Manuel d'inspection des établissements laitiers – Chapitre 19 - Annexes
Annexe 5 Critères d'évaluation des contrôles informatisés de salubrité glossaire

Cette page fait partie du répertoire des documents d'orientation (RDO).

Vous cherchez des documents connexes?
Recherche de documents connexes dans le répertoire des documents d'orientation.

Adresse
étiquette numérique accompagnant chaque entrée ou sortie de l'ordinateur. Ce dernier utilise cette adresse lorsqu'il communique avec l'entrée ou la sortie.
Ordinateur
multitude de commutateurs marche-arrêt organisés de manière à exécuter de façon séquentielle des fonctions logiques et numériques.
Mode par défaut
la position pré-définie de certaines adresses de mémoire lors des opérations de démarrage et d'attente.
Mémoire morte programmable modifiable électriquement (EAPROM)
Les adresses de mémoire individuelles peuvent être modifiées sans que le reste de la mémoire soit effacé.
Mémoire morte programmable effaçable électriquement (EEPROM)
Toute la mémoire est effacée avec un seul signal électrique.
Mémoire morte reprogrammable (ERPOM)
Toute la mémoire est effacée lors de l'exposition à un rayonnement ultraviolet.
Sécurité intégrée
instrument ou système conçu de façon à ce qu'il passe en mode sécurité advenant une panne d'alimentation, des systèmes d'approvisionnement en air ou de tout autre système de soutien.
Modifiable sur place
dispositif conçu de manière à pouvoir être facilement modifié par l'utilisateur ou par le personnel d'entretien.
Force Off
instruction machine programmable qui met toute entrée ou sortie à l'état « fermé » (off), indépendamment de toute autre instruction de programme.
Force On
instruction machine programmable qui met toute entrée ou sortie à l'état « ouvert » (on), indépendamment de toute autre instruction de programme.
Entrée
ensemble de données transmis au bus d'entrée de l'ordinateur et utilisé par ce dernier pour prendre des décisions logiques quant au lancement ou non d'une ou de plusieurs sorties. L'entrée est constituée de données provenant d'instruments de mesure de la température et de la pression, de contrôles des niveaux de liquide, de tachymètres, de microrupteurs et d'interrupteurs commandés par l'opérateur.
Bus d'entrée/sortie
tableau de commandes électriques permettant le raccordement à l'ordinateur de toutes les entrées et sorties. Les étiquettes d'adresse d'entrée/sortie se trouvent sur ce tableau. En général, des voyants indiquant l'état (ouvert/fermé) de toutes les entrées et sorties sont également prévus sur ce tableau.
Interrupteur Last State (dernier état)
interrupteur manuel sur le bus d'entrée/sortie ordonnant à l'ordinateur de placer toutes les sorties à l'état « ouvert », « fermé » ou « dernier état » lors du démarrage. La position « dernier état » demande à l'ordinateur de placer les sorties à l'état (ouvert ou fermé) qu'elles avaient lors de la dernière panne de courant.
Interrupteur prioritaire de l'opérateur
interrupteur manuel sur le bus d'entrée/sortie permettant à l'opérateur de mettre toute entrée ou sortie à l'état ouvert ou fermé, indépendamment de toute instruction de programme.
Sortie
signaux électriques émis par l'ordinateur et mettant en fonction ou hors fonction des soupapes, des moteurs, des lumières, des avertisseurs sonores et d'autres dispositifs commandés par l'ordinateur. Il peut également s'agir de messages et de données à l'intention de l'opérateur.
Contrôleur programmable
ordinateur doté d'une capacité mathématique limitée, qui est utilisé pour la commande de machines, d'instruments et de processus industriels. La plupart des ordinateurs utilisés dans les pasteurisateurs Pasteurisation haute température courte durée (HTST) seront des contrôleurs programmables.
Mémoire vive (RAM)
Mémoire utilisée par l'ordinateur pour exécuter des programmes, stocker des données, lire les entrées et contrôler les sorties. L'ordinateur peut lire ou enregistrer les données dans la mémoire.
Mémoire morte (ROM)
Mémoire utilisée par l'ordinateur pour exécuter ses propres programmes internes non modifiables. L'ordinateur ne peut que lire les données de cette mémoire : il ne peut ni y enregistrer ni y modifier des données.
État en attente
l'ordinateur est sous tension et tourne, attendant des instructions pour exécuter le traitement des données d'entrée. Les instructions sont généralement lancées par un interrupteur manuel.
Impression de l'état
certains interrupteurs sont programmés pour interrompre l'impression du graphe et imprimer l'état des valeurs de consigne clés, telles la température du lait froid, la température dans le tube de retenue, les réglages de température de passage en déviation et la vitesse d'avancement du graphe.

Critères

Tous les ordinateurs ou contrôleurs programmables utilisés avec des systèmes de HTST, haute chaleur courte durée (HHST) et ultra-haute température (UHT) du lait et des autres produits laitiers doivent respecter la liste de critères qui suit. En outre, tous les systèmes devront être conformes aux autres exigences énoncées dans le manuel Système d'agrément et d'inspection des établissements laitiers.

  1. Un ordinateur ou un contrôleur programmable utilisé pour le contrôle des fonctions liées à la salubrité des pasteurisateurs doit être un système réservé au contrôle des pasteurisateurs. L'ordinateur contrôlant les fonctions liées à la salubrité ne doit être affecté à aucune autre tâche connexe à l'exploitation courante de l'installation.
  2. L'ordinateur susmentionné ne doit pas être sous la commande ou le contrôle d'un autre système informatique. Il ne doit pas comporter d'adresse et être ainsi accessible à un autre système informatique. Un ordinateur hôte ne peut annuler l'effet de ses commandes ni le mettre en état en attente. Toutes les adresses de sortie de l'ordinateur contrôlant les fonctions liées à la salubrité doivent en tout temps être prêtes au traitement des données.
  3. Un ordinateur distinct doit être utilisé pour chaque système de pasteurisation.
  4. L'état du bus d'entrée/sortie de l'ordinateur contrôlant les fonctions liées à la salubrité peut être fourni aux autres systèmes informatiques, mais comme entrée seulement. La connexion des câblages doit être protégée à l'aide de dispositifs d'isolation, tels des relais à solénoïde, des diodes ou des optocoupleurs, de manière à empêcher que le bus d'entrée/sortie soit commandé par un autre système informatique.
  5. Lorsqu'il y a panne d'alimentation de l'ordinateur, tous les contrôles de salubrité doivent passer en mode sécurité intégrée. La plupart des ordinateurs peuvent être mis en attente, soit par une instruction de programme, soit à l'aide d'interrupteurs manuels. Lorsque l'ordinateur est mis en attente, tous les contrôles de salubrité doivent passer en mode sécurité intégrée. Certains ordinateurs comportent des tests de diagnostic internes qui sont automatiquement exécutés lors du démarrage. Pendant ces opérations, l'ordinateur place toutes les sorties en mode par défaut. Tous les contrôles de salubrité doivent alors être en mode sécurité intégrée.
  6. Certains ordinateurs ou contrôleurs programmables utilisent des bus d'entrée/sortie dotés d'« interrupteurs de dernier état » (last state) qui permettent à l'opérateur de choisir l'état que prendra le bus de sortie lors de la remise sous tension après une panne de courant ou un arrêt. Trois états sont possibles : ouvert (on), fermé (off) ou dernier état (last state). Ces « interrupteurs de dernier état » doivent être mis en mode sécurité intégrée.
  7. L'ordinateur exécute ses tâches de façon séquentielle; pour la plupart des opérations en temps réel, les sorties de l'ordinateur sont verrouillées en mode ouvert ou fermé, en attendant que l'ordinateur reprenne le cycle. En conséquence, le programme machine doit être rédigé de manière que l'ordinateur surveille toutes les entrées et mette à jour toutes les sorties selon un horaire précis - au moins à chaque seconde. La plupart des ordinateurs pourront s'acquitter de cette fonction plusieurs fois par seconde.
  8. Les programmes doivent être stockés dans une mémoire morte et être disponibles lorsque l'ordinateur est mis sous tension. L'utilisation de bandes ou de disques n'est pas acceptée.
  9. L'accès aux programmes machines doit être verrouillé. Tout accès par modem téléphonique doit également l'être. Si le bus d'entrée/sortie contient des « interrupteurs de dernier état », il doit lui aussi être verrouillé. Le fournisseur doit remettre au représentant de l'organisme de réglementation les procédures et les instructions servant à confirmer que le programme en cours d'exécution par l'ordinateur est le bon programme. Le représentant utilisera cette procédure de test pour confirmer que le bon programme est utilisé lors du démarrage et lorsque le verrouillage est brisé.
  10. Si l'ordinateur est doté des fonctions Force-On ou Force-off (forcer à ouvrir/fermer), il doit être muni de témoins indiquant l'état de la fonction Force-On, Force-Off. Les instructions du fournisseur doivent rappeler au représentant de l'organisme de réglementation que toutes les fonctions Force-On, Force-Off doivent être désactivées avant que l'ordinateur soit verrouillé.
  11. Les bus d'entrée/sortie de l'ordinateur contrôlant les fonctions liées à la salubrité ne doivent comporter aucun interrupteur prioritaire de l'opérateur.
  12. Les systèmes informatiques qui permettent l'impression du graphe par l'ordinateur doivent permettre la vérification du calibrage. Lors de l'impression du graphe, l'ordinateur ne doit pas être détourné de ses tâches liées à la salubrité pendant plus d'une seconde. Lorsqu'il revient au contrôle de la salubrité, l'ordinateur doit exécuter au moins un cycle complet de ses tâches avant de revenir à l'impression du graphe.
  13. Lors de l'impression d'un graphe, certains systèmes produisent directement sur le graphe des rapports d'état sur certaines conditions d'entrée/sortie. Pour cela, ils interrompent en général l'impression du graphe et impriment les conditions d'entrée/sortie. Ces interruptions, dans le cas de l'impression du rapport d'état, sont autorisées uniquement lorsqu'un enregistrement continu est consigné sur le graphe. Lorsqu'il y a interruption, l'heure de début de l'interruption sera imprimée sur le graphe ainsi que l'heure de fin. L'intervalle pendant lequel l'ordinateur est détourné de ses fonctions de contrôle de la salubrité pour l'impression du rapport d'état ne doit pas dépasser une seconde. Lorsqu'il revient au contrôle de la salubrité, l'ordinateur doit exécuter au moins un cycle complet de ses tâches de contrôle de la salubrité avant de retourner à l'impression du rapport d'état.
  14. Lorsque l'ordinateur imprime le suivi de la température dans le tube de retenue, à des intervalles spécifiques, les lectures de la température, au lieu d'être une ligne qui change constamment, seront imprimées au moins à toutes les cinq secondes, sauf que, pendant le test de retard thermométrique, la température doit être imprimée ou indiquée suffisamment rapidement pour que le représentant de l'organisme de réglementation puisse placer le capteur de température dans un bain à une température supérieure de 4 °C (7 °F) au réglage de déviation, déterminer de façon précise le moment auquel la température atteint une température inférieure de 7 °C (12 °F) au réglage du point de déviation et commencer le minutage du test de retard thermométrique.
  15. Lorsque l'ordinateur imprime la position de la plume de fréquence (la position du dispositif de déviation de débit (aussi appelé dispositif de déviation de l'écoulement - normal/dévié) à des intervalles spécifiques plutôt que de façon continue, tous les changements de position seront identifiés par l'ordinateur et imprimés sur le graphe. En outre, la position de la plume de fréquence et la température dans le tube de retenue devront être imprimées sur le graphe de telle sorte qu'il soit possible de déterminer la température dans le tube de retenue au moment d'un changement de position du dispositif de déviation de débit.
  16. Le fournisseur doit fournir un programme intégré pour les modalités d'essai, ou encore un protocole de manière que tous les essais appropriés, figurant dans le document de l'ACIA intitulé « Modalités d'essai du matériel et des dispositifs de régulation des procédés critiques », puissent être exécutés pour chaque instrument par un représentant officiel.
    • Thermomètres enregistreurs
      • précision de la température
      • précision du temps
      • vérification par rapport à un thermomètre indicateur
      • réponse thermométrique
    • Dispositifs de déviation de débit
      • fuite des tiges de soupape
      • fonctionnement des tiges de soupape
      • arrangement du dispositif
      • déviation manuelle
      • temps de réponse
      • temporisation le cas échéant
    • Pompes d'appoint
      • câblage adéquat
      • réglages adéquats des contrôles de pression
    • Facilitateurs d'écoulement (pompes de dosage)
      • temps de retenue dans le tube
      • interverrouillages (enclenchements) adéquats
  17. Les ordinateurs ont besoin d'une alimentation électrique de qualité supérieure, bien régularisée, pour fonctionner de façon sûre et sécuritaire. Les pointes de tension parasites peuvent donner lieu à des changements non voulus dans la RAM. Certaines composants mécaniques et électriques peuvent également se détériorer avec le temps. L'une des solutions consiste à disposer de deux programmes permanents dans l'ordinateur : un dans la RAM et un autre dans la ROM. Grâce à un test d'auto-diagnostic, ces deux programmes pourraient se comparer régulièrement. Si des différences sont décelées, l'ordinateur passera au mode par défaut. Une autre solution consisterait à télécharger le programme de la ROM vers la RAM à chaque démarrage. Une dernière solution consisterait à faire en sorte que l'ordinateur lise le programme directement de la ROM, qui ne peut être modifiée. Cependant, cette approche est réalisable uniquement dans le cas d'applications à grand volume de données, par exemple les fours à micro-ondes. Dans le cas de la plupart des applications à faible volume, la mémoire morte peut être modifiée sur place, par exemple les EPROM, les EEPROM et les EAPROM. On ne peut compter sur les EPROM, EEPROM et EAPROM pour un enregistrement permanent. Il est parfois nécessaire de s'assurer que le programme approprié se trouve dans la mémoire de l'ordinateur lorsque le représentant de l'organisme de réglementation verrouille l'appareil.
  18. Le programme machine utilisé pour les pasteurisateurs de contrôle de la salubrité doit être conforme aux schémas logiques joints en annexe. Des modifications mineures à ces schémas sont autorisées lorsqu'il faut tenir compte de certains éléments qui sont uniques ou absents d'un système de pasteurisation HTST spécifique, par exemple les débitmètres magnétiques utilisés en remplacement des pompes de dosage, le cycle de lavage à la tige de détection des soupapes du dispositif de déviation de débit et le délai de 10 minutes de la pompe d'appoint et du dispositif de déviation de débit qui permet à la pompe de dosage de fonctionner pendant les opérations de nettoyage. Le fournisseur doit prévoir, dans le guide de l'utilisateur, un protocole permettant à l'installateur, à l'utilisateur ou au représentant de l'organisme de réglementation de s'assurer que le programme s'exécute tel qu'il a été conçu dans des conditions réelles de production.
  19. Les schémas logiques du dispositif de déviation de débit et de la pompe d'appoint prévoient le fonctionnement programmé du système nettoyage en place (CIP) à l'intérieur du système informatisé. Certains exploitants peuvent vouloir utiliser un autre ordinateur pour le fonctionnement du système CIP de manière que les programmes de ce dernier puissent être modifiés au besoin par le personnel de l'installation pour assurer une bonne salubrité des installations. Dans un tel cas, les connexions entre le dispositif de déviation de débit, la pompe d'appoint et l'ordinateur doivent com porter des relais à solénoïde ou des dispositifs similaires au niveau des sorties vers le dispositif de déviation de débit et la pompe d'appoint afin d'empêcher ceux-ci d'être déclenchés par l'ordinateur de l'installation, sauf lorsque l'interrupteur de mode du dispositif de déviation de débit est en position « CIP ».

Procédure de test

Voici une méthode permettant de confirmer le fonctionnement adéquat de tous les contrôles de salubrité requis :

  1. Identifier toutes les composants du système qui sont contrôlées par microprocesseur (CIP).
  2. Repérer l'emplacement des sorties des éléments susmentionnés et les identifier.
  3. Après avoir placé le commutateur Inspection-Traitement-CIP à la position CIP et après un délai de 10 minutes, forcer manuellement (Force-On) chaque sortie et confirmer le fonctionnement du composant contrôlé.
  4. Après avoir mis le commutateur Inspection-Traitement-CIP à la position Traitement (Process), forcer encore une fois les sorties définies précédemment (Force-On). La pompe d'appoint, le Dispositif de dérivation de débit (DDD) et les dispositifs interverrouillés avec ces composants ne fonctionneront pas. Lorsque le dispositif de régulation de débit (DRD) (pompe de dosage) est fermé, les composants qui doivent être interverrouillés avec lui ne fonctionneront pas.

Cliquer sur l'image pour l'agrandir
Figure 1 - Schéma logique. Dispositif de dérivation de débit. Description ci-dessous.

Description de l'image - Schéma logique. Dispositif de dérivation de débit

Cette image montre un schéma logique d'un dispositif de dérivation (tige de vanne de dérivation) pour un ordinateur ou un contrôleur programmable.

  • De la position de démarrage, si « mis sous tension », le programme peut aller en mode inspection, en mode produit ou en mode lavage en circuit fermé (cleaning in place - CIP).
  • En mode inspection, si la durée est plus grande que la durée requise pour faire arrêter tous les facilitateurs d'écoulement, un signal est envoyé au solénoïde de la vanne de dérivation.
  • En mode produit, les conditions suivantes doivent être satisfaites pour que le système demeure en débit avant :
    • La température doit dépasser la température de pasteurisation
    • Le dispositif de dérivation manuel doit être fermé

    De plus, si le système est un système à débitmètre électromagnétique :

    • Le débit doit dépasser 5 % du maximum (ceci a trait au point de réglage de perte de signal)
    • Le débit doit être inférieur à celui de l'alarme de débit élevé
    • La durée doit dépasser le délai légal d'écoulement avant

    Si une ou plusieurs de ces conditions ne sont pas satisfaites, le solénoïde de la valve de dérivation reçoit le signal de détourner le débit.

    Une plume de fréquences à solénoïde enregistre la position de débit vers l'avant ou en dérivation du produit.

  • En mode nettoyage en place, après un délai de plus de 10 minutes, ou la durée nécessaire à l'arrêt de tous les facilitateurs d'écoulement s'ils ne peuvent fonctionner, la programmation nettoyage en place commence à nettoyer le système. Le solénoïde de la vanne de dérivation permet à la vanne de se déplacer pour le nettoyage.

Cliquer sur l'image pour l'agrandir
Figure 2 - schéma logique. Dispositifs de dérivation de débit. Description ci-dessous.

Description de l'image - Schéma logique. Dispositifs de dérivation de débit

Cette figure représente un schéma logique d'un dispositif de dérivation (tige de vanne de détection de fuites) pour un ordinateur ou un contrôleur programmable.

  • De la position de démarrage, si « mis sous tension », le programme peut aller en mode inspection, produit ou nettoyage en place.
  • En mode inspection, si la durée est plus grande que la durée requise pour faire arrêter tous les facilitateurs d'écoulement, un signal est envoyé au solénoïde de la vanne de détection de fuite.
  • En mode produit, les conditions suivantes doivent être satisfaites pour que le système demeure en débit vers l'avant :
    • La température doit dépasser la température de pasteurisation
    • Le dispositif de dérivation manuel doit être fermé

    Pour le système à débitmètre électromagnétique :

    • Le débit doit dépasser 5 % du maximum (ceci a trait au point de réglage de perte de signal)
    • Le débit doit être inférieur à celui de l'alarme de débit élevé
    • La durée doit dépasser le délai légal d'écoulement avant

    De plus :

    • Le microrupteur de dérivation doit être en position vers l'avant et;
    • La durée doit dépasser celle de purge

    Si une ou plusieurs de ces conditions n'est pas/ne sont pas satisfaite(s), le solénoïde de la vanne de détection de fuite reçoit le signal de dévier le débit.

  • En mode nettoyage en place, après un délai de plus de 10 minutes, ou la durée nécessaire à l'arrêt de tous les facilitateurs d'écoulement s'ils ne peuvent fonctionner, la programmation nettoyage en place commence à nettoyer le système. Le solénoïde de la vanne de détection de fuite permet à la vanne de se déplacer pour le nettoyage.

Cliquer sur l'image pour l'agrandir
Figure 3 - schéma logique. Enregistreur de seuil thermique de sécurité. Description ci-dessous.

Description de l'image - Schéma logique. Enregistreur de seuil thermique de sécurité

La présente image est un schéma logique d'un appareil de contrôle enregistreur de seuil thermique de sécurité (Safety Thermal Limit Recorder-Controller) pour un ordinateur ou un contrôleur programmable.

  • Lorsque le programme commence, le moteur de graphe est actionné.
  • Si le microrupteur de dérivation est ouvert et que la position de dérivation est détectée par le microrupteur de détection, un voyant rouge s'allume et la pompe de débit est mise en marche. Si la position de dérivation n'est pas détectée par le microrupteur de détection, aucun voyant ne s'allume.
  • Si la température de pasteurisation légale est atteinte, le dispositif de régulation de débit et le dispositif de dérivation de débit sont activés. Le microrupteur de diversion est en mode de débit avant, un voyant vert s'allume et la plume de fréquence à solénoïde est actionné pour enregistrer le débit vers l'avant.

Cliquer sur l'image pour l'agrandir
Figure 4 - Schéma logique. Dispositif de régulation de débit. Description ci-dessous.

Description de l'image - Schéma logique. Dispositif de régulation de débit

Cette image est un schéma logique d'un dispositif régulation de débit pour un ordinateur ou un contrôleur programmable.

  • En mode inspection, le dispositif de réglage du débit est fermé
  • En mode produit, si la température dépasse la température de pasteurisation légale, un signal est envoyé au démarreur du dispositif de réglage du débit afin d'amorcer le débit vers l'avant. Si la température n'est pas atteinte. Les microrupteurs de diversion et de détection de fuite doivent détecter la position complètement dérivé pour activer le démarreur du dispositif de régulation de débit. Lorsque la température de pasteurisation descend sous la température légale de pasteurisation, un relais de temporisation peut être installé pour permettre au régulateur de débit de continuer à fonctionner durant le temps normal requis par le dispositif de déviation pour passer d'un écoulement avant à un écoulement dévié, ce délai ne doit pas excéder une seconde.
  • En mode nettoyage sur place par circulation, un délai de 10 minutes précède le début de l'opération nettoyage sur place par circulation puis un signal est envoyé au démarreur du dispositif de réglage du débit. Si le délai de 10 minutes n'est pas utilisé lorsque le nettoyage sur place par circulation est initié, alors aucun signal ne peut être envoyé au démarreur du dispositif de réglage du débit.

Cliquer sur l'image pour l'agrandir
Figure 5 - Schéma logique. Pompe d'appoint. Description ci-dessous.

Description de l'image - Schéma logique. Pompe d'appoint

Cette image est un schéma logique d'une pompe d'appoint pour un ordinateur ou un contrôleur programmable.

  • En mode inspection, le démarreur de la pompe d'appoint est fermé.
  • En mode produit, les conditions suivantes doivent être satisfaites avant qu'un signal ne soit envoyé à la pompe d'appoint;
    • Le dispositif de régulation du débit est en marche
    • Le microrupteur de diversion est en position avant
    • Le microrupteur de détection détecte le débit avant, et;
    • Les pressions adéquates dans le régénérateur sont atteintes
  • En mode nettoyage sur place par circulation, après un délai de 10 minutes ou plus, l'opération nettoyage sur place par circulation programmée commence. Si le délai de 10 minutes n'est pas utilisé, alors le démarreur de la pompe d'appoint ne peut pas être actionnée pendant le nettoyage sur place par circulation.
Date de modification :