于，如果不可以将临时授权信息传送到访问控制单元，则中央控制单元被告知某个访问控制单元至少是临时故障，并且可以采取行动。

作为第二操作原理的第一示例，作为本发明的一个方面，其中临时授权信息存储在中央控制单元中并且访问控制单元访问中央控制单元并检索临时授权信息，中央控制单元将临时授权信息链接到通用授权信息。然后，该临时授权信息可以是时间指示。在这种情况下，寻求访问的个人向访问控制单元提供授权数据，例如就业号码或个人识别码，访问控制单元通过将授权数据与通用授权信息进行匹配来获得临时授权信息，即来自中央控制单元的时间指示，并且通过将时间指示与由精确时钟给出的当前时间进行比较来确定临时授权信息的有效性，精确时钟可以是访问控制单元中的内部时钟或位于例如中央控制单元中的外部时钟；并且如果时间指示不超过离当前时间之前的预定时间间隔，则临时授权信息被确定为有效，并且访问控制单元准许寻求此种访问的个人进行访问。

作为第二操作原理的第二示例，中央控制单元还将临时授权信息链接到通用授权信息。然后，该临时授权信息可以是时间依赖性数字标志或变量，其在预定时间段结束之前具有某个值，并且在该预定时间段结束之后具有另一个值。在这种情况下，寻求访问的个人向访问控制单元提供授权数据，例如就业号码或个人识别码，访问控制单元通过将授权数据与通用授权信息进行匹配来访问中央控制单元并获得临时授权信息，即时间依赖性数字标志的当前值，并且通过将时间依赖性标志的当前值与预设值进行比较来确定临时授权信息的有效性，预设值可以是存储在访问控制单元中的内部值或存储在例如中央控制单元中的外部值；并且如果当前值与预设值匹配，则临时授权信息被确定为有效，并且访问控制单元准许寻求此种访问的个人进行访问。

作为第二操作原理的第三示例，当在预定时间段内没有发布临时授权信息时，例如当检测到酒精存在时，中央控制单元阻止或临时删除通用授权信息。因此，访问控制单元只可以在有效时段期间找到并访问通用授权信息。换句话说，通用授权信息的存在、可读性或可访问性构成临时授权信息。在这种情况下，寻求访问的个人向访问控制单元提供授权数据，例如就业号码或个人识别码，访问控制单元访问中央控制单元并试图将授权数据与通用授权信息相匹配。如果访问控制单元发现授权数据并将其与通用授权信息匹配，则临时授权信息被确定为有效，并且访问控制单元准许寻求此种访问的个人进行访问。

第二操作原理的优点在于可以容易地改变临时授权信息的有效性；例如，可以发现特定个人的通用授权信息是过时的或错误的，或者，如果例如存在一般延迟使得已经通过授权控制和清醒测试站的个人不能在正常时间跨度内到达访问控制单元，则可以容易地改变临时授权信息的时间有效性。此外，未能通过授权控制和酒精测试站可以例如提供关于某些员工过度饮酒的信息，或者多次不成功的访问区域或车辆的尝试可以指示非法活动。因此，在根据第二操作原理操作的系统中，可以更容易地采取适当的动作，这些动作可能与用于访问控制和清醒测试的系统的操作直接相关或不直接相关。

作为第三操作原理的示例，作为本发明的另一个方面，其中临时授权信息被传送到临时授权信息载体，寻求访问的个人将该临时授权信息载体传送或运送到他/她随后与之交互的访问控制单元，授权控制和清醒测试站将临时授权信息传送到临时授权信息载体，在简单的情况下，该临时授权信息载体可以是带有时间戳的票据的形式，寻求访问的个人将其传送到访问控制单元，该访问控制单元通过从票据读取时间戳来获得时间信息，并通过将时间戳提供的时间与精确时钟给出的当前时间进行比较来验证票据的有效性，并从而验证临时授权信息的有效性，该精确时钟可以是访问控制单元中的内部时钟或位于例如中央控制单元中的外部时钟；并且如果时间戳指示的时间不超过离当前时间之前的预定时间间隔，则临时授权信息被确定为有效，并且访问控制单元准许寻求此种访问的个人进行访问。在本实施例中，临时授权信息优选作为条形码或二维码或等同物打印在授权控制和清醒测试站的票据上，并且可由访问控制单元读取。票据的使用为临时授权信息的其它通信信道和装置提供了冗余。

临时授权信息载体的其它示例是rfid卡、移动电话(例如所谓的智能电话)和类似的设备，其可以接收和至少临时存储由授权控制和清醒测试站发布的临时授权信息，该临时授权信息随后可以由访问控制单元读取。另一个示例是，授权控制和清醒测试站在屏幕上显示代码，寻求访问的个人读取并记住该代码，直到他/她将相同的代码输入访问控制单元。在这种情况下，个人是临时授权信息载体。根据第三操作原理操作的用于访问控制和清醒测试系统的优点在于，非法试图获得为另一个人员发布的临时授权信息的人员必须持有临时授权信息载体，这通常是临时授权信息的合法持有人注意到的动作。

在图1和图3中示出根据第一和第二操作原理操作的系统，并且在图4中示意性示出根据第三操作原理操作的分布式访问控制和清醒测试系统21的大体轮廓，其中分布式访问控制和清醒测试系统21包括授权控制和清醒测试站22、中央控制单元23和至少一个(这里是两个)访问控制单元24。如上所述，授权控制和清醒测试站22基于在由寻求访问的个人提供的身体特征样本中没有检测到酒精以及由同一个人提供的授权数据的肯定验证来发布临时授权信息。图4还示出了临时授权信息被传送到临时授权信息载体25中，寻求访问的个人将其运送到访问控制单元24中的一个访问控制单元。当个人与访问控制单元24交互时，访问控制单元24从授权信息载体25读取临时授权信息，或者个人将临时授权信息输入访问控制单元24。

在上面给出并在图中也示出的示例中，只有一个授权控制和清醒测试站。然而，应该理解，根据本发明的用于访问控制和清醒测试的系统可以包括多于一个授权控制和清醒测试站。此外，授权控制和清醒测试站可以是固定单元或可移动单元，包括便携式单元，并且在图5中示意性地示出了后者的示例，其中授权控制和清醒测试站32包括移动电话36(例如智能电话36)，其连接到酒精传感器37，酒精传感器设置有吹口38，其中寻求访问的个人将呼气样本递送到吹口中。包括移动电话的酒精检测系统是可购买的，并且一个示例性系统是瑞典alcosystemsab公司销售的ibac产品，以及另一个系统由美国加利福尼亚州bactrack公司交付。(或者，移动电话可以连接到用于透皮酒精检测的传感器。)授权控制和清醒测试站32分析呼气样本，并将分析结果与授权数据一起发送到中央控制单元33。在这种情况下，如果个人移动电话36的识别号码作为通用授权信息存储在中央控制单元33中，则授权数据可以是移动电话36的识别号码(优选地,其在移动电话36与中央控制单元33交互时自动发送)，或者附加授权数据可以与呼气分析的结果一起发送，或者在呼气分析的结果之前或之后发送。在优选实施例中，移动电话36包括相机39，其中通过相机可以拍摄面部图像并将其作为授权数据发送到中央控制单元33，中央控制单元3将面部图像与已经存储在其中的面部图像进行比较。此外，如果分析的结果是没有检测到酒精，并且如果在授权数据和通用授权信息之间可以找到肯定的匹配，则中央控制单元33可以将临时授权信息发送回移动电话36，移动电话然后成为临时授权信息载体，即移动电话36是根据第三操作原理操作的系统的一部分。然而可能的是，中央控制单元33依据根据第一操作原理操作的系统向访问控制单元(图5中未示出)发送临时授权信息，或者中央控制单元33可以存储临时授权信息，使得访问控制单元(图5中未示出)可依据根据第二操作原理操作的系统访问临时授权信息。在图5所示的实施例中，授权控制和清醒测试站32完全集成到移动电话36(例如智能电话)中，移动电话与酒精传感器37通信，并且可选地，配备有相机39。然而，在本发明的范围内，在移动电话中仅部分地集成授权控制和清醒测试站。在此类实施例中，授权数据可以例如通过移动电话发送，而身体特征样本被输入到用于清醒测试的专用站。也可以使用配备有酒精传感器的移动电话，并利用授权控制站来传送授权数据。

利用分布式访问控制和清醒测试系统，其中授权控制和清醒测试站至少部分地集成在移动电话中，个人可以方便地传送授权数据和身体特征样本，并且如果授权数据的肯定验证完成并且身体特征样本中不存在酒精，则可以在个人接近访问控制单元之前获得临时授权信息。例如，此人员可以是出租车司机或卡车司机，他们从家里并通过他或她的移动电话传递授权数据和身体特征样本，并作为回复获得临时授权信息，然后在预定的时间段内与布置在他/她的出租车或卡车中的访问控制单元交互，该车可能已经停在房子或附近的停车处。因此，运营出租车或卡车公司的物流经理获得关于可用驾驶员的信息，并且可以相应地规划路线和行程以及其它操作，而不需要驾驶员实际出现在特定的地方，诸如公司大楼。集成在移动电话中的授权控制和清醒测试站的另一个示例性用户是船或轮渡乘客，他们可以从他/她的座位或船舱经由他/她的移动电话递送授权数据和身体特征样本，并且作为回复接收临时授权信息，该临时授权信息被他/她递送到位于例如车辆甲板入口处或位于船或轮渡出口处的路门处的访问控制单元。

根据本发明的系统中发生的所有通信在适用时可以是有线或无线通信，并且系统可以优选地设置为自动操作系统，其在没有人工操作员进行任何交互的情况下自动操作。可以优选地使用冗余数据通信信道；例如，通过在移动3g或4g网络中使用电信信道的组合，以及经由互联网使用tcp/ip协议的无线通信。此种解决方案增加了根据本发明的系统的鲁棒性。此外，优选地对所有数据通信进行加密，以获得针对不适当监控的安全性。

在本文呈现的所有实施例和示例中，访问控制单元验证与寻求访问并与访问控制单元交互的个人相关联的临时授权信息的有效性。该验证包括对临时授权信息的时间有效性的验证，这意味着访问控制单元确定临时授权信息不是在个人开始与访问控制单元交互之前很久以前发布的，即授权数据，特别是身体特征样本不是很久以前递送的。因此，验证临时授权信息的时间有效性包括确定临时授权信息是在当前时间(即个人开始与访问控制单元交互的时间点)之前的预定时间间隔内发布的。

根据本发明，由用于访问控制和清醒测试的系统的操作员确定和设置临时授权信息有效的时间间隔。原则上，可以设置任何时间间隔，但是根据系统的应用，可以将两个不同的时间间隔设想为有用的。如果在位于例如轮渡出口处的门或障碍物(诸如路障)处实现系统，则时间间隔可能优选相当短，例如大约10分钟至30分钟(或60分钟)的时间间隔，以给使用该系统的个人足够的时间来将他们自己从授权控制和清醒测试站运送到位于路障处的访问控制单元。如果将系统替代地并入车辆，则可能需要相当长的时间间隔。作为示例，可以将用于访问控制和清醒测试的系统结合到由家庭护理人员驾驶的车辆中，家庭护理人员拜访在不同的地方的几个客户，并且因此在轮班期间不得不重复地停止和重启他们的车辆。在这种情况下，适当的时间间隔可以对应于工作班次的长度，例如4小时或8小时，或者稍长一些，以考虑到不可预见的事件。

参考图1至图5，一种用于访问控制和清醒测试的方法包括以下步骤：在中央控制单元(3；13；23；33)中存储通用授权信息；通过授权控制和清醒测试站(2；12；22；32)从寻求访问的个人获得授权数据；将授权数据从授权控制和清醒测试站(2；12；22；32)发送到中央控制单元(3；13；23；33)；通过授权控制和清醒测试站(2；12；22；32)从寻求访问的个人获得身体特征样本；在授权控制和清醒测试站(2；12；22；32)中分析身体特征样本以用于检测身体特征样本中酒精的存在；将分析结果从授权控制和清醒测试站(2；12；22；32)发送到中央控制单元(3；13；23；33)；如果通用授权信息和授权数据之间存在肯定匹配且没有检测到酒精，则由中央控制单元(3；13；23；33)发布临时授权信息；由至少一个访问控制单元(4；14；24)获得临时授权信息；通过至少一个访问控制单元(4；14；24)验证临时授权信息的有效性；以及如果对临时授权信息的有效性有肯定的验证，则通过至少一个访问控制单元(4；14；24)准许寻求访问的个人进行访问。

在方法的一个实施例中，将临时授权信息从中央控制单元(3；13；33)发送到至少一个访问控制单元(4；14)，并且在另一个实施例中，临时授权信息存储在中央控制单元(3；13；33)中，并由至少一个访问控制单元(4；14)访问和检索，并且在又一实施例中，将临时授权信息从授权控制和清醒测试站(22)传送到临时授权信息载体中，寻求访问的个人将临时授权信息载体传送到至少一个访问控制单元(24)。对于根据本发明的方法的所有实施例，授权控制和清醒测试站(32)可以至少部分地集成在移动电话(36)中，并且验证临时授权信息的有效性的步骤可以包括验证临时授权信息的时间有效性的步骤，此外，身体特征样本可以是呼气样本或透皮酒精检测，并且访问控制单元(4；14；24)可以位于车辆中，或者位于限制区域的门或障碍物处。

图6是根据本发明的系统61的一个实施例的框图，其示出了系统及其元件的分布式特征，包括一个授权控制和清醒测试站62、中央控制单元63和一个访问控制单元64。为了清楚起见，示出了通过单元62、63、64之间的辐射符号所指示的射频范围内的无线电磁辐射来执行单元62、63、64之间的双向数据通信。因为无线数据通信独立于它们的精确位置，所以可以在物理上分离和任意定位这些单元。授权控制和清醒测试站62配备有用于清醒测试的呼吸分析器67和用于授权控制的射频识别(rfid)读卡器68。中央控制单元63基本上是具有高信息吞吐量和容量的通用服务器计算机。访问控制单元64包括rfid读卡器69，并控制车辆65的移动性或访问，例如通过门66。因此，访问控制单元64配置成具有双重功能。它能够控制车辆65的移动性、访问门66或者两者。单元62、63和64的确切配置可以从一个应用改变到另一个应用，因为各个单元是可识别的。

根据本发明和图6所示实施例的分布式系统配置成允许近最佳的效率和可靠性。无线数据通信有几种可选技术，例如蓝牙平台、zigbee平台或lora平台、移动电话网络、3g至5g、互联网或它们的组合。可以由独立的ip(互联网协议)地址或相应的格式来定义系统内单元62、63、64的身份。当主要问题为连接时，冗余数据信道的使用将保持系统性能，即使一个信道有故障。授权控制和清醒测试站62和访问控制单元64基本上是自主的，并且可以执行它们的功能，包括基于一致的和预编程的规则的决策，其中连通性小于100％，因为它们的操作是局部的，并且仅依赖于寻求授权或访问的人员偶尔的数据传输和通过。可以在这些场合或它们之间进行数据通信。

该系统配置成在不损耗系统性能的情况下管理同时寻求授权或访问的几个人员之间的队列。通道之间小于一秒钟的访问控制单元64的高吞吐量将最小化在人员需要快速和可靠访问的临界点处排队的风险。授权控制和清醒测试站62的吞吐量通常慢一个数量级，在5至10秒内进行一次测试。分布式系统通过并行使用几个授权控制和清醒测试站62来适应这种差异。

图7是根据本发明的访问控制单元71的一个实施例的框图。访问控制单元71包括一个rfid读卡器73，其配置成当寻求访问的人员将rfid卡72保持在读卡器73附近时，读取存储在该卡72中的信息。将数字签名75b发送到微控制器76，并与从存储设备74发出的另一个数字签名75a进行比较。当数字签名75a和75b相同时，开关79闭合。开关可以用于控制车辆的移动性或访问门，如前面关于图6描述的双重功能。还包括射频收发器77，其包括天线78，其中访问控制单元71通过天线与中央控制单元双向通信。图8是根据本发明的授权控制和清醒测试站71的一个实施例的框图。单元包括一个rfid读卡器83，其配置成当寻求授权的人员将rfid卡82保持在读卡器83附近时，读取存储在该卡82中的信息。将数字签名85b发送到微控制器86，并与从存储设备84发出的另一个数字签名85a进行比较。当数字签名85a和85b相同时，授权控制已经通过，并且命令人员向呼吸分析器89提供呼气样本。

呼吸分析器89包括红外发射器90和检测器91，检测器91调谐成响应于致醉物质(例如酒精)的特定红外吸收带。红外光束通过呼吸分析器89，如反射在呼吸分析器89的上壁上的横向虚线所示。由从入口92到出口93的流动方向指示对应于呼气样本的气流。呼气样本的物理传输及其在测试之间的冲洗是授权控制和清醒测试站62、81具有比访问控制单元64、71低得多的吞吐量的主要原因。

在不存在超过某一极限浓度的致醉物质的情况下，基于呼吸分析器89观察到的清醒度和经由rfid阅读器83的识别提供的授权信息，向人员发布临时授权信息。

授权控制和清醒测试站81中还包括射频收发器87，其包括天线88，其中站81通过天线与中央控制单元双向通信。

图9是示出根据本发明的方法的流程图，该方法包括以下独特的步骤：

-在第一步骤91中，将通用授权信息存储在中央控制单元3、13、23、33、63中。

-在下一个步骤92中，通过授权控制和清醒测试站2、12、22、32、62、81从寻求访问的个人获得授权数据。

-下一个步骤93涉及将授权数据从授权控制和清醒测试站2、12、22、32、62、81传输到中央控制单元3、13、23、33、63。

-在步骤94中，通过授权控制和清醒测试站2、12、22、32、62、81从寻求访问的个人获得身体特征样本，

-以及在步骤95中分析样品以检测身体样品中酒精的存在。

-在步骤96中，将该分析的结果从授权控制和清醒测试站2、12、22、32、62、81发送到中央控制单元3、13、23、33、63。

-如果在通用授权信息和授权数据之间存在肯定匹配并且没有检测到酒精，则在步骤97中，由中央控制单元3、13、23、33、63发布临时授权信息。

-在步骤98中，由一个或多个访问控制单元4、14、24、64、71接收临时授权信息。

-在步骤99中，由一个或多个访问控制单元4、14、24、64、71验证临时授权信息的有效性，以及

-如果对临时授权信息的有效性有肯定的验证，则在步骤100中准许寻求访问的个人进行访问。

根据本发明方法的替代实施例，在步骤97中由中央控制单元3、13、23、33、63将临时授权信息发布到临时授权信息载体。在步骤99中，访问控制单元4、14、24、64、71基于来自临时授权信息载体的信息来验证临时授权信息的有效性，并且如果临时授权信息的有效性存在肯定的验证，则在步骤100中准许寻求访问的个人进行访问。

上面已经参照根据本发明的系统描述了多个实施例和实现示例。这些实施例和实现也与本发明的方法相关，并且对于给定上述系统级的教导的技术人员来说，对方法的修改是直接的。

尽管已经参考具体实施例和示例描述了本发明，并且附图中也进行了示出，但是对于本领域技术人员来说显而易见的是，在说明书中描述的并且参考下面的权利要求书定义的本发明的范围内，可以进行许多变化和修改。