核心要点
- 分析证书(COA)是一份可检验的放行文件,而非营销传单。 一份合法的 COA 将具名产品和批次与数值结果、明确的方法、接受限值以及合格/不合格判定绑定在一起——达不到这个标准的,只是一份伪装成证据的数据表。
- "合格"和"符合"不是结果。 如果某个参数没有数字、没有方法、没有限值,你就无法核实它、无法追踪其趋势,也无法在争议中为其辩护。带单位的数字是 COA 的最低"通用货币"。
- 批次关联是大多数造假行为忽视的字段。 一份与你纸箱、发票和装箱单上批号不吻合的 COA,无论数据看上去多干净,都无法证明你仓库里实际存放的物料。
- 认可属于实验室,而非贸易商。 ISO/IEC 17025 是一项针对实验室能力、有明确范围的认可;持有 ISO 22000、ISO 9001 或 ISO 27001 的供应商拥有的是质量和食品安全管理体系,但这些都不是针对任何单项结果的分析认可。
- 第三方认可报告每一次都胜过自我声明。 供应商可以诚实地陈述一个数值,但一份认可实验室报告——可追溯到你能在 ILAC 网络中核对的范围——是独立的证据,而不是一个说法。
引言
分析证书是天然原料采购中被最过度信任的一份文件。干果、植物药、香草和精油的采购方把 COA 当作某一批次安全且符合规格的证明,然而随货抵达的许多文件经不起十分钟的审视。有些是诚实但不完整的;有些是描述产品类型而非某一批次的通用模板;还有少数是蓄意伪造、事后填补或从更干净批次复制而来的。对质量保证(QA)或法规审核人员而言,每种情况下的危险都一样:一份看似权威、实则无法核实的文件。
本指南面向为欧盟和乌克兰采购土耳其天然产品的采购、QA 和法规团队。它阐明一份合法 COA 必须包含的内容、能把真实认可结果与伪装成认可结果的自我声明区分开的具体危险信号,以及让你在文件成为放行证据之前对其进行验证的具体步骤。这些原则被有意地表述为原则,因为接受限值和适用方法会随基质和最终用途而变化——而要求正确字段这一纪律不会变。关于相邻的控制措施,请阅读 Arovela 的以下指南:如何解读植物药 COA、植物药和干果中的重金属、植物药和干香草的微生物限值以及解读精油的 GC-MS 报告。
一份合法的 COA 必须包含哪些内容
在你能识别危险信号之前,你需要一个基准。一份站得住脚的 COA 是一张被身份和可追溯性元数据包裹的结果表,由对你眼前这一具体批次的分析所出具或转录而来。行业和法规指南在一组一致的字段上趋于共识:身份、批次关联、每个数字背后的方法、带检测灵敏度的数字本身、判定所依据的限值,以及一份签署的放行决定。每个字段的存在都是为了回答审核人员会提出的某个具体问题。
| COA 字段 | 必须说明什么 | 为何重要 | 回答什么问题 |
|---|---|---|---|
| 产品身份 | 完整产品名称、植物部位或果实形态、等级 | 确认所检测物料就是所订购物料 | "这是正确的原料和等级吗?" |
| 批号 | 与纸箱、发票和装箱单一致的唯一编码 | 将文件与实物货物关联 | "检测的是这一批,还是另外某一批?" |
| 取样日期 | 从该批次抽取样品的日期 | 将结果锚定到生产时间线 | "这批物料实际是何时取样的?" |
| 检测方法 + 参考 | 具名方法,理想情况下为药典方法(Ph. Eur.、USP、AOAC、ISO、EPA)或经验证的内部方法 | 使结果可重现、可比较 | "这是如何测量的,能否重复?" |
| LOQ / LOD | 定量限,以及在相关时的检测限,均带单位 | 界定该方法可信赖的最小值 | "低于什么值,'未检出'就毫无意义?" |
| 数值结果 | 带单位的测量值(例如 0.18 mg/kg) | 实际的证据,而非一种解读 | "仪器读到了什么?" |
| 规格限值 | 结果所依据判定的接受限值或范围 | 把一个数字变成合格/不合格 | "结果是与什么比较的?" |
| 合格/不合格判定 | 每个参数明确的符合性决定 | 陈述放行结论,而不只是数据 | "这个参数合格了吗?" |
| 认可实验室 + 范围 | 实验室名称、地址及认可(ISO/IEC 17025)并附范围参考 | 确立技术能力和独立性 | "谁检测的,他们对此项检测是否获得认可?" |
| 签名 + 日期 | 授权的 QC 签署人及出具日期 | 为文件分配问责 | "谁为此负责,何时?" |
如果一份文件带有全部十个字段,你就能追踪其趋势、审计它并为其辩护。当某个字段缺失时,它的缺失是有原因的——有时无害,有时不然——而审核人员的工作就是查明是哪一种。
规格限值只是故事的一半
单独一个数字不构成合格。"铅 0.18 mg/kg"在你看到它所依据判定的限值以及随之而来的合格/不合格结论之前,并不能告诉你任何关于符合性的信息。一份出色的 COA 会把规格与结果并列打印,使判定不言自明;一份糟糕的 COA 只打印一个结果,指望你自己去查限值,或打印"合格",指望你相信限值确实存在。重金属指南和微生物限值指南都从另一个方向阐明了同一点:限值取决于基质和最终用途,因此它必须在文件上说明,而不能想当然。
危险信号,以及每一个背后隐藏着什么
大多数糟糕的 COA 都以可预见的方式失败。下表是一份可操作的核查清单;随后的各节解释其中的推理,因为危险信号是调查的提示,并非总是自动拒收。
| COA 上的危险信号 | 通常隐藏着什么 | 审核人员应采取的行动 |
|---|---|---|
| 只有"合格"/"符合"而无数值 | 一份数据表,而非批次结果;可能根本没做检测 | 索要数值结果及其判定所依据的限值 |
| 陈述了结果,但无规格限值 | 你无法判断符合性;这个"合格"无法证伪 | 索取接受限值及其所出自的框架 |
| 无检测方法或无 LOQ/LOD | 结果不可重现;"未检出"毫无意义 | 索取方法参考以及同一单位下的 LOQ |
| 与发票/装箱单无批次关联 | 该文件可能描述的是与所发货不同的批次 | 在 COA、纸箱、发票、装箱单之间核对批号 |
| 通用、无日期的模板 | 描述的是产品类型,而非已生产的批次 | 要求提供取样日期、批号和新近的出具日期 |
| 各批次之间复制相同的结果 | 无自然变异——对天然产品而言物理上不合理 | 比对多个批次;把零变异标记为伪造 |
| 结果被倒填日期或填未来日期 | 时间线不符合生产或取样的实际 | 将取样和出具日期与该批次历史交叉核对 |
| 结果恰好落在限值上 | 众多参数同时如此在统计上极不可能 | 索取原始报告;查找凑数字的痕迹 |
| 只有转录而无原始实验室报告 | 数字可能被重新录入、四舍五入或篡改 | 索取认可实验室的原始 PDF,而非重新键入的表格 |
| 结果优于方法的 LOQ | 报出了该方法无法提供的报告精度 | 质疑低于所述定量限的数值 |
| "独立实验室"却无名称或认可 | 无从核实其能力或范围 | 要求提供实验室名称并核查其认可范围 |
只有"合格"或"符合"而无数字
这是最常见也最能说明问题的危险信号。一个仅报告为"合格""符合""符合规定"或"典型值"的参数不是一次测量——它是一个断言。关于解读证书的指南在这一点上一致:一份列出"典型值"或"符合"却无批次专属数字的 COA,实际上是一份技术数据表,而非分析证书。数字可以在多次交货之间追踪趋势;断言不能。数字可以在索赔中辩护;断言会崩溃。对每一个可测量的参数都坚持要求其数值及单位,并把"符合"当作一个有待填充的占位符,而非一个答案。
有结果无限值,或有限值无方法
两份各占一半的 COA 造成的麻烦不亚于一份空白的。有结果无规格限值给你一个无法判断的数字。有限值无方法给你一个无法重现测量的目标。方法参考之所以重要,是因为用经验证的、带明确消解步骤的 ICP-MS 程序测得的"砷",与来自一次未说明的筛查的"砷",是不同质量的证据。当存在药典方法时——《欧洲药典》、USP、AOAC、某个 ISO 方法、某个 EPA 方法——严肃的实验室会引用它。若内部方法有具名且经验证,则可以接受,但"砷:合格"这种既无方法又无限值的写法则不可接受。
缺失 LOQ,以及结果优于 LOQ
定量限是某方法能以可接受可靠性测量的最低浓度;检测限是它能与噪声区分开的最低浓度。若无所述的 LOQ,"未检出"就无法解读——低于什么才算未检出?一个相关且更隐蔽的危险信号是报出了低于该方法自身 LOQ 的数值结果:如果 LOQ 是 0.05 mg/kg,一个自信地报出的"0.012 mg/kg"就声称了该方法无法提供的精度。要么 LOQ 是错的,要么这个数字是编造的。追问是哪一种。
批次关联断裂
一份无法与你纸箱、发票和装箱单上批号绑定的 COA,无法证明你仓库里的物料。批次关联是造假最常忽视的字段,因为复制一个干净的历史结果很容易,而对实际发出的批次重新检测则不然。这也是诚实的管理混乱与蓄意的偷梁换柱在纸面上看起来完全相同之处,所以对两者的控制是一样的:一个混合样品、一个批号、一份放行档案,在每份文件之间相互核对。欧盟批次可追溯性指南阐明了这条链条从头到尾应当如何读取。
通用模板、复制粘贴的结果和不可能的一致性
天然产品会变化。作物年份、产地、收获条件和干燥都会改变数字,因此一连串报告出逐字节相同结果的批次——相同的水分、相同的痕量金属数字、相同到个位的微生物计数——对农产品而言在物理上不合理。其他行业的审核人员标记出同样的模式:在真正不同的批次之间出现相同的色谱图或相同的纯度值,是一种已知的伪造特征。单独一份干净的 COA 可能是真的;连续五个批次零变异则不可能。正是为了让这种模式显现出来,才要求一次性提供多个近期批次。
不吻合的日期,以及吻合得太好的数字
两种时间上的危险信号反复出现。倒填或填未来日期的结果——取样日期早于该批次存在,或出具日期早于取样——表明这是一份为迎合某批货而拼凑的文件,而非对其进行了检测。而在众多参数上都恰好落在规格限值上的结果在统计上不可能:真实的测量会围绕某个值散布,它们不会全都精确落在最大值上。一个参数落在限值上是正常的;每个参数都落在限值上就是凑数字。单独任一模式都不是造假的证据,但两者都是索取原始报告的强烈提示。
转录而非原始报告
许多到达采购方手中的 COA 是供应商生成的摘要,从底层实验室报告中重新录入结果。转录本身不一定是不诚实的,但它正是四舍五入、选择性遗漏和彻底篡改发生之处,因为采购方从未见过源头。防御很简单:对任何重要的结果,索取认可实验室的原始签署报告——实验室出具的那份 PDF——而非供应商信笺上重新键入的表格。如果供应商无法或不愿提供,就把转录的数字当作未经核实的。
认可:文件上是谁的能力
认可是采购方最常误读的字段,因此它值得单独成节。相关标准是 ISO/IEC 17025:2017《检测和校准实验室能力的通用要求》——它是现行版本,取代了 2005 年版。它是实验室借以证明其技术能力、方法验证、测量溯源性和公正性的国际基准。对采购方而言有三点很重要。
第一,ISO/IEC 17025 认可的是实验室,而非贸易商或生产商。一个声称自己"拥有 ISO 17025"的供应商,几乎总是把实验室认可与管理体系认证混淆了。供应商合法地持有食品安全和质量认证——例如 Arovela 在 ISO 22000、ISO 9001 和 ISO 27001 下运营——但这些管辖的是企业如何运营,而非某项具体检测的分析有效性。17025 能力属于实际执行分析的那家认可实验室,无论那是外部合同实验室还是在其自身独立 17025 范围下运营的供应商自有实验室。
第二,认可有一个范围。一家实验室并非抽象地"获得认可";它是就特定检测、在特定基质上、以特定方法获得认可。一家持有农药残留有效 17025 证书的实验室,并不因此就在纸面上对重金属有能力,除非重金属出现在其范围内。当一份 COA 引用认可时,审核人员应确认相关检测落在该范围之内,而不仅仅是该实验室持有针对某项事物的证书。
第三,认可是可核查的。在 ILAC 相互承认协议下,各国认可机构按 ISO/IEC 17011 接受同行评审,且每一家都会公布或应要求确认其所认可实验室的范围。如果一份 COA 只提到"一家独立实验室"却不指名,就没有任何可核查的东西。一份可核实的 COA 会指名实验室、说明其认可机构和证书编号,并让你直接确认范围。
自我声明与第三方认可结果的对比
COA 上最深层的区别不是表面上的——而是这份文件代表谁的话。供应商自我声明是供应商陈述一个它认为为真的数值。它可能完全诚实,对于稳定、低风险的参数,在商业上也可能足够。但它是一个说法:在该批次合格中拥有商业利益的一方,同时也是证明它合格的一方。第三方认可结果在性质上不同。它是一家独立实验室,在你可以核实的范围下获得认可,报出一个它在职业上和合同上都要负责的数字。独立性正是其价值所在。
实践规则是相称的。对于首单、新产地、新作物年份、浓缩提取物或任何受法律约束的污染物——重金属、真菌毒素、农药残留、微生物病原体——要求提供第三方认可报告,理想情况下是实验室的原始文件。对于稳定、特性明确的供货历史上的常规参数,一份由可审计流程和留样支撑的供应商自我声明可能是可接受的,并辅以定期的独立验证以保持其诚信。采购方绝不应做的,是把自我声明当作认可结果,或接受"由认可实验室检测"作为指名实验室及其范围的替代。
如何在依赖一份 COA 之前对其进行验证
验证是一套简短、可重复的例行程序,而非一个研究项目。五个步骤就能抓住绝大多数糟糕和伪造的文件。
- 索取原始的认可实验室报告。 对任何具有法规或安全分量的结果,索取认可实验室的原始签署报告,而非供应商的转录。比对数字;不一致就是决定性的。
- 核实认可及其范围。 确认该实验室持有现行的 ISO/IEC 17025 认可,且具体的检测和基质落在其范围之内——通过认可机构或 ILAC 网络,而非供应商的一面之词。
- 在每份文件之间核对批次。 将 COA 上的批号与纸箱标签、发票和装箱单进行核对。如果它们不一致,这份 COA 就不是本批货的证据。
- 要求逐批检测,并比对各批次。 要求对所发批次本身进行检测,而非"典型"或历史结果,并要求一次性提供多个近期批次,以便复制粘贴的一致性和凑数字得以显现。
- 用留样作为决胜手段。 对已批准的参照物以及所收批次保留密封留样,以便独立复检能以证据而非观点来了结争议。
把这一点写进询价单(RFQ)能消除日后的争论。诸如*"供应商应按所发批次逐批提供每个指定参数的数值结果,含方法、LOQ、规格限值和合格/不合格,由范围涵盖该检测的 ISO/IEC 17025 认可实验室出具或支持;认可实验室的原始报告应在索取时提供;结果应可追溯到发票和装箱单上的批号"*之类的措辞,能把上述每一个危险信号变成一道合同关卡。关于这套控制所处的更广泛采购环境,请参阅 Arovela COA 解读指南和植物原料的质量检测。
常见问题
只写"合格"的 COA 有可以接受的时候吗?
极少,且对于任何具有安全或法律分量的参数永远不可以。一个光秃秃的"合格"是一个断言,而非一次测量:它无法在多次交货之间追踪趋势,也无法在争议中辩护,并且它可能掩盖了根本没有对该批次进行任何检测这一事实。对于稳定供货历史上低风险、特性明确的参数,它在商业上或许可以容忍,但审核人员仍应能在索取时获得底层的数值结果和限值。把"合格""符合"和"典型值"当作有待用数字和限值填充的占位符,而非答案。
我如何核查一家实验室是否真正获得认可?
不要依赖 COA 上打印的标识或证书编号。ISO/IEC 17025 认可由一家本身在 ILAC 相互承认协议下接受同行评审的国家认可机构颁发,而该机构能确认证书的有效性和实验室的范围。确认三件事:认可是现行的,具体的检测和基质出现在范围之内,以及 COA 上具名的实验室就是实际做这项工作的实验室。一个不具名的"独立实验室"无从核查,应被当作未经核实。
供应商自我声明与第三方结果有什么区别?
自我声明是供应商报告一个它认为正确的数值;从该批次合格中获益的一方,同时也是证明它合格的一方。第三方认可结果是一家独立实验室,在可核实的范围下获得认可,报出一个它要负责的数值。两者都可能诚实,但只有第二种是独立证据。对于首单、新产地、浓缩提取物和受法律约束的污染物,要求提供第三方认可报告;对于经过验证的供货上的常规参数,一份带留样和定期验证的自我声明或许就足够。
为什么多个批次结果相同会是个问题?
因为天然产品会变化。作物年份、产地、收获和干燥都会改变水分、痕量金属和微生物计数,所以真正不同的批次至少应显示出微小的差异。一连串报告出逐字节相同数字的批次在物理上不合理,且是一种公认的伪造特征——有人把一个干净的结果复制到了多个批次上。一次性索取多个近期批次是揭露这一点最简单的办法:单独一份干净的 COA 可能是真的,但众多批次之间零变异则不可能。
把你的 COA 审核变成一道站得住脚的控制
如果你的团队正从土耳其为欧盟或乌克兰采购干果、植物药、香草或精油,提升文件质量最快的办法是在询价单中规定 COA 字段,并在放行前对其进行验证——数值结果、方法、LOQ、限值、批次关联,以及一家你能核查其范围的 ISO/IEC 17025 认可实验室。Arovela 在其 ISO 22000、ISO 9001 和 ISO 27001 体系内支持批次专属的文档、COA 审核和出口规划,而不宣称其并不持有的实验室认可或认证。在敲定你的 COA 要求之前,先从一份技术询价开始,比较批发供应方案,或查看 Arovela 认证。

