吴希铭
(上海浦江检验检疫局,上海 200002)
摘要:在当今食品工业中,普遍使用计算机系统代替人工监控加工过程的关键工序。对于这些关键工序,有效的控制是保障食品安全的重要前提。在审核过程中有必要重点对这些系统的适宜性和有效性进行确认。本文在参考美国FDA相关操作指南的基础上,结合国内食品企业的实际情况,在原有审核技术的基础上为审核员审核此类食品加工企业提供一些附加审核建议。
关键词:计算机;控制系统;食品加工;HACCP
KEYWORDS:Computerized System;Food processing;HACCP
1、 引 言
1.1 食品企业使用的计算机监控系统
述及食品企业使用的自动控制系统,最为熟悉的莫过于热加工过程的自动温度记录仪了。图1‑1为国产某型号自动温度记录仪。这类仪表能够持续的记录温度―时间数据以供后期审核和追溯,大大减少人工记录的频率。某些仪表还能设置报警温度,将参数设置为关键限值或操作限值后,能及时提供故障信息报警,从而避免后期采取纠偏措施。
计算机监控系统的引入不仅能用于记录生产过程数据,还能用于:
(1) 配方控制;
例如:婴儿配方食品中各类营养素的添加量控制、复配食品添加剂中各单一添加剂的添加量控制等;
(2) 过程偏离情况的计算评估;
(3) 控制温度、压力以及维持时间;
(4) 实施密封性能检查;
1.2 引入计算机控制系统的优势
国产某型号自动温度记录仪
(1) 可实现更为精细的工艺控制;
(2) 及时响应异常状态,实施动态调整及纠偏;
(3) 实现多个批次同时监控;
一般车间加工是多条生产线平行、连续生产的,若而使用人工监控,需要依流水线数量配备相应操作/管理人员。而一台主机可完成多台相同流水线的监控。
(4) 节省人力和资料成本。
人工监控需要委派专门人员实施数据观察、记录、后续审核等任务。对于大批量连续生产的企业,这是一项繁重而又枯燥乏味的工作。
企业每天会生成大量纸质记录,记录纸张便是一笔很大的开销。何况记录后期需要经过多部门流转、审核和归档,也会耗费不小的劳动力成本。
随着劳动力成本的增加,这些工作(包括资料的电子化流转和审核)完全可通过自动化系统完成,管理人员可以通过网络对各类电子记录实施验证审核。
1.3 引入计算机控制系统带来的挑战
计算机并非时时刻刻准确无误,亦会出各类故障和失效情况。原因包括:
(1) 软件、硬件设计的瑕疵;
例如:传感器精度不符合监控要求、软件编程存在瑕疵、处理器处理能力无法满足多线程并行运行要求、各类电子设备不适应严酷的工况环境等。
(2) 员工操作不当;
(3) 设备维护保养不当;
例如:使用和设计要求不符合的配件替换原件等。
(4) 配套管理文件存在缺陷;
例如:各类程序或记录未加密,未授权人员便可随意修改。修改操作无法有效追溯修改人员、修改的内容、修改的时间信息等。
(5) 恶意或者以经济激励性掺杂为目的故意更改操作参数等。
可见,计算机监控系统用于监控关键工序,无效的监控可能导致食品安全存在严重隐患。
因此,审核员在现场技术审核阶段需要评估使用计算机系统和软件控制是否会给食品安全带来危害。
为实施有效审核,需要在常规审核的基础上附加针对计算机监控系统的审核技术。
2、 计算机控制系统的构成
在食品行业中,计算机控制系统常被用来监控关键步骤,例如:
(1) 巴氏杀菌过程;
(2) 高温杀菌过程;
(3) pH的连续监控;
(4) 营养素的控制/添加;
(5) 记录保持;
(6) 微生物生长控制;
(7) 在线清洗(CIP,Clean In Place)等清洗过程的控制。
一个计算机控制系统,包括计算机硬件、计算机软件、附属装置、操控人员以及电子文档数据记录等。
图2‑1为一个简单的计算机控制系统实施对低酸罐头热力杀菌过程的监控。
图2‑1计算机系统控制杀菌关键点运作图
(1) 操作人员将杀菌工艺关键参数通过键盘录入可编程逻辑控制器(PLC,Program Logic Controller)。参数主要包括加热温度和维持时间。例如:排气温度和时间参数以及杀菌恒温温度和维持时间参数[1]。
(2) 杀菌锅内的热电阻传感器检测杀菌锅环境温度。通过模拟/数字转换器将温度模拟信号输入给PLC。
(3) PLC比照程度设定要求,将需要调整蒸汽进入量的信息以数字信号方式输出至数字/模拟转换器。
(4) 通过数/模转换,将阀门开闭大小的模拟信号传送给电磁阀。
(5) 电磁阀依据模拟信号实施开合,控制空气进入的大小。
(6) 气动阀依据电磁阀的输出(即空气流量)控制加热蒸汽流入量,以调节杀菌锅内的温度。
(7) 重复步骤⑵-⑹以使温度━时间控制满足程序设定要求。
(8) PLC按规定频率将温度━时间予以记录和暂存。
(9) 关键点数据通过显示器供操作人员参考,通过通信端口供给打印机予以输出,通过调制解调器传输至数据服务器予以保存。
3、 现场审核建议
3.1 审核步骤
(1) 收集车间平面图、工艺流程图,对设备布局、设备功能有一个大致了解;
(2) 确认哪些步骤是由计算机实施控制、监视或者进行记录的;
(3) 确定哪些工序/步骤可能对食品安全产生影响。
需要注意的是部分计算机系统仅仅用于产品质量的监控而不涉及安全卫生。例如:炸薯条流水线用于监控油温的系统,其目的仅仅在于控制终产品的感官指标。
在此步骤,建议审核员独立使用HACCP原理予以分析,确定关键工序和关键记录步骤,排除其他干扰因素。
(4) 收集系统工作的逻辑流程简图,对照工艺流程图实施分析。可通过比照人工操作的方式查看计算机系统执行的逻辑是否合理。
(5) 进一步确认如下信息:
(a) 确定系统包含的主要部件和位置;
例如:主要的传感器、微处理器的位置,与各类输入输出装置的连接方式。
(b) 使用了何种计算公式得出结果,公式是否使用正确;
例如转速(rpm/min)至维持时间的转换,高压容器内蒸汽压力至温度的转换等。
(c) 确认软件是如何处理数据结果的;
例如:使用屏幕反馈、即刻打印。或是将结果反馈给控制执行机构,形成循环。如图2‑1所以的阀门开启大小的反馈。
(6) 实地观察操作员工与计算机的交互过程;
例如:确定操作员需要录入哪些参数,哪些属于关键参数。操作员读取哪些参数,读取后如何处理等。
(7) 确认计算机系统以及相关人员如何处理偏离情况;
(8) 记录相应信息;
(9) 与法规进行比较,初步得出评估结论。包括:
(a) 系统运作是否符合关键点的控制要求;
(b) 传感器输入信息是否准确;
(c) 时间信息记录是否准确;
(d) 纠偏以及应急处理措施的有效性;
(e) 记录内容是否完整、准确;
(f) 相关人员(包括操作、管理、维护和审核人员)是否得到有效培训。
3.2 常用审核方法
3.2.1 与人工计算数值的比对
根据输入的数据,人工计算结果再与计算机系统自动计算结果比较。例如,对于低酸罐头F值的计算可以采用此法。
3.2.2 比照输入输出数值
现场比照传感器的指示数据与计算机系统显示的数据。或者使用计量合格的基准测量工具与其实施对比。例如:对于低酸罐头杀菌,中国出口行业标准以及美国FDA要求独立对照水银温度计比较计算机传感器获取的温度数据是否准确[2]。
实施此类输入输出的比照的原因:防止传感器探测的模拟信号经过不恰当的模数转换产生失真,从而导致数据误差。
例如:若信号转换器出现故障,在输入端读得热电偶温度数值为80℃,在计算机系统的显示器上可能显示为100℃(见图3‑1)。特别需要注意的是,这种故障可能仅仅存在于某一个测量区间。例如:在50-80℃呈现异常,而在0-20℃区间呈现正常。因此,有必要划分若干个区间实施比照。
图3‑1转换器故障引起的数据异常
3.2.3 两独立系统监控结果的比对
例如:对于计算机控制的多阶段杀菌工艺,工艺参数事先通过编程输入。可以使用独立的热分布实验来对比验证杀菌工艺的实际执行情况。
3.2.4 时钟比对
对于巴氏杀菌或者其它热杀菌关键工序而言,通常将加热维持时间作为关键点来控制,因此准确的时间监控是极为重要的。
以往人工监控时间参数,着重强调两点,即:
(1) 时钟的准确性。依靠定期校准来实现。
(2) 时钟的可读性。包括时钟应安装在监控位置附近,方便监控人员就近及时读取;时钟的表盘应清晰,刻度符合监控参数的精度要求。
而对于计算机控制系统,通常情况下一个车间会有多台设备,即会使用到分布式系统[3]。例如,如图2‑4所示:在一家低酸罐头企业内,由一套PLC同时对两台杀菌锅实施监控(即一套PLC和两台杀菌锅组成一个独立的生产单元),在该独立单元中PLC完成蒸汽压力和加热维持时间的监控以及数据的收集和传送,通过网络提供给主服务器。每一个主服务器获取监控数据后统一进行储存和打印。
图3‑2分布式控制系统演示图
(3) 基准时钟的选择。是由主计算机还是由PLC作为记录的基准时钟
在这种系统中同时存在着多个时钟。时钟之间的差异可能会引起数据间的矛盾或冲突。现场审核时除按常规使用比照验证外,还应额外关注:
(4) 时钟的计时制。有一些计算机系统使用12小时计时制,而另一些采用24小时计时制。应进一步确认数据供给处理器的计时制和主服务器的计时制是否存在矛盾。
(5) 系统时钟的重置机制。检查各处理器的时钟是否存在重置机制,重置机制可定期使各系统时钟与基准时钟保持更新一致。
审核时应确认重置的时间点(是在使用过程中,还是在非生产过程中),记录并判断时钟重置的间隔是否合理。
3.3 审核内容
3.3.1 执行步骤核查
以计算机控制的CIP清洗为例:CIP清洗步骤一般包括[4]:预冲洗→碱性→中间冲洗→酸性→最后冲洗→生产前消毒等步骤。
可通过PLC程序设定面板查看执行程序的框图[5],与规定的程序文件实施比照。
审核员可进一步确认计算机系统如何确认清洗的强度、洗涤剂残留达标的控制手段,了解其具体的参数设置。
例如:计算机系统可依靠电导率仪判断洗涤剂的浓度是否符合要求,依靠液位仪判断缸内洗涤剂的覆盖面,依靠温度传感器控制洗涤剂的最佳作用温度。
3.3.2 过程记录检查
在实施常规审核时,通常需要调阅大量纸质记录来获取过程控制有效性的各类证据。对由计算机实施关键步骤控制的企业,同样需要调阅计算机产生的各类记录。当然,这类记录可能以电子数据的形式存在。
建议审核人员关注:
(1) 电子记录是否覆盖法律法规(例如GMP和各类强制标准)、企业程序文件规定的所有必填项。
(2) 是否有安全措施保证计算机生成的数据不会被未经授权的更改。
若录入数值允许修改,系统应能识别修改的人员信息以及修改的原因。
例如:操作员工误读取了温度计上的信息并且已录入了系统,计算机系统警告操作人员录入数值超出限值范围了。操作员工读取正确数值后录入计算机,数值被系统接纳。
建议核查上述过程中,修改的历史步骤是否能被系统完整记录,并且修改历史记录本身是不能删改的。这一点等效于常规纸质记录修改时使用的划线、签修改人名字以及注明修改日期的方式。
(3) 通过计算机系统监控关键控制点的,是否能在两个记录点内记录下过程中极值。(依据关键点的属性可能为最大值和/或最小值)
例如:在一个高温容器内设置了一个温度传感器[3],传感器连续向计算机系统传送温度电信号,计算机每过数毫秒识别一次温度信息,每过两分钟将温度数据输出打印。对此,有必要知晓在这两分钟周期内数据的最小值。(见图2‑1)
图3‑3连续温度检测过程中记录数据与监测数据比较
(4) 电子记录是否能以可读取的方式及时提供给审核人员。
可以是纸质的拷贝也可以在是通过计算机软件显示的经过合理组织的形式(例如图表、数据列表)。
(5) 若使用电子签名的,确认其安全保密措施是否有效,能且仅能代表录入信息的操作人员本人。
3.3.3 软件使用安全检查
(1) 确认工厂制定了相应的安全措施防止未经授权的软件代码更改以及存储数据的变更。这些变更包括非故意的删除或者丢失。
(2) 确认工厂范围内具备权限以及具备对软件做出变更能力的人员名单。
(3) 查看企业的《食品防护计划》的信息部分[6],确认在《食品防护计划》中存在相应的程序,保证软件使用和储存的安全;
3.3.4 人员资质检查
现场审核时应确认对计算机系统具有关键操作权限的人员名单。这些人员可能不仅仅包括企业内部人员,还包括设备供应商以及外部的顾问。
检查内容包括
(1) 确认操作、维护以及对计算机系统实施编程的人员是否经过培训,具备足够的经验完成本职工作。
(2) 在出现应急情况时,技术支持人员是否能及时到岗处理故障。
在对相应企业的现场审核过程中,发现不少企业仅仅关注操作方面的培训,而忽视了系统出现故障后的应急处理措施,包括人工应急操作处理,纠偏以及实施有效记录等。
如同常规现场审核,可以通过查阅企业相关培训记录获取这方面的信息。
3.3.5 备用人工操作有效性检查
通常情况下由计算机系统控制的程序可同时由人工介入操作。在现场审核阶段应确定哪些功能可以同时由人工操作,确认涉及到的具体设备。
确认人工操作和计算机自动控制交互的程度,以及这样的交互是否会造成计算机控制的失效。
对照企业的相关程序文件,是否注明在何时、何种条件下,允许何类人工干预,谁被授权执行这些操作。
检查这些人工干预操作是否准确记录。检查执行这些人工干预的操作人员是否经过相应的培训。
3.3.6 对系统故障恢复的检查
(1) 确认企业是否配备恢复系统故障的程序或预案;
(2) 是否具备相应的程序,以控制在系统故障阶段生产的食品。这些食品是否能得到有效隔离和后续评估;
(3) 若存在故障重启恢复的实例,应重点关注:
(a) 系统恢复后,程序执行点位于运行周期内的哪一个步。是位于程序启动最初的一步,还是任意一步,或者是程序暂停工作的那一步?(见图3‑4)
(b) 查找重启后已重复执行(或者遗漏执行)的步骤。这些重复执行或者遗漏的步骤可能导致关键点监控的失效。
(c) 确认是否记录重启恢复的时间点以及其他信息。
从系统故障到重启恢复(或者使用备用人工操作模式)的耗时非常关键,例如:在低酸罐头热力杀菌阶段,系统监控的失效可能导致杀菌时间无法维持CCP点限值要求。而通过记录相应的时间点,可方便后续的评估处理以及实施补救措施。亦可将有潜在安全隐患的产品(半成品)与合格品区分区分,减少损失。
图3‑4系统故障恢复后程序执行位置的判断
3.3.7 对系统部件的维护和校准检查
(1) 检查更换的配件是否符合系统原厂设计的技术指标要求;
(2) 检查和确认各类传感器的适用性;
传感器是作为计算机控制系统实现监视和控制功能的重要部件,其精确度以及量程范围应与待测参数的指标要求相匹配。例如:使用热电阻传感器监控121℃高压蒸汽杀菌的温度,热电阻传感器的量程精确度必须达到121℃以上,低于100℃便不适用。
(3) 检查企业是否对计算机控制系统的输入(例如热电偶传感器、热电阻传感器、压力传感器等)和输出实施验证;
当然,无需对每项输入、输出数据实施人工核查,但应保持足够频率的核查水准以保证数据的精确性。
(4) 检查企业是否定期对各类传感器实施校准;
(5) 检查企业纠偏或纠偏演练执行情况。
当监控关键工序的计算机控制系统的传感器部件出现不精准的情况,那么在此期间生产的产品应被认定为潜在不安全的而予以追溯。
追溯的范围包括从发现部件不精准开始起至前一次确认该部件正常运作期间生产的所有产品。
3.3.8 报警机制核查
当系统检测到异常值(数据偏离关键限值)或者故障时会引发报警机制。在现场审核报警机制时应关注:
(1) 确认报警具体代表的环节或功能
例如报警可能代表电力、蒸汽供应的异常。或者仅仅是操作指令完成的提示或反馈。或者食品加工工序所处的一种状态,例如:物料存放容器处于空置状态或者满载状态的提示等。
(2) 确认报警限值设定的合理性
现场确认报警限值(thresholds)的设定依据是否明确,例如:是否依据关键限值或操作限值而设定。
(3) 检查报警限值的设定是否可能被未经授权的修改
例如:使用计算机系统监控巴氏杀菌的杀菌水槽。根据HACCP体系文件,当水缸温度T≤95℃中将触发声光报警。现场操作员是否存在未经授权将参数调整为T≤93℃的可能性?
(4) 确认报警事件是否得到记录
进一步确针对认报警事件的记录以及后续处理措施的记录。确认记录方式:是人工记录在生产日志中还是由计算机自动产生电子记录。
(5) 多重报警的处理措施
如2.8(4)所述的分布式系统,同一时刻可能触发多重报警。若现场仅由一名员工实施系统监控,应进一步询问和确认其后续故障处理措施的及时性和有效性。
4、 结语
现代化的食品加工业离不开先进的自动化监控系统。而这些系统是否运作有效又与食品安全息息相关。
对于设备制造企业,我们应鼓励其制定行业标准,鼓励认证机构对这类自动化监控系统制定专门的认证标准;例如:类似安全仪表认证[7]等(SIF,Safety Instrumented Function)制定认证标准,实施第三方认证。
监控设备的设计制造符合标准仅仅是保障食品安全的一方面。而设备的合理选用、正确操作与使用、以及故障和偏差的处理,记录保障等是由食品加工企业作为使用者实现的。计算机监控系统的有效运作仍然主责在食品加工企业,企业需要承担食品安全的首要责任[8]。
对于审核员(无论第三方认证机构审核员还是官方审核员)。针对这类食品加工企业,我们实施技术审核方法需要更新和调整。例如:以往现场审核时通过对操作人员的观察、询问获得审核证据的方式可能不能完全奏效了。必须进一步获得计算机系统运作的程序框架,硬件配置、人机交互操作、数据安全处理等方面信息方能有审核发现。
当然对这类企业实施有效审核的前提仍然是正确有效地使用HACCP危害分析的工具,确定关键控制点。
参考文献
[1] 汪小禄. HACCP在火腿罐头生产中的应用[J]. 食品工业, 2008(05): 51-3.
[3] U.S.FDA. GUIDE TO INSPECTIONS OF COMPUTERIZED SYSTEMS IN THE FOOD PROCESSING INDUSTRY[EB/OL] [2014-11-25]. [2015-5-11]. http://www.fda.gov/ICECI/Inspections/InspectionGuides/ucm074871.htm.
[4] 蔡林昌, 严伟荣, 蔡积赟, et al.饮料生产中的CIP[J]. 饮料工业, 2001(06): 27-34.
[5] 高锦栋, 邱润才, 姚智宇. CIP清洗系统的微机控制[J]. 中国乳品工业, 1997(01): 32-5.
[6] 中华人民共和国国家质量监督检验检疫总局.食品防护计划及其应用指南[S].北京:中国标准出版社, 2010: 6.
[7] 邱辉.安全仪表系统的功能安全认证研究[D]. 北京: 首都经济贸易大学 Academic Department, 2010.
[8] 中华人民共和国食品安全法 [M]//全国人民代表大会常务委员会. 北京. 2015.