手機版
摘要:在當今食品工業中,普遍使用計算機系統代替人工監控加工過程的關鍵工序。對于這些關鍵工序,有效的控制是保障食品安全的重要前提。在審核過程中有必要重點對這些系統的適宜性和有效性進行確認。本文在參考美國FDA相關操作指南的基礎上,結合國內食品企業的實際情況,在原有審核技術的基礎上為審核員審核此類食品加工企業提供一些附加審核建議。
關鍵詞:計算機;控制系統;食品加工;HACCP
KEYWORDS:Computerized System;Food processing;HACCP
1、 引 言
1.1 食品企業使用的計算機監控系統
述及食品企業使用的自動控制系統,最為熟悉的莫過于熱加工過程的自動溫度記錄儀了。圖1‑1為國產某型號自動溫度記錄儀。這類儀表能夠持續的記錄溫度―時間數據以供后期審核和追溯,大大減少人工記錄的頻率。某些儀表還能設置報警溫度,將參數設置為關鍵限值或操作限值后,能及時提供故障信息報警,從而避免后期采取糾偏措施。
計算機監控系統的引入不僅能用于記錄生產過程數據,還能用于:
(1) 配方控制;
例如:嬰兒配方食品中各類營養素的添加量控制、復配食品添加劑中各單一添加劑的添加量控制等;
(2) 過程偏離情況的計算評估;
(3) 控制溫度、壓力以及維持時間;
(4) 實施密封性能檢查;
圖1‑1
 |
國產某型號自動溫度記錄儀
1.2 引入計算機控制系統的優勢
(1) 可實現更為精細的工藝控制;
(2) 及時響應異常狀態,實施動態調整及糾偏;
(3) 實現多個批次同時監控;
一般車間加工是多條生產線平行、連續生產的,若而使用人工監控,需要依流水線數量配備相應操作/管理人員。而一臺主機可完成多臺相同流水線的監控。
(4) 節省人力和資料成本。
人工監控需要委派專門人員實施數據觀察、記錄、后續審核等任務。對于大批量連續生產的企業,這是一項繁重而又枯燥乏味的工作。
企業每天會生成大量紙質記錄,記錄紙張便是一筆很大的開銷。何況記錄后期需要經過多部門流轉、審核和歸檔,也會耗費不小的勞動力成本。
隨著勞動力成本的增加,這些工作(包括資料的電子化流轉和審核)完全可通過自動化系統完成,管理人員可以通過網絡對各類電子記錄實施驗證審核。
1.3 引入計算機控制系統帶來的挑戰
計算機并非時時刻刻準確無誤,亦會出各類故障和失效情況。原因包括:
(1) 軟件、硬件設計的瑕疵;
例如:傳感器精度不符合監控要求、軟件編程存在瑕疵、處理器處理能力無法滿足多線程并行運行要求、各類電子設備不適應嚴酷的工況環境等。
(2) 員工操作不當;
(3) 設備維護保養不當;
例如:使用和設計要求不符合的配件替換原件等。
(4) 配套管理文件存在缺陷;
例如:各類程序或記錄未加密,未授權人員便可隨意修改。修改操作無法有效追溯修改人員、修改的內容、修改的時間信息等。
(5) 惡意或者以經濟激勵性摻雜為目的故意更改操作參數等。
可見,計算機監控系統用于監控關鍵工序,無效的監控可能導致食品安全存在嚴重隱患。
因此,審核員在現場技術審核階段需要評估使用計算機系統和軟件控制是否會給食品安全帶來危害。
為實施有效審核,需要在常規審核的基礎上附加針對計算機監控系統的審核技術。
2、 計算機控制系統的構成
在食品行業中,計算機控制系統常被用來監控關鍵步驟,例如:
(1) 巴氏殺菌過程;
(2) 高溫殺菌過程;
(3) pH的連續監控;
(4) 營養素的控制/添加;
(5) 記錄保持;
(6) 微生物生長控制;
(7) 在線清洗(CIP,Clean In Place)等清洗過程的控制。
一個計算機控制系統,包括計算機硬件、計算機軟件、附屬裝置、操控人員以及電子文檔數據記錄等。
圖2‑1為一個簡單的計算機控制系統實施對低酸罐頭熱力殺菌過程的監控。
圖2‑1計算機系統控制殺菌關鍵點運作圖
(1) 操作人員將殺菌工藝關鍵參數通過鍵盤錄入可編程邏輯控制器(PLC,Program Logic Controller)。參數主要包括加熱溫度和維持時間。例如:排氣溫度和時間參數以及殺菌恒溫溫度和維持時間參數[1]。
(2) 殺菌鍋內的熱電阻傳感器檢測殺菌鍋環境溫度。通過模擬/數字轉換器將溫度模擬信號輸入給PLC。
(3) PLC比照程度設定要求,將需要調整蒸汽進入量的信息以數字信號方式輸出至數字/模擬轉換器。
(4) 通過數/模轉換,將閥門開閉大小的模擬信號傳送給電磁閥。
(5) 電磁閥依據模擬信號實施開合,控制空氣進入的大小。
(6) 氣動閥依據電磁閥的輸出(即空氣流量)控制加熱蒸汽流入量,以調節殺菌鍋內的溫度。
(7) 重復步驟⑵-⑹以使溫度━時間控制滿足程序設定要求。
(8) PLC按規定頻率將溫度━時間予以記錄和暫存。
(9) 關鍵點數據通過顯示器供操作人員參考,通過通信端口供給打印機予以輸出,通過調制解調器傳輸至數據服務器予以保存。
3、 現場審核建議
3.1 審核步驟
(1) 收集車間平面圖、工藝流程圖,對設備布局、設備功能有一個大致了解;
(2) 確認哪些步驟是由計算機實施控制、監視或者進行記錄的;
(3) 確定哪些工序/步驟可能對食品安全產生影響。
需要注意的是部分計算機系統僅僅用于產品質量的監控而不涉及安全衛生。例如:炸薯條流水線用于監控油溫的系統,其目的僅僅在于控制終產品的感官指標。
在此步驟,建議審核員獨立使用HACCP原理予以分析,確定關鍵工序和關鍵記錄步驟,排除其他干擾因素。
(4) 收集系統工作的邏輯流程簡圖,對照工藝流程圖實施分析。可通過比照人工操作的方式查看計算機系統執行的邏輯是否合理。
(5) 進一步確認如下信息:
(a) 確定系統包含的主要部件和位置;
例如:主要的傳感器、微處理器的位置,與各類輸入輸出裝置的連接方式。
(b) 使用了何種計算公式得出結果,公式是否使用正確;
例如轉速(rpm/min)至維持時間的轉換,高壓容器內蒸汽壓力至溫度的轉換等。
(c) 確認軟件是如何處理數據結果的;
例如:使用屏幕反饋、即刻打印。或是將結果反饋給控制執行機構,形成循環。如圖2‑1所以的閥門開啟大小的反饋。
(6) 實地觀察操作員工與計算機的交互過程;
例如:確定操作員需要錄入哪些參數,哪些屬于關鍵參數。操作員讀取哪些參數,讀取后如何處理等。
(7) 確認計算機系統以及相關人員如何處理偏離情況;
(8) 記錄相應信息;
(9) 與法規進行比較,初步得出評估結論。包括:
(a) 系統運作是否符合關鍵點的控制要求;
(b) 傳感器輸入信息是否準確;
(c) 時間信息記錄是否準確;
(d) 糾偏以及應急處理措施的有效性;
(e) 記錄內容是否完整、準確;
(f) 相關人員(包括操作、管理、維護和審核人員)是否得到有效培訓。
3.2 常用審核方法
3.2.1 與人工計算數值的比對
根據輸入的數據,人工計算結果再與計算機系統自動計算結果比較。例如,對于低酸罐頭F值的計算可以采用此法。
3.2.2 比照輸入輸出數值
現場比照傳感器的指示數據與計算機系統顯示的數據。或者使用計量合格的基準測量工具與其實施對比。例如:對于低酸罐頭殺菌,中國出口行業標準以及美國FDA要求獨立對照水銀溫度計比較計算機傳感器獲取的溫度數據是否準確[2]。
實施此類輸入輸出的比照的原因:防止傳感器探測的模擬信號經過不恰當的模數轉換產生失真,從而導致數據誤差。
例如:若信號轉換器出現故障,在輸入端讀得熱電偶溫度數值為80℃,在計算機系統的顯示器上可能顯示為100℃(見圖3‑1)。特別需要注意的是,這種故障可能僅僅存在于某一個測量區間。例如:在50-80℃呈現異常,而在0-20℃區間呈現正常。因此,有必要劃分若干個區間實施比照。
圖3‑1轉換器故障引起的數據異常
3.2.3 兩獨立系統監控結果的比對
例如:對于計算機控制的多階段殺菌工藝,工藝參數事先通過編程輸入。可以使用獨立的熱分布實驗來對比驗證殺菌工藝的實際執行情況。
3.2.4 時鐘比對
對于巴氏殺菌或者其它熱殺菌關鍵工序而言,通常將加熱維持時間作為關鍵點來控制,因此準確的時間監控是極為重要的。
以往人工監控時間參數,著重強調兩點,即:
(1) 時鐘的準確性。依靠定期校準來實現。
(2) 時鐘的可讀性。包括時鐘應安裝在監控位置附近,方便監控人員就近及時讀取;時鐘的表盤應清晰,刻度符合監控參數的精度要求。
而對于計算機控制系統,通常情況下一個車間會有多臺設備,即會使用到分布式系統[3]。例如,如圖2‑4所示:在一家低酸罐頭企業內,由一套PLC同時對兩臺殺菌鍋實施監控(即一套PLC和兩臺殺菌鍋組成一個獨立的生產單元),在該獨立單元中PLC完成蒸汽壓力和加熱維持時間的監控以及數據的收集和傳送,通過網絡提供給主服務器。每一個主服務器獲取監控數據后統一進行儲存和打印。
圖3‑2分布式控制系統演示圖
 |
在這種系統中同時存在著多個時鐘。時鐘之間的差異可能會引起數據間的矛盾或沖突。現場審核時除按常規使用比照驗證外,還應額外關注:
(3) 基準時鐘的選擇。是由主計算機還是由PLC作為記錄的基準時鐘
(4) 時鐘的計時制。有一些計算機系統使用12小時計時制,而另一些采用24小時計時制。應進一步確認數據供給處理器的計時制和主服務器的計時制是否存在矛盾。
(5) 系統時鐘的重置機制。檢查各處理器的時鐘是否存在重置機制,重置機制可定期使各系統時鐘與基準時鐘保持更新一致。
審核時應確認重置的時間點(是在使用過程中,還是在非生產過程中),記錄并判斷時鐘重置的間隔是否合理。
3.3 審核內容
3.3.1 執行步驟核查
以計算機控制的CIP清洗為例:CIP清洗步驟一般包括[4]:預沖洗→堿性→中間沖洗→酸性→最后沖洗→生產前消毒等步驟。
可通過PLC程序設定面板查看執行程序的框圖[5],與規定的程序文件實施比照。
審核員可進一步確認計算機系統如何確認清洗的強度、洗滌劑殘留達標的控制手段,了解其具體的參數設置。
例如:計算機系統可依靠電導率儀判斷洗滌劑的濃度是否符合要求,依靠液位儀判斷缸內洗滌劑的覆蓋面,依靠溫度傳感器控制洗滌劑的最佳作用溫度。
3.3.2 過程記錄檢查
在實施常規審核時,通常需要調閱大量紙質記錄來獲取過程控制有效性的各類證據。對由計算機實施關鍵步驟控制的企業,同樣需要調閱計算機產生的各類記錄。當然,這類記錄可能以電子數據的形式存在。
建議審核人員關注:
(1) 電子記錄是否覆蓋法律法規(例如GMP和各類強制標準)、企業程序文件規定的所有必填項。
(2) 是否有安全措施保證計算機生成的數據不會被未經授權的更改。
若錄入數值允許修改,系統應能識別修改的人員信息以及修改的原因。
例如:操作員工誤讀取了溫度計上的信息并且已錄入了系統,計算機系統警告操作人員錄入數值超出限值范圍了。操作員工讀取正確數值后錄入計算機,數值被系統接納。
建議核查上述過程中,修改的歷史步驟是否能被系統完整記錄,并且修改歷史記錄本身是不能刪改的。這一點等效于常規紙質記錄修改時使用的劃線、簽修改人名字以及注明修改日期的方式。
(3) 通過計算機系統監控關鍵控制點的,是否能在兩個記錄點內記錄下過程中極值。(依據關鍵點的屬性可能為最大值和/或最小值)
 |
例如:在一個高溫容器內設置了一個溫度傳感器[3],傳感器連續向計算機系統傳送溫度電信號,計算機每過數毫秒識別一次溫度信息,每過兩分鐘將溫度數據輸出打印。對此,有必要知曉在這兩分鐘周期內數據的最小值。(見圖2‑1)
圖3‑3連續溫度檢測過程中記錄數據與監測數據比較
(4) 電子記錄是否能以可讀取的方式及時提供給審核人員。
可以是紙質的拷貝也可以在是通過計算機軟件顯示的經過合理組織的形式(例如圖表、數據列表)。
(5) 若使用電子簽名的,確認其安全保密措施是否有效,能且僅能代表錄入信息的操作人員本人。
3.3.3 軟件使用安全檢查
(1) 確認工廠制定了相應的安全措施防止未經授權的軟件代碼更改以及存儲數據的變更。這些變更包括非故意的刪除或者丟失。
(2) 確認工廠范圍內具備權限以及具備對軟件做出變更能力的人員名單。
(3) 查看企業的《食品防護計劃》的信息部分[6],確認在《食品防護計劃》中存在相應的程序,保證軟件使用和儲存的安全;
3.3.4 人員資質檢查
現場審核時應確認對計算機系統具有關鍵操作權限的人員名單。這些人員可能不僅僅包括企業內部人員,還包括設備供應商以及外部的顧問。
檢查內容包括
(1) 確認操作、維護以及對計算機系統實施編程的人員是否經過培訓,具備足夠的經驗完成本職工作。
(2) 在出現應急情況時,技術支持人員是否能及時到崗處理故障。
在對相應企業的現場審核過程中,發現不少企業僅僅關注操作方面的培訓,而忽視了系統出現故障后的應急處理措施,包括人工應急操作處理,糾偏以及實施有效記錄等。
如同常規現場審核,可以通過查閱企業相關培訓記錄獲取這方面的信息。
3.3.5 備用人工操作有效性檢查
通常情況下由計算機系統控制的程序可同時由人工介入操作。在現場審核階段應確定哪些功能可以同時由人工操作,確認涉及到的具體設備。
確認人工操作和計算機自動控制交互的程度,以及這樣的交互是否會造成計算機控制的失效。
對照企業的相關程序文件,是否注明在何時、何種條件下,允許何類人工干預,誰被授權執行這些操作。
檢查這些人工干預操作是否準確記錄。檢查執行這些人工干預的操作人員是否經過相應的培訓。
3.3.6 對系統故障恢復的檢查
(1) 確認企業是否配備恢復系統故障的程序或預案;
(2) 是否具備相應的程序,以控制在系統故障階段生產的食品。這些食品是否能得到有效隔離和后續評估;
(3) 若存在故障重啟恢復的實例,應重點關注:
(a) 系統恢復后,程序執行點位于運行周期內的哪一個步。是位于程序啟動最初的一步,還是任意一步,或者是程序暫停工作的那一步?(見圖3‑4)
(b) 查找重啟后已重復執行(或者遺漏執行)的步驟。這些重復執行或者遺漏的步驟可能導致關鍵點監控的失效。
(c) 確認是否記錄重啟恢復的時間點以及其他信息。
從系統故障到重啟恢復(或者使用備用人工操作模式)的耗時非常關鍵,例如:在低酸罐頭熱力殺菌階段,系統監控的失效可能導致殺菌時間無法維持CCP點限值要求。而通過記錄相應的時間點,可方便后續的評估處理以及實施補救措施。亦可將有潛在安全隱患的產品(半成品)與合格品區分區分,減少損失。
圖3‑4系統故障恢復后程序執行位置的判斷
3.3.7 對系統部件的維護和校準檢查
(1) 檢查更換的配件是否符合系統原廠設計的技術指標要求;
(2) 檢查和確認各類傳感器的適用性;
傳感器是作為計算機控制系統實現監視和控制功能的重要部件,其精確度以及量程范圍應與待測參數的指標要求相匹配。例如:使用熱電阻傳感器監控121℃高壓蒸汽殺菌的溫度,熱電阻傳感器的量程精確度必須達到121℃以上,低于100℃便不適用。
(3) 檢查企業是否對計算機控制系統的輸入(例如熱電偶傳感器、熱電阻傳感器、壓力傳感器等)和輸出實施驗證;
當然,無需對每項輸入、輸出數據實施人工核查,但應保持足夠頻率的核查水準以保證數據的精確性。
(4) 檢查企業是否定期對各類傳感器實施校準;
(5) 檢查企業糾偏或糾偏演練執行情況。
當監控關鍵工序的計算機控制系統的傳感器部件出現不精準的情況,那么在此期間生產的產品應被認定為潛在不安全的而予以追溯。
追溯的范圍包括從發現部件不精準開始起至前一次確認該部件正常運作期間生產的所有產品。
3.3.8 報警機制核查
當系統檢測到異常值(數據偏離關鍵限值)或者故障時會引發報警機制。在現場審核報警機制時應關注:
(1) 確認報警具體代表的環節或功能
例如報警可能代表電力、蒸汽供應的異常。或者僅僅是操作指令完成的提示或反饋。或者食品加工工序所處的一種狀態,例如:物料存放容器處于空置狀態或者滿載狀態的提示等。
(2) 確認報警限值設定的合理性
現場確認報警限值(thresholds)的設定依據是否明確,例如:是否依據關鍵限值或操作限值而設定。
(3) 檢查報警限值的設定是否可能被未經授權的修改
例如:使用計算機系統監控巴氏殺菌的殺菌水槽。根據HACCP體系文件,當水缸溫度T≤95℃中將觸發聲光報警。現場操作員是否存在未經授權將參數調整為T≤93℃的可能性?
(4) 確認報警事件是否得到記錄
進一步確針對認報警事件的記錄以及后續處理措施的記錄。確認記錄方式:是人工記錄在生產日志中還是由計算機自動產生電子記錄。
(5) 多重報警的處理措施
如2.8(4)所述的分布式系統,同一時刻可能觸發多重報警。若現場僅由一名員工實施系統監控,應進一步詢問和確認其后續故障處理措施的及時性和有效性。
4、 結語
現代化的食品加工業離不開先進的自動化監控系統。而這些系統是否運作有效又與食品安全息息相關。
對于設備制造企業,我們應鼓勵其制定行業標準,鼓勵認證機構對這類自動化監控系統制定專門的認證標準;例如:類似安全儀表認證[7]等(SIF,Safety Instrumented Function)制定認證標準,實施第三方認證。
監控設備的設計制造符合標準僅僅是保障食品安全的一方面。而設備的合理選用、正確操作與使用、以及故障和偏差的處理,記錄保障等是由食品加工企業作為使用者實現的。計算機監控系統的有效運作仍然主責在食品加工企業,企業需要承擔食品安全的首要責任[8]。
對于審核員(無論第三方認證機構審核員還是官方審核員)。針對這類食品加工企業,我們實施技術審核方法需要更新和調整。例如:以往現場審核時通過對操作人員的觀察、詢問獲得審核證據的方式可能不能完全奏效了。必須進一步獲得計算機系統運作的程序框架,硬件配置、人機交互操作、數據安全處理等方面信息方能有審核發現。
當然對這類企業實施有效審核的前提仍然是正確有效地使用HACCP危害分析的工具,確定關鍵控制點。
參考文獻
[1] 汪小祿. HACCP在火腿罐頭生產中的應用[J]. 食品工業, 2008(05): 51-3.
[3] U.S.FDA. GUIDE TO INSPECTIONS OF COMPUTERIZED SYSTEMS IN THE FOOD PROCESSING INDUSTRY[EB/OL] [2014-11-25]. [2015-5-11]. http://www.fda.gov/ICECI/Inspections/InspectionGuides/ucm074871.htm.
[4] 蔡林昌, 嚴偉榮, 蔡積赟, et al.飲料生產中的CIP[J]. 飲料工業, 2001(06): 27-34.
[5] 高錦棟, 邱潤才, 姚智宇. CIP清洗系統的微機控制[J]. 中國乳品工業, 1997(01): 32-5.
[6] 中華人民共和國國家質量監督檢驗檢疫總局.食品防護計劃及其應用指南[S].北京:中國標準出版社, 2010: 6.
[7] 邱輝.安全儀表系統的功能安全認證研究[D]. 北京: 首都經濟貿易大學 Academic Department, 2010.
[8] 中華人民共和國食品安全法 [M]//全國人民代表大會常務委員會. 北京. 2015.
通訊作者:吳希銘,公共管理碩士,主任評審員,研究方向出口食品生產企業衛生備案和第三方認證監督管理。電子郵件:wuxm@shciq.gov.cn
*Corresponding author: Wu Xi Ming,MPA,Chief Inspector of sanitary registration. E-mail: wuxm@shciq.gov.cn