วันศุกร์ที่ 11 ธันวาคม พ.ศ. 2563

เพลิงไหม้และการระเบิดที่ Texaco Refinery U.K. 2537 (1994) ตอนที่ ๓ MO Memoir : Friday 11 December 2563

ต่อไปเป็นเหตุการณ์ในช่วงเวลาสุดท้ายก่อนเกิดการระเบิดคือ ๑๒.๕๖ - ๑๓.๒๙ น (ดูรูปที่ ๗ ประกอบ) โดยในช่วงเวลาก่อนหน้านี้ได้มีความพยายามที่จะเริ่มเดินเครื่อง wet gas compressor ขึ้นมาใหม่ด้วยการระบายของเหลวที่สะสมใน Wet gas compressor interstage drum F-309 เข้าสู่ Flare knock-out drum F-319 ทำให้สามารถเริ่มเดินเครื่อง wet gas compressor ได้ใหม่ แต่ไม่นานหลังจากนั้นวาล์วระบายความดันที่ยอดหอกลั่นแยก C4 F-304 ก็เปิดอีกครั้งและไม่มีท่าทีว่าจะปิด ทำให้มีทั้งแก๊สและของเหลวจำนวนมากไหลเข้าสู่ Flare knock-out drum F-319

ที่เวลา ๑๒.๕๖ น high-high level alarm LAH-470 ที่ติดตั้งอยู่ที่ Flare knock-out drum F-319 ส่งสัญญาณเตือน และสัญญาณนี้ไม่หายไปจนก่อนการระเบิด สัญญาณนี้จะทำงานเมื่อมีของเหลวประมาณ 92 - 130 m3 อยู่ใน Flare knock-out drum F-319 (หรือประมาณ 42 - 58% ของปริมาตร vessel)

สัญญาณเตือนสำคัญจะมีการตั้งค่าการเตือนครั้งแรกและค่าการเตือนครั้งที่สอง เช่นสัญญาณเตือนระดับของเหลวที่สูงเกินไป ค่าการเตือนครั้งแรกก็จะเรียกว่า "high level alarm" ณ จุดนี้อุปกรณ์ป้องกันจะยังไม่ทำงาน แต่ถ้าระดับยังเพิ่มต่อขึ้นไปอีกจนอาจก่อให้เกิดอันตรายหรือจะทำให้ระบบป้องกันทำงาน (เช่นด้วยการปิดท่อป้อนสารเข้ามา หรือเปิดท่อระบายทิ้ง) ก็จะมีสัญญาณเตือนครั้งที่สองที่เรียกว่า "high-high level alarm"

สัญญาณเตือนมักจะในรูปของสัญญาณเสียงพร้อมสัญญาณแสง (เช่นไฟแดง) พร้อมกัน พอสัญญาณเสียงดัง โอเปอร์เรเตอร์ก็จะทำการ acknowledge หรือ recongnise (จะเรียกว่า "รับทราบ" ก็ได้) เช่นด้วยการกดปุ่ม สัญญาณเสียงก็จะเงียบลง แต่สัญญาณไฟจะยังคงอยู่ และถ้าแก้ปัญหาได้ สัญญาณไฟก็จะดับไป แต่ถ้าปัญหายังคงมีอยู่ สัญญาณไฟก็จะติดอยู่

เวลา ๑๓.๐๓ น การไหลของแก๊สจาก Wet gas compressor interstage drum F-309 อยู่ในระดับที่น่าพึงพอใจ ทางโอเปอร์เรเตอร์จึงได้ทำการหยุดการทำงานของปั๊มสำรอง (น่าจะเป็นปั๊มที่ใช้ในการถ่ายของเหลวเข้าสู่ท่อระบบ flare) ณ เวลานี้ระดับของเหลวทางด้าน wet end ของ F-309 อยู่ที่ 8%

แต่เนื่องจากปัญหาเรื่องความดันที่สูงเกินในหอกลั่นแยก C4 F-304 และอุณหภูมิที่ยังคงเพิ่มขึ้นยังคงมีอยู่ (แม้ว่าในขณะนี้วาล์วระบายความดันที่ยอดหอ F-304) ยังคงเปิดอยู่ โอเปอร์เรเตอร์จึงได้ทำการเปิดวาล์ว HCV-439 (ที่ปรกติมีไว้สำหรับระบายแก๊สจาก Debutanizer overhead accumulator F-314 ไปยัง Wet gas compressor interstage drum F-309) โดยตั้งระดับการเปิดไว้ที่ 55% แต่สิ่งที่เกิดขึ้นตามมาก็คือระดับของเหลวทางด้าน wet end ของ F-309 เพิ่มจาก 7% ไปเป็น 60% อย่างรวดเร็ว

เวลา ๑๓.๑๕ น โอเปอร์เรเตอร์ถูกส่งไปตรวจสอบว่าปั๊มของ Flare drum ยังทำงานอยู่หรือไม่ และให้ปิดการทำงานของ interstage fan (รายงานไม่ระบุชัดเจนว่าปั๊มนั้นเป็นของตัวไหน แต่เข้าใจว่าน่าจะเป็นปั๊มของ Flare knock-out drum F-319 ซึ่งเป็นตัวส่งของเหลวที่จะสมใน F-319 ไปยัง slop tank (slop ก็คือของไฮโดรคาร์บอนเหลวต่าง ๆ ที่รวบรวมได้จากแหล่งต่าง ๆ) ส่วน interstage fan ตัวนี้เข้าใจว่าเป็นเครื่องระบายความร้อนด้วยอากาศ ที่ใช้ลดอุณหภูมิแก๊สที่ผ่านการอัดจาก stage แรกของ wet gas compressor ก่อนที่จะไหลเข้า Wet gas compressor interstage drum F-309 การปิดพัดลมนี้จะลดการควบแน่นของแก๊สร้อนที่ถูกอัด ทำให้ลดปริมาณของเหลวที่จะไหลเข้าไปสะสมใน Wet gas compressor interstage drum F-309

รูปที่ ๗ ภาพบรรยายเหตุการณ์ในช่วงเวลา ๑๒.๕๖ - ๑๓.๒๙ น

เนื่องจากระดับของเหลวใน Wet gas compressor interstage drum F-309 กำลังเพิ่มขึ้นอย่างรวดเร็วจนอาจทำให้ wet gas compressor หยุดทำงานอีกครั้ง แต่ในขณะเดียวกันความดันในหอกลั่นแยก C4 F-304 ก็ยังคงเพิ่มขึ้นเรื่อย ๆ แม้ว่าวาล์วระบายความดันยังคงเปิดอยู่ก็ตาม วิธีการที่จะลดความดันในหอกลั่นแยก C4 F-304 ที่ทำได้ก็คือการเปิดวาล์ว HCV-439 ให้มากขึ้นไปอีก แต่นั่นก็จะทำให้ของเหลวเข้าไปเติมเต็ม Wet gas compressor interstage drum F-309 เร็วขึ้นอีก ในที่สุดโอเปอร์เรเตอร์ก็ตัดสินใจเปิดวาล์ว HCV-439 เพิ่มเป็น 80% และเป็น 100%

ถ้าจะลองคาดเดาการตัดสินใจของโอเปอร์เรเตอร์ว่าทำไมจึงเลือกเปิดวาล์ว HCV-439 เพิ่มขึ้นน่าจะเป็นเพราะแม้ว่าจะมีของเหลวเข้าไปใน Wet gas compressor interstage drum F-309 มากขึ้น แต่ก็สามารถระบายของเหลวดังกล่าวลงสู่ท่อระบบ flare ได้ดังที่ได้ทำมาก่อนหน้านี้

และในขณะนี้ต้องไม่ลืมว่าในความเป็นจริงนั้นวาล์ว FV-436 ที่ระบายของเหลวออกจากก้นหอกลั่นแยก C4 F-304 ไปยังหน่วยกลั่นแยกแนฟทา F-305 นั้นปิดอยู่ แต่ข้อมูลบนจอคอมพิวเตอร์นั้นบอกว่าวาล์วตัวดังกล่าวเปิดอยู่ และจากหน้าจอคอมพิวเตอร์นั้นโอเปอร์เรเตอร์ก็ไม่เห็นว่าระดับของเหลวที่ก้นหอหน่วยกลั่นแยกแนฟทา F-305 นั้นเป็นศูนย์ ซึ่งแสดงว่าไม่มีของเหลวไหลไปยังหน่วยนั้น

ประเด็นหนึ่งที่น่าสนใจก็คือเมื่อระดับของเหลวที่ก้นหอหน่วยกลั่นแยกแนฟทา F-305 ลดลงเป็นศูนย์นั้น มีสัญญาณเตือนเกิดขึ้นหรือไม่ ถ้าจะให้เดาก็ต้องขอเดาว่าน่าจะมี แต่สภาพการณ์ในขณะนั้นมันมีสัญญาณเตือนจากหลายแหล่งในหน่วยกลั่นแยกไฮโดรคาร์บอนเบาต่อเนื่องกัน (ในย่อหน้าที่ 101 หน้า 27 ของรายงานการสอบสวนกล่าวไว้ว่ามีสัญญาณเตือนดังทุก ๆ 2 หรือ 3 วินาที) และถ้าหน่วยกลั่นแยกไฮโดรคาร์บอนเบาต้องหยุดการทำงาน ก็จะส่งผลทำให้หน่วยกลั่นแยกแนฟทาต้องหยุดการทำงานไปด้วย ดังนั้นจึงอาจเป็นไปได้ว่าด้วยเหตุนี้จึงทำให้โอเปอร์เรเตอร์มุ่งเน้นไปที่การแก้ปัญหาของหน่วยกลั่นแยกไฮโดรคาร์บอนเบาก่อน เพราะถ้าปัญหาของหน่วยนี้หายไป ปัญหาของหน่วยถัดไปก็อาจจะหายตามไปด้วย

ณ เวลา ๑๓.๑๘ น ระดับของเหลวใน Wet gas compressor interstage drum F-309 เพิ่มขึ้นเป็น 67% จึงได้มีการร้องขอให้เดินเครื่องปั๊มสำรองเพื่อระบายของเหลวออกจาก F-309 อีกครั้ง แต่เมื่อถึงเวลา ๑๓.๒๑ น โอเปอร์เรเตอร์ ที่อยู่หน้างานก็รายงานว่า wet gas compressor หยุดการทำงานอีกครั้ง และเวลา ๑๓.๒๒ น ก็ทำการเปิดวาล์ว PV-077 (ที่ระบายแก๊สออกจาก Secondary overhead accumulator F-203 ที่อยู่ที่ต้นทางเข้าหน่วยกลั่นแยกไฮโดรคาร์บอนเบา) เพิ่มเป็น 77% เพื่อพยายามลดปริมาณแก๊สที่ไหลเข้าระบบเพื่อลดความดันด้าน downstream

ในขณะนี้ระดับของเหลวใน Flare knock-out drum F-319 สูงเกินกว่าที่ออกแบบไว้ จึงทำให้มีของเหลวไหลปนไปกับแก๊สที่ไหลไปยัง flare stack ลำของเหลวที่วิ่งไปตามท่อด้วยความเร็วสูงเมื่อไปกระแทกกับข้องอข้อที่สองของท่อทางออก ทำให้ท่อ flare ขนาด 30 นิ้วฉีดขาดออกที่เวลา ๑๓.๒๓ น ประมาณว่ามีไฮโดรคาร์บอนรั่วออกมา 10-20 ตันก่อนที่จะเกิดการระเบิดในอีก ๒๐ วินาทีถัดมา อันที่จริงสัญญาณเตือนว่าระดับของเหลวใน Flare knock-out drum F-319 เกิดขึ้นตั้งแต่เวลา ๑๒.๕๖ น แต่ช่วงเวลานั้นมีสัญญาณเตือนอื่น ๆ เต็มไปหมด จึงทำให้โอเปอร์เรเตอร์ไม่สังเกตเห็นสัญญาณนี้ แล้วทางทีมสืบสวนรู้ได้อย่างไรว่าท่อ flare นั้นขาดเมื่อใด ก็ดูจากเวลาที่สัญญาณเตือนระดับของเหลวสูงเกินใน Flare knock-out drum F-319 หายไป ซึ่งเกิดจากการที่ระดับของเหลวนั้นลดต่ำลงอย่างรวดเร็ว

แก๊สที่ไหลในท่อนั้นจะวิ่งด้วยความเร็วสูง ถ้ามีของเหลวสะสมในท่อมากพอ แก๊สนั้นก็จะดันของเหลวเป็นลำ (คือเต็มพื้นที่หน้าตัดท่อ) ที่วิ่งไปด้วยความเร็วสูง เมื่อปะทะเข้ากับข้องอก็จะเกิดการกระแทกอย่างรุนแรง แบบเดียวกับ water hammer ที่เกิดในระบบท่อไอน้ำ และเนื่องจากท่อระบบ flare นั้นเป็นท่อที่ไม่ได้ออกแบบมาให้รับความดันสูง (มันก็เลยเป็นท่อผนังบาง แถมในกรณีนี้ยังมีการผุกร่อนอีก) จึงทำให้ฉีกขาดได้ง่าย 

รูปที่ ๘ ภาพเหตุการณ์ขณะเพลิงกำลังลุกไหม้ (นำมาจากรายงานการสอบสวน)

ความหมายของ Slop ในที่นี้หมายถึงของเสียจากหน่วยผลิตใดผลิตหนึ่ง เช่นผลิตภัณฑ์ไม่ได้มาตรฐาน ของเหลวที่ควบแน่นออกจากแก๊ส ฯลฯ ไม่ได้หมายถึงของเสียที่ใช้ประโยชน์ใด ๆ ไม่ได้ ดังนั้นถ้ามีมากพอก็อาจนำเอา slop ที่ได้นั้นกลับเข้ากระบวนการผลิตใหม่เพื่อลดการสูญเสียวัตถุดิบและผลิตภัณฑ์ ส่วนจะนำกลับไปที่ไหนก็ขึ้นอยู่กับว่าองค์ประกอบของ slop นั้นเข้าได้กับวัตถุดิบของหน่วยใด

ในโรงงานนี้เดิมนั้น จะมีการควบคุมระดับของเหลวที่ควบแน่นใน Flare knock-out drum F-319 โดยให้ไหลผ่านวาล์วควบคุมไปยัง slop tank (รูปที่ ๙) โดยด้านขาออกของวาล์วควบคุมนั้นจะมี manual block valve (ที่จะเปิดทิ้งเอาไว้) อยู่ตัวหนึ่ง ต่อมามีความพยายามนำเอาของเหลวเหล่านี้กลับมาเข้ากระบวนการใหม่เพื่อลดการสูญเสีย จึงได้มีการออกแบบท่อโดยให้ปั๊มส่งของเหลวบางส่วนกลับยัง Recovery section ของหน่วย FCCU โดยมีของเหลวส่วนใหญ่ไหลเวียนกลับเข้า Flare knock-out drum F-319 ตามเดิม ส่วนท่อที่ส่งของเหลวไปยัง slop tank นั้นก็ทำการปิด manual block valve ด้านขาออกของวาล์วควบคุมระดับเอาไว้ (แต่โอเปอร์เรเตอร์สามารถเดินไปเปิดได้ด้วยมือ) และวาล์วดังกล่าวก็ปิดอยู่ตลอดเวลาที่เกิดเหตุ ด้วยเหตุนี้จึงทำให้ของเหลวที่มีการระบายออกสู่ระบบ flare นั้น ไม่สามารถระบายออกไปนอกระบบได้ แต่กลับถึงหมุนเวียนนำกลับเข้าระบบทางด้าน upstream ใหม่

รูปที่ ๙ การดัดแปลงเส้นทางการระบาย slop ออกจาก Flare knock-out drum F-319 

นอกเหนือไปจากการดัดแปลงระบบระบาย slop ออกจาก Flare knock-out drum F-319 ที่กล่าวมาข้างต้นแล้ว รายงานการสอบสวนได้สรุปสาระสำคัญที่นำไปสู่การเกิดอุบัติเหตุครั้งนี้ไว้หลายอย่าง เช่นระบบควบคุมที่ไม่ได้วัดระดับการปิด-เปิดวาล์วโดยตรง แต่ใช้การแสดงขนาดสัญญาณที่ส่งไปควบคุมวาล์วเป็นตัวแทนระดับการปิด-เปิดของวาล์ว ทำให้เกิดปัญหาว่ามีการส่งสัญญาณเพื่อไปเปิดวาล์ว และนำขนาดสัญญาณนี้มาทำให้โอเปอร์เรเตอร์เข้าใจว่าวาล์วจะเปิดตามระดับสัญญาณนี้ ทั้ง ๆ ที่ในความเป็นจริงนั้นวาล์วค้างอยู่ที่ตำแหน่งปิด นอกจากนี้ยังมีเรื่องของการออกแบบภาพปรากฏบนจอคอมพิวเตอร์แต่ละภาพ ที่ไม่มีภาพที่ทำให้โอเปอร์เรเตอร์เห็นภาพดุลมวลสารที่กำลังไหลเข้า-ออกจากระบบที่กำลังดูอยู่

และเมื่อคนออกแบบระบบควบคุมไม่ได้เป็นคนอยู่หน้างานจริง ความกลัวที่ว่าจะให้ข้อมูลไม่ครบ ความกลัวที่ว่าให้ความสำคัญกับข้อมูลไม่มากพอ ความกลัวที่ว่าจะโดนกล่าวหาว่าทำงานบกพร่องภายหลัง ฯลฯ มันก็คงมีอยู่ในใจผู้ออกแบบระบบควบคุม สุดท้ายก็เลยกลายเป็นว่าจัดให้เต็มทุกอย่าง มีอะไรก็ใส่ให้หมด แถมจัด priority ให้สูง ๆ เอาไว้ก่อนด้วย อย่างเช่นในกรณีนี้ผู้สอบสวนพบว่า 87% ของสัญญาณนั้นถูกจัดให้เป็น high priority มีเพียง 13% เท่านั้นที่ถูกจัดให้เป็น low priority และเมื่อสัญญาณเหล่านี้เกิดขึ้นอย่างต่อเนื่อง จึงทำให้โอเปอร์เรเตอร์ไม่สามารถแยกแยะได้ว่าควรแก้ปัญหาสัญญาณเตือนตัวไหนก่อน

ลองดูว่าในเวลานั้นโอเปอร์เรเตอร์ที่อยู่ในห้องควบคุมนั้นต้องพบกับอะไรบ้าง สิ่งหนึ่งที่รายงานการสอบสวนกล่าวไว้ก็คือการที่มีสัญญาณเตือนดังต่อเนื่องจนโอเปอร์เรเตอร์ไม่สามารถทำอะไรได้นอกจากต้องคอยกด recognise เพื่อให้สัญญาณเสียงเงียบไปก่อน (มันจะได้ไม่หนวกหู) โดยในบางช่วงนั้นสัญญาณดังทุก ๆ 2 หรือ 3 วินาที และในช่วงเวลา 10.7 นาทีสุดท้ายก่อนการระเบิด (ย่อหน้าที่ 102 ในหน้าที่ 27 ของรายงานการสอบสวน) โอเปอร์เรเตอร์ 2 คนต้อง recognise สัญญาณเตือนถึง 275 ครั้ง (หรือ 1 ครั้งทุก 2-3 วินาที) เรียกว่าในช่วงเวลานี้โอเปอร์เรเตอร์สองคนนี้ไม่ต้องทำอะไรนอกจากคอย recognise สัญญาณเท่านั้นเอง

เรื่องปัญหาผู้ออกแบบระบบควบคุม "จัดเต็ม" สัญญาณเตือนในปัจจุบันก็ยังคงมีอยู่ เพราะเมื่อไม่นานนี้ก็เคยได้คุยกับศิษย์เก่าผู้หนึ่งที่ทำงานด้านนี้ (การกำหนดความสำคัญของสัญญาณเตือน) เขาก็บ่นอยู่เหมือนกันว่า คนไม่ได้อยู่หน้างาน (ตัวแทนผู้ว่าจ้าง) มักขอให้ "จัดเต็ม" สัญญาณเตือนต่าง ๆ ในขณะที่คนทำงานด้านนี้เห็นว่ามันมากเกินไป แม้ว่าเขาจะได้ให้ความเห็นแย้งไปแล้วก็ตาม และจะว่าไปมันก็มีกรณีแบบนี้เกิดขึ้นหลายกรณีที่สัญญาณเตือนมีมากเกินไปจนโอเปอร์เรเตอร์ไม่รู้ว่าควรจะทำอะไรก่อนหลัง ก็เลยไม่ทำอะไร สุดท้ายโรงงานก็ระเบิด

รูปที่ ๑๐ หน้าปกรายงานการสอบสวนที่นำมาเขียนเรื่องนี้

ไม่มีความคิดเห็น: