Sélection de la langue

Recherche

Annexe D : Critères d'évaluation des fonctions informatisées de salubrité des aliments

Sur cette page

Définitions

Les définitions qui suivent s'appliquent aux fins du présent document.

Adresse
Étiquette numérique accompagnant chaque entrée ou sortie de l'ordinateur. Ce dernier utilise cette adresse lorsqu'il communique avec l'entrée ou la sortie.
Ordinateur
Multitude de commutateurs marche-arrêt organisés de manière à exécuter de façon séquentielle des fonctions logiques et numériques.
Mode par défaut
La position prédéfinie de certaines adresses de mémoire lors des opérations de démarrage et d'attente.
Mémoire morte programmable modifiable électriquement (EAPROM)
Les adresses de mémoire individuelles peuvent être modifiées sans que le reste de la mémoire soit effacé.
Mémoire morte programmable effaçable électriquement (EEPROM)
Toute la mémoire est effacée avec un seul signal électrique.
Mémoire morte reprogrammable (ERPOM)
Toute la mémoire est effacée lors de l'exposition à un rayonnement ultraviolet.
Sécurité intégrée
Instrument ou système conçu de façon à ce qu'il passe en mode sécurité advenant une panne d'alimentation, des systèmes d'approvisionnement en air ou de tout autre système de soutien.
Modifiable sur place
Dispositif conçu de manière à pouvoir être facilement modifié par l'utilisateur ou par le personnel d'entretien.
Force off
Instruction machine programmable qui met toute entrée ou sortie à l'état « fermé » (off), indépendamment de toute autre instruction de programme.
Force on
Instruction machine programmable qui met toute entrée ou sortie à l'état « ouvert » (on), indépendamment de toute autre instruction de programme.
Entrée
Ensemble de données transmis au bus d'entrée de l'ordinateur et utilisé par ce dernier pour prendre des décisions logiques quant au lancement ou non d'une ou de plusieurs sorties. L'entrée est constituée de données provenant d'instruments de mesure de la température et de la pression, de contrôles des niveaux de liquide, de tachymètres, de microrupteurs et d'interrupteurs commandés par l'opérateur.
Bus d'entrée/sortie
Tableau de commandes électriques permettant le raccordement à l'ordinateur de toutes les entrées et sorties. Les étiquettes d'adresse d'entrée/sortie se trouvent sur ce tableau. En général, des voyants indiquant l'état (ouvert/fermé) de toutes les entrées et sorties sont également prévus sur ce tableau.
Interrupteur last state (dernier état)
Interrupteur manuel sur le bus d'entrée/sortie ordonnant à l'ordinateur de placer toutes les sorties à l'état « ouvert », « fermé » ou « dernier état » lors du démarrage. La position « dernier état » demande à l'ordinateur de placer les sorties à l'état (ouvert ou fermé) qu'elles avaient lors de la dernière panne de courant.
Interrupteur prioritaire de l'opérateur
Interrupteur manuel sur le bus d'entrée/sortie permettant à l'opérateur de mettre toute entrée ou sortie à l'état ouvert ou fermé, indépendamment de toute instruction de programme.
Sortie
Signaux électriques émis par l'ordinateur et mettant en fonction ou hors fonction des soupapes, des moteurs, des lumières, des avertisseurs sonores et d'autres dispositifs commandés par l'ordinateur. Il peut également s'agir de messages et de données à l'intention de l'opérateur.
Contrôleur programmable
Ordinateur doté d'une capacité mathématique limitée, qui est utilisé pour la commande de machines, d'instruments et de processus industriels. La plupart des ordinateurs utilisés dans les pasteurisateurs Pasteurisation haute température courte durée (HTST) seront des contrôleurs programmables.
Mémoire vive (RAM)
Mémoire utilisée par l'ordinateur pour exécuter des programmes, stocker des données, lire les entrées et contrôler les sorties. L'ordinateur peut lire ou enregistrer les données dans la mémoire.
Mémoire morte (ROM)
Mémoire utilisée par l'ordinateur pour exécuter ses propres programmes internes non modifiables. L'ordinateur ne peut que lire les données de cette mémoire : il ne peut ni y enregistrer ni y modifier des données.
État en attente
L'ordinateur est sous tension et tourne, attendant des instructions pour exécuter le traitement des données d'entrée. Les instructions sont généralement lancées par un interrupteur manuel.
Impression de l'état
Certains interrupteurs sont programmés pour interrompre l'impression du graphe et imprimer l'état des valeurs de consigne clés, tels la température du lait froid, la température dans le tube de chambrage, les réglages de température de passage en déviation et la vitesse d'avancement du graphe.

Critères

Les critères suivants s'appliquent aux ordinateurs ou aux contrôleurs programmables utilisés avec des systèmes de pasteurisation haute température courte durée (HTST), très haute température très courte durée (HHST) et ultra-haute température (UHT) du lait et des autres produits laitiers.

  1. Réserver l'utilisation de l'ordinateur ou du contrôleur programmable au contrôle des fonctions liées à la salubrité des aliments du pasteurisateur.
    • ne l'affecter à aucune autre tâche connexe du fonctionnement courant de l'établissement.
  2. Ne pas placer l'ordinateur chargé du contrôle des fonctions liées à la salubrité des aliments sous la commande ou le contrôle d'un autre système informatique. Par exemple :
    • il ne doit pas comporter d'adresse qui peut être accessible à un autre système informatique;
    • un ordinateur hôte ne peut annuler l'effet de ses commandes ni le mettre en état en attente;
    • toutes les adresses de sortie de l'ordinateur contrôlant les fonctions liées à la salubrité des aliments sont en tout temps prêtes au traitement des données.
  3. Utiliser un ordinateur contrôlant les fonctions liées à la salubrité des aliments distinct pour chaque système de pasteurisation.
  4. Indiquer l'état du bus d'entrée/sortie de l'ordinateur contrôlant les fonctions liées à la salubrité des aliments aux autres systèmes informatiques, mais comme entrée seulement. Protéger la connexion des câblages à l'aide de dispositifs d'isolation, tels des relais à solénoïde, des diodes ou des optocoupleurs, de manière à empêcher que le bus d'entrée/sortie soit commandé par un autre système informatique.
  5. Veiller à ce que tous les contrôles de salubrité des aliments passent en mode sécurité intégrée (déviation) dans les situations suivantes :
    • lorsqu'il y a panne d'alimentation de l'ordinateur;
    • lorsque l'ordinateur est mis en attente;
    • lorsque l'ordinateur est en mode par défaut, par exemple lorsque des tests de diagnostic internes sont automatiquement exécutés lors du démarrage.
  6. Certains ordinateurs ou contrôleurs programmables utilisent des bus d'entrée/sortie dotés d'« interrupteurs de dernier état » (last state) qui permettent à l'opérateur du pasteurisateur de choisir l'état que prendra le bus de sortie lors de la remise sous tension après une panne de courant ou un arrêt. 3 états sont possibles : ouvert (on), fermé (off) ou dernier état (last state). Mettre ces « interrupteurs de dernier état » en mode sécurité intégrée.
  7. Rédiger le programme machine de manière à ce que l'ordinateur surveille toutes les entrées et mette à jour toutes les sorties selon un horaire précis (au moins une fois chaque seconde). La plupart des ordinateurs pourront s'acquitter de cette fonction plusieurs fois par seconde.
  8. Stocker les programmes informatiques dans une mémoire morte disponible lorsque l'ordinateur est mis sous tension. Ne pas utiliser de bandes ou de disques.
  9. Verrouiller l'accès aux programmes informatiques, y compris tout accès par modem téléphonique. Si le bus d'entrée/sortie contient des « interrupteurs de dernier état », les verrouiller. Utiliser les procédures de test et les instructions fournies par le fournisseur pour confirmer que le bon programme est utilisé lors du démarrage et lorsque le sceau est brisé.
  10. Si l'ordinateur est doté des fonctions Force-On ou Force-Off (forcer à ouvrir/fermer), le munir de témoins indiquant l'état de la fonction Force-On ou Force-Off. Désactiver toutes les fonctions Force-On et Force-Off avant de verrouiller l'ordinateur.
  11. Ne pas installer d'interrupteur prioritaire de l'opérateur sur les bus d'entrée/sortie de l'ordinateur contrôlant les fonctions liées à la salubrité des aliments.
  12. Systèmes informatiques qui permettent l'impression du graphe :
    • maintenir un étalonnage approprié durant l'impression du graphe;
    • veiller à ce que l'ordinateur ne soit pas détourné de ses fonctions liées à la salubrité des aliments pendant plus d'une seconde;
    • lorsqu'il revient au contrôle de la salubrité des aliments, l'ordinateur exécute au moins un cycle complet de ses fonctions liées à la salubrité des aliments avant de revenir à l'impression du graphe.
  13. Lors de l'impression d'un graphe, certains systèmes produisent directement sur le graphe des rapports d'état sur certaines conditions d'entrée/sortie. Pour cela, ils interrompent en général l'impression du graphe et impriment les conditions d'entrée/sortie. 
    • veiller à ce que ces interruptions n'empêchent pas l'enregistrement continu sur le graphe;
    • lorsqu'il y a interruption, imprimer l'heure de début de l'interruption sur le graphe ainsi que l'heure de fin;
    • veiller à ce que l'intervalle pendant lequel l'ordinateur est détourné de ses fonctions de contrôle de la salubrité des aliments pour l'impression du rapport d'état ne dépasse pas une seconde;
    • lorsqu'il revient au contrôle de la salubrité des aliments, l'ordinateur exécute au moins un cycle complet de ses fonctions liées à la salubrité des aliments avant de revenir à l'impression du rapport d'état.
  14. Lorsque l'ordinateur imprime le suivi de la température dans le tube de chambrage à des intervalles précis, plutôt qu'une ligne qui change constamment, faire imprimer les valeurs de température au moins toutes les cinq secondes. De plus, lors de l'essai de réaction thermométrique, imprimer la température ou l'indiquer suffisamment rapidement pour mesurer avec exactitude l'augmentation de 7 °C (12 °F) de température comme il est décrit à l'essai 7 des méthodes d'essai des procédés critiques.
  15. Lorsque l'ordinateur imprime la position de la plume de fréquence (la position du dispositif de déviation de l'écoulement (DDE) normal ou dévié) à des intervalles donnés plutôt que de façon continue, veiller à ce que l'ordinateur reconnaisse tous les changements de position et les imprime sur le graphe. En outre, veiller à ce que la position de la plume de fréquence et la température dans le tube de chambrage soient imprimées sur le graphe de telle sorte qu'il soit possible de déterminer la température dans le tube de chambrage au moment d'un changement de position du DDE.
  16. S'assurer qu'un programme intégré pour les modalités d'essai ou un protocole soit fourni de manière à ce que tous les essais appropriés figurant dans les méthodes d'essai des procédés critiques puissent être exécutés pour les instruments suivants :
    • Thermomètres enregistreurs
      • précision de la température;
      • précision du temps;
      • vérification par rapport à un thermomètre indicateur;
      • réponse thermométrique.
    • Dispositifs de déviation de l'écoulement
      • fuite des tiges de soupape;
      • fonctionnement des tiges de soupape;
      • arrangement du dispositif;
      • déviation manuelle;
      • temps de réponse;
      • temporisation le cas échéant.
    • Pompes d'appoint
      • câblage adéquat;
      • réglages adéquats des contrôles de pression.
    • Facilitateurs d'écoulement (pompes de dosage)
      • temps de chambrage dans le tube;
      • interverrouillages (enclenchements) adéquats.
  17. Les ordinateurs ont besoin d'une alimentation électrique de qualité supérieure, bien régularisée, pour fonctionner de façon sûre et sécuritaire. Les pointes de tension parasites peuvent donner lieu à des changements non voulus dans la RAM. Certaines composantes mécaniques et électriques peuvent également se détériorer avec le temps. Les solutions suivantes aident à prévenir ces changements non voulus dans la RAM :
    • prévoir 2 programmes permanents dans l'ordinateur : l'un dans la RAM et l'autre dans la ROM.
      • par le truchement d'un test d'autodiagnostic, ces 2 programmes peuvent se comparer périodiquement;
      • si des différences sont décelées, l'ordinateur passera au mode par défaut.
    • Télécharger le programme de la ROM vers la RAM à chaque démarrage.
    • Faire en sorte que l'ordinateur lise le programme directement de la ROM, laquelle ne peut être modifiée.
      • cette approche est réalisable uniquement dans le cas d'applications à grand volume de données, par exemple les fours à micro-ondes;
      • dans le cas de la plupart des applications à faible volume, la mémoire morte peut être modifiée sur place, par exemple les EPROM, les EEPROM et les EAPROM.
        • on ne peut compter sur elles pour un enregistrement permanent.
    • Veiller à ce que le programme approprié se trouve dans la mémoire de l'ordinateur avant de verrouiller l'appareil.
  18. Utiliser les schémas logiques se trouvant dans la section Schémas logiques des systèmes informatiques pour mettre au point les programmes informatiques utilisés pour contrôler les fonctions liées à la salubrité des aliments des pasteurisateurs. Des modifications mineures peuvent être apportées à ces schémas pour tenir compte de certains éléments qui sont uniques à un système particulier de pasteurisation HTST ou HHST ou supprimer ces éléments, par exemple les débitmètres magnétiques utilisés en remplacement des pompes de dosage, le cycle de lavage à la tige de détection des soupapes du DDE et le délai de 10 minutes de la pompe d'appoint et du DDE qui permet à la pompe de dosage de fonctionner pendant les opérations de nettoyage. Disposer d'un protocole qui peut être suivi pour démontrer que le programme s'exécute tel qu'il a été conçu dans des conditions de production réelles. Voir un exemple à la section Procédure de test.
  19. Les schémas logiques du DDE et de la pompe d'appoint prévoient le fonctionnement programmé du système nettoyage en place (NEP) à l'intérieur du système informatisé. Lorsqu'on utilise un autre ordinateur pour le fonctionnement du système NEP (de manière à ce que les programmes de ce dernier puissent être modifiés par le personnel de l'installation), raccorder entre eux le DDE, la pompe d'appoint et l'ordinateur de l'installation au moyen de relais à solénoïde ou de dispositifs semblables au niveau des sorties vers le DDE et la pompe d'appoint. Cette mesure empêche que ces dispositifs soient activés par l'ordinateur utilisé pour le système NEP, sauf lorsque le commutateur de mode du DDE est placé en position « NEP ».

Procédure de test

Voici 1 méthode permettant de confirmer le fonctionnement adéquat de tous les contrôles de salubrité requis :

Schémas logiques des systèmes informatiques

Figure 1 - Schéma logique : Dispositif de dérivation de débit - tige de vanne de dérivation
Figure 1 - Schéma logique : Dispositif de dérivation de débit. Description ci-dessous.
Description de l'image – Schéma logique d'un dispositif de dérivation de débit (tige de vanne de dérivation)

Cette image montre un schéma logique d'un dispositif de dérivation (tige de vanne de dérivation) pour un ordinateur ou un contrôleur programmable.

  • De la position de démarrage, si « mis sous tension », le programme peut aller en mode inspection, en mode produit ou en mode nettoyage en place (NEP).
  • En mode inspection, si la durée est plus grande que la durée requise pour faire arrêter tous les facilitateurs d'écoulement, un signal est envoyé au solénoïde de la vanne de dérivation.
  • En mode produit, les conditions suivantes doivent être satisfaites pour que le système demeure en débit avant :
    • la température doit dépasser la température de pasteurisation;
    • le dispositif de dérivation manuel doit être fermé.

De plus, si le système est un système à débitmètre électromagnétique :

  • le débit doit dépasser 5 % du maximum (ceci a trait au point de réglage de perte de signal);
  • le débit doit être inférieur à celui de l'alarme de débit élevé;
  • la durée doit dépasser le délai légal d'écoulement avant.

Si une ou plusieurs de ces conditions ne sont pas satisfaites, le solénoïde de la valve de dérivation reçoit le signal de détourner le débit.

Une plume de fréquences à solénoïde enregistre la position de débit vers l'avant ou en dérivation du produit.

  • En mode NEP, après un délai de plus de 10 minutes, ou la durée nécessaire à l'arrêt de tous les facilitateurs d'écoulement s'ils ne peuvent fonctionner, la programmation nettoyage en place commence à nettoyer le système. Le solénoïde de la vanne de dérivation permet à la vanne de se déplacer pour le nettoyage.
Figure 2 - Schéma logique : Dispositif de dérivation de débit (tige de vanne de détection de fuite)
Figure 2 l Schéma logique : Tige de vanne de détection de fuite. Description ci-dessous.
Description de l'image – Schéma logique d'un dispositif de dérivation de débit (tige de vanne de détection de fuites)

Cette figure représente un schéma logique d'un dispositif de dérivation (tige de vanne de détection de fuites) pour un ordinateur ou un contrôleur programmable.

  • De la position de démarrage, si « mis sous tension », le programme peut aller en mode inspection, produit ou NEP.
  • En mode inspection, si la durée est plus grande que la durée requise pour faire arrêter tous les facilitateurs d'écoulement, un signal est envoyé au solénoïde de la vanne de détection de fuite.
  • En mode produit, les conditions suivantes doivent être satisfaites pour que le système demeure en débit vers l'avant :
    • la température doit dépasser la température de pasteurisation;
    • le dispositif de dérivation manuel doit être fermé.

Pour le système à débitmètre électromagnétique :

  • le débit doit dépasser 5 % du maximum (ceci a trait au point de réglage de perte de signal);
  • le débit doit être inférieur à celui de l'alarme de débit élevé;
  • la durée doit dépasser le délai légal d'écoulement avant.

De plus :

  • Le microrupteur de dérivation doit être en position vers l'avant et;
  • La durée doit dépasser celle de purge.

Si une ou plusieurs de ces conditions n'est pas/ne sont pas satisfaite(s), le solénoïde de la vanne de détection de fuite reçoit le signal de dévier le débit.

  • En mode NEP, après un délai de plus de 10 minutes, ou la durée nécessaire à l'arrêt de tous les facilitateurs d'écoulement s'ils ne peuvent fonctionner, la programmation NEP commence à nettoyer le système. Le solénoïde de la vanne de détection de fuite permet à la vanne de se déplacer pour le nettoyage.
Figure 3 - Schéma logique : Enregistreur de seuil thermique de sécurité
Figure 3 - Schéma logique : Enregistreur de seuil thermique de sécurité. Description ci-dessous.
Description de l'image – Schéma logique d'un appareil de contrôle enregistreur de seuil thermique de sécurité

La présente image est un schéma logique d'un appareil de contrôle enregistreur de seuil thermique de sécurité pour un ordinateur ou un contrôleur programmable.

  • Lorsque le programme commence, le moteur de graphe est actionné.
  • Si le microrupteur de dérivation est ouvert et que la position de dérivation est détectée par le microrupteur de détection, un voyant rouge s'allume et la pompe de débit est mise en marche. Si la position de dérivation n'est pas détectée par le microrupteur de détection, aucun voyant ne s'allume.
  • Si la température de pasteurisation légale est atteinte, le dispositif de régulation de débit et le dispositif de dérivation de débit sont activés. Le microrupteur de diversion est en mode de débit avant, un voyant vert s'allume et la plume de fréquence à solénoïde est actionné pour enregistrer le débit vers l'avant.
Figure 4 - Schéma logique : dispositif de régulation de débit
Figure 4 - Schéma logique. Dispositif de régulation de débit. Description ci-dessous.
Description de l'image – Schéma logique d'un dispositif régulation de débit

Cette image est un schéma logique d'un dispositif régulation de débit pour un ordinateur ou un contrôleur programmable.

  • En mode inspection, le dispositif de réglage du débit est fermé
  • En mode produit, si la température dépasse la température de pasteurisation légale, un signal est envoyé au démarreur du dispositif de réglage du débit afin d'amorcer le débit vers l'avant. Si la température n'est pas atteinte. Les microrupteurs de diversion et de détection de fuite doivent détecter la position complètement dérivé pour activer le démarreur du dispositif de régulation de débit. Lorsque la température de pasteurisation descend sous la température légale de pasteurisation, un relais de temporisation peut être installé pour permettre au régulateur de débit de continuer à fonctionner durant le temps normal requis par le dispositif de déviation pour passer d'un écoulement avant à un écoulement dévié, ce délai ne doit pas excéder 1 seconde.
  • En mode NEP par circulation, un délai de 10 minutes précède le début de l'opération NEP par circulation puis un signal est envoyé au démarreur du dispositif de réglage du débit. Si le délai de 10 minutes n'est pas utilisé lorsque le NEP par circulation est initié, alors aucun signal ne peut être envoyé au démarreur du dispositif de réglage du débit.
Figure 5 - Schéma logique : pompe d'appoint
FFigure 5 - Schéma logique : pompe d'''appoint. Description ci-dessous.
Description de l'image – Schéma logique d'une pompe d'appoint

Cette image est un schéma logique d'une pompe d'appoint pour un ordinateur ou un contrôleur programmable.

  • En mode inspection, le démarreur de la pompe d'appoint est fermé.
  • En mode produit, les conditions suivantes doivent être satisfaites avant qu'un signal ne soit envoyé à la pompe d'appoint;
    • le dispositif de régulation du débit est en marche;
    • le microrupteur de diversion est en position avant;
    • le microrupteur de détection détecte le débit avant;
    • les pressions adéquates dans le régénérateur sont atteintes.
  • En mode nettoyage sur place par circulation, après un délai de 10 minutes ou plus, l'opération nettoyage sur place par circulation programmée commence.
    • si le délai de 10 minutes n'est pas utilisé, alors le démarreur de la pompe d'appoint ne peut pas être actionnée pendant le nettoyage sur place par circulation.
Date de modification :