วันอาทิตย์ที่ 11 พฤศจิกายน พ.ศ. 2561

เพลิงไหม้และการระเบิดที่ BP Oil (Grangemouth) Refinery 2530(1987) Case 2 การระเบิดที่หน่วย Hydrocraker ตอนที่ ๓ MO Memoir : Sunday 11 November 2561

ในตอนที่แล้วได้เล่าเหตุการณ์ก่อนที่จะเกิดการระเบิด และการระงับเหตุ มาตอนนี้จะมาดูกันว่าทีมสอบสวนนั้นเขารวบรวมหลักฐานอะไรจากที่เกิดเหตุมาได้บ้าง

๙. สภาพที่เกิดเหตุบ่งบอกว่าการระเบิดและเพลิงไหม้เป็นผลที่เกิดจากการการระเบิดที่ V306 Low pressure separator โดยทีมสอบสวนได้ตั้งสมมุติฐานที่อาจทำให้ V306 เกิดระเบิดได้ดังนี้
 
(ก) ปัจจัยจากภายนอก เช่นการก่อการร้าย หรืออุบัติเหตุจากโรงงานข้างเคียง (คือคงหมายความว่าโรงงานข้างเคียงคงมีการระเบิดและมีชิ้นส่วนปลิวมาตกใส่)
(ข) มีการระเบิดเกิดขึ้นภายใน V306
(ค) ตัว vessel มีความเสียหายอยู่ในตัวก่อนแล้ว ซึ่งความเสียหายนี้ขยายตัวขึ้นจนเกิดขีดวิกฤตอันเป็นผลจากปัจจัยอื่น (เช่นการสั่น)
(ง) ความดันในตัว vessel เพิ่มขึ้นสูงเกินกว่าที่ตัว vessel จะทนได้ (ความดันที่เพิ่มขึ้นนี้เป็นความดันที่เกิดจากความผิดพลาดในการทำงาน เป็นคนละอย่างกับความดันที่เกิดขึ้นจากการระเบิด)

๑๐. การเก็บรวบรวมข้อมูลกระทำโดย
(ก) การเก็บเศษชิ้นส่วน vessel ที่กระจัดกระจายออกไปมาตรวจสอบความเสียหายและสภาพเนื้อโลหะ
(ข) การเก็บรวบรวมและตรวจสอบชิ้นส่วนต่าง ๆ ที่เสียหายจากไฟไหม้
(ค) การตรวจสอบห้องควบคุม อุปกรณ์วัดคุม และข้อมูลที่บันทึกเอาไว้
(ง) การสัมภาษณ์ผู้ที่เกี่ยวข้อง ทั้งระดับผู้ปฏิบัติงานและผู้บริหาร

๑๑. ในส่วนของข้อ ๑๐(ค) และ ๑๐(ง) นั้น ทางทีมสอบสวนพบว่ามีการปรับเปลี่ยนพารามิเตอร์ของอุปกรณ์วัดคุมบางตัวที่เกี่ยวข้องกับหน่วยที่เกิดการระเบิด โดยที่ยังไม่ได้มีการประเมินเรื่องความปลอดภัย (ซึ่งประเด็นนี้ต่อมาพบว่าเป็นตัวหลักตัวหนึ่งที่ก่อให้เกิดความผิดพลาดในการทำงานของโอเปอร์เรเตอร์ เพราะโอเปอร์เรเตอร์ไม่รู้ว่ามีการเปลี่ยนพารามิเตอร์) และข้อมูลที่ได้จากการสัมภาษณ์โอเปอร์เรเตอร์นั้นไม่สอดรับกับเหตุการณ์ที่นำไปสู่การระเบิด ทำให้ทางทีมสอบสวนนั้นต้องสร้างภาพเหตุการณ์ขึ้นมาใหม่
 
เรื่องสภาพที่เกิดเหตุที่ไม่สอดคล้องกับเหตุการณ์ที่เกิด และบอกไม่ได้ว่าใครเป็นคนทำนั้น เคยเล่าไว้แล้วครั้งหนึ่งเมื่อเดือนที่แล้วใน Memoir ปีที่ ๑๑ ฉบับที่ ๑๖๑๗ วันอาทิตย์ที่ ๑๔ ตุลาคม ๒๕๖๑ เรื่อง "VCE case 1 อะเซทิลีนไหลย้อนผ่านวาล์วกันการไหลย้อนกลับ 2458(2005)" ที่การตรวจสอบที่เกิดเหตุหลังการระเบิดนั้นพบว่าวาล์วตัวหนึ่งในเส้นทางที่แก๊สไหลย้อนกลับไปนั้นอยู่ในตำแหน่ง "ปิด" แต่การที่แก๊สจะไหลไปยังอาคารที่เกิดการระเบิดได้นั้นจำเป็นที่ต้องไหลผ่านวาล์วตัวนี้ นั่นแสดงว่าก่อนเกิดการระเบิดนั้นวาล์วตัวนี้อยู่ในตำแหน่ง "เปิด" นั่นแสดงว่าก่อนเกิดการระเบิดไม่นาน หรือในระหว่างที่ทำการระงับเหตุนั้น ต้องมีใครสักคนเข้าไปปิดวาล์วตัวดังกล่าว แต่การสอบสวนไม่สามารถหาได้ว่าใครเป็นคนทำ (ซึ่งอาจเป็นหนึ่งในผู้เสียชีวิต พนักงานดับเพลิง หรือพนักงานบริษัทที่เข้าไประงับเหตุก็ได้)


รูปที่ ๑๒ แผนผังระบบรักษาระดับและควบคุมการไหลของน้ำมันจาก V305 High pressure separator ไปยัง V306 Low pressure separator โดยเริ่มแรกของการออกแบบนั้นแม้ว่าจะได้มีการคำนึงถึงการป้องกันไม่ให้แก๊สความดันสูงจาก V305 รั่วไหลไปยัง V306 ได้ แต่สุดท้ายเหตุการณ์ดังกล่าวก็เกิดขึ้น ในรูปนี้ผมเองมีข้อสงสัยข้อหนึ่งคือเส้นทางการชี้ของลูกศรที่วงกลมสีแดงเอาไว้สงสัยว่าในรูปจะกลับทิศ เมื่อเทียบกับทิศทางการไหลบที่กล่าวเอาไว้ในรายงาน
 
๑๒. ความดันปรกติในขณะทำงาน (operating pressure) ของ V306 นั้นคือ 9 bar (ความดันเกจ) โดยค่าความดันที่ใฃ้ในการออกแบบ (design pressure) คือ 10.7 bar และความดันที่ทำการทดสอบความแข็งแรง (test pressure) คือ 21.6 bar V306 นี้ได้รับการติดตั้ง relief valve (วาล์วระบายความดัน) ที่มีขนาด orifice 18 cm2 ซึ่งสามารถระบายแก๊สออกสู่ระบบ flare ด้วยอัตรา 12.25 tonne/hr ซึ่งเพียงพอสำหรับกรณีที่ V306 ถูกไฟคลอก และไม่มีหลักฐานใดที่แสดงว่าวาล์วระบายความดันตัวนี้มีปัญหาในการทำงานที่ความดันที่ตั้งให้มันเปิดคือ 10.7 bar
 
ในภาษาอังกฤษแบบ UK นั้น ไม่ได้แยกว่า safety valve ใช้กับแก๊ส และ relief valve ใช้กับของเหลวเหมือนในกรณีของภาษาอังกฤษแบบ US แต่ถือว่าสองคำนี้เป็นคำที่เทียบเท่ากันและใช้แทนกันได้และใช้ได้กังทั้งของเหลวและแก๊ส ดังนั้นในร่ายงานนี้ที่ใช้ภาษาอังกฤษแบบ UK เวลาเจอกับคำว่า relief valve ก็ต้องไปพิจารณาที่ตัวระบบว่ามันใช้สำหรับระบายแก๊สหรือของเหลว

๑๓. มีการระบุตำแหน่งที่พบชิ้นส่วนต่าง ๆ ของ V306 และน้ำหนักของแต่ละชิ้น จากนั้นจึงคำนวณแรงระเบิดด้วยการใช้ "ballistic technique" โดยอิงจากข้อมูลเส้นทางการเคลื่อนที่ของชิ้นส่วนแต่ละชิ้น ซึ่งเป็นการยืนยันว่าการพังของ V306 นั้นเกิดจากความดันที่สูงเกินกว่าที่จะรับได้ โดยความดันที่คำนวณได้ในทางทฤษฎีอยู่ที่ 50 bar (แรงระเบิดเทียบเท่าน้ำหนักระเบิด TNT ประมาณ 90 kg) ส่วนสมมุติฐานข้อ (ก) - (ค) ที่กล่าวไว้ในข้อ ๙. นั้นถูกตัดออกไปโดยอาศัยข้อมูลต่าง ๆ ที่รวบรวมมาได้
 
การที่ V306 จะเกิดปัญหา overpressure หรือมีความดันสูงเกินได้นั้น จำเป็นที่ของเหลวที่อยู่ทางด้านล่างของ V305 High pressure separator ไหลลงสู่ V306 จนหมด ซึ่งจะทำให้แก๊สความดันสูงใน V305 รั่วไหลเข้า V306 ได้ ดังนั้นคำถามจึงมุ่งเน้นไปที่ทำไมจึงเกิดเหตุการณ์นี้ได้

๑๔. รูปที่ ๑๒ เป็นแผนผังระบบท่อระหว่าง V305 และ V306 ท่อทางออกของไฮโดรคาร์บอนเหลวที่ก้นถัง V305 มีเพียงท่อขนาด 300 mm เพียงเส้นเดียวก่อนที่จะมีการแยกเส้นทางการไหลออกเป็นสองเส้นทาง โดยแต่ละเส้นทางจะมีวาล์วควบคุมการไหล วาล์วที่อยู่ใกล้ V305 มากที่สุดเป็น right-angled air-diaphragm operated valve LIC 3-22 (วาล์วที่แนวเส้นทางการไหลเข้าออกทำมุมเป็นมุมฉาก และใช้อากาศอัดความดันดันแผ่นไดอะแฟรมเพื่อเปิดหรือปิดวาล์ว แต่ลูกศรเส้นทางการไหลในรูปน่าจะผิดทิศอยู่) โดยวาล์วตัวนี้สามารถควบคุมได้จาก control room ทั้งในรูปแบบระบบควบคุมอัตโนมัติหรือ manual mode (คือให้โอเปอร์เรเตอร์เป็นผู้ปรับระดับการเปิดวาล์ว)
 
วาล์วตัวที่อยู่ถัดห่างออกมาจาก V305 เป็นวาล์วควบคุมการไหลชนิด air-diaphragm-operated, straight-through valve (คือเป็นวาล์วที่ใช้อากาศอัดความดันดันแผ่นไดอะแฟรมเพื่อเปิดหรือปิดวาล์ว แต่เส้นทางการไหลเข้าออกอยู่ในแนวตรง) HIC 3-22 ที่ทำงานได้ด้วยการสั่งการแบบ manual ด้วยสัญญาณควบคุมที่ส่งมาจาก control room เท่านั้น

๑๕. รูปที่ ๑๓ ในหน้าถัดไปเป็นแผนผังระบบควบคุมวาล์ว LIC 3-22 และ HIC 3-22 วาล์วสองตัวนี้เป็นชนิด fail closed คือจะใช้แรงดันอากาศดันแผ่นไดอะแฟรมเพื่อดันให้วาล์วเปิด ถ้าไม่มีแรงดันอากาศ แรงจากสปริงก็จะดันให้วาล์วปิด นอกจากนี้ระหว่างวาล์วควบคุมทั้งสองยังมีวาล์วที่ต้องเปิดด้วยมืออีกสองตัว (SP 25) ที่ต่ออนุกรมกันอยู่ โดยหลังจากเกิดเหตุพบว่าวาล์วตัวหนึ่งเปิดอยู่ (ตัวสีขาวในรูป) และอีกตัวหนึ่งปิดอยู่ (ตัวสีดำในรูป) การตรวจสอบพบว่าวาล์วตัวที่ปิดอยู่นี้ปิดได้สนิท ไม่มีการรั่วไหล
 
ระบบ double block valve (เช่น SP 25 ในที่นี้) จะใช้เพื่อเพิ่มความมั่นใจว่าจะไม่มีการรั่วไหล (คือโอกาสจะน้อยลงที่วาล์วสองตัวจะรั่วในเวลาเดียวกัน) อย่างเช่นในกรณีนี้ที่จำเป็นต้องป้องกันด้านความดันต่ำ (V 306 ปรกติ 9 bar) จากด้านความดันสูง (V305 ปรกติ 155 bar) ซึ่งถ้าเกิดการรั่วไหลจะทำให้เกิดความเสียหายต่อด้านความดันต่ำได้

รูปที่ ๑๓ แผนผังการเชื่อมต่อของระบบสัญญาณควบคุม LIC 3-22 และ HIC 3-22 I/P converter คืออุปกรณ์ที่ทำหน้าที่แปลงสัญญาณกระแสไฟฟ้า (I) เป็นสัญญาณนิวเมติกส์ (P) Positioner คืออุปกรณ์ที่ทำหน้าที่ควบคุมระดับการเปิดของวาล์วตามสัญญาณที่ได้รับมาจาก I/P converter และ Dump solenoid valve คือวาล์วที่ทำหน้าควบคุมการส่งแรงดันอากาศไปดันแผ่นไดอะแฟรมว่าจะให้วาล์วเปิด (ส่งอากาศไปดันแผ่นไดอาแฟรม) หรือปิด (ด้วยการระบายอากาศออกสู่บรรยากาศ)
 
๑๖. การตรวจสอบวาล์ว LIC 3-22 และ HIC 3-22 หลังเกิดเหตุพบว่า นอกจากความเสียหายที่ตัวแผ่นไดอะแฟรมและ valve positioner ของ LIC 3-22 แล้ว วาล์วสองตัวสามารถปิดได้สนิทเมื่ออยู่ในตำแหน่งปิด
 
แต่ในขณะที่ทำการถอดวาล์วต่าง ๆ ออกมาตรวจสอบนั้นพบวัสดุคล้ายไข (รายงานใช้คำว่า waxy material ซึ่งก็คงเป็นส่วนของน้ำมันหนักที่ไม่แตกตัวเล็กลง) ในวาล์วทุกตัว ยกเว้น LIC 3-22 ซึ่งบ่งชี้ว่าน่าจะมีการรั่วไหลของแก๊สผ่านทาง LIC 3-22 และการรั่วไหลของแก๊สได้ทำการเป่าไล่วัสดุคล้ายไขที่ตกค้างอยู่ในระบบท่อและตัววาล์วออกไป
 
ทางทีมสอบสวนยังได้ทำการตรวจสอบการทำงานของ valve positioner ว่าทำงานผิดพลาดหรือไม่ (คือสั่งให้วาล์วเปิดค้าง) แต่การตรวจสอบ valve positioner ทำได้เฉพาะของวาล์ว HIC 3-22 เท่านั้น (ซึ่งก็พบว่าทำงานปรกติ) เพราะของ LIC 3-22 ถูกเพลิงเผาทำลาย แต่จากการจำลองสภาพการทำงานว่าถ้า valve positioner ขัดข้องพบว่า วาล์วควรจะไปอยู่ ณ ตำแหน่งปิด ไม่ใช่ตำแหน่งเปิด ดังนั้นสมมุติฐานที่ว่า valve positioner ของ LIC 3-22 มีปัญหานั้นจึงเป็นอันตกไป

๑๗. ระดับของเหลวทางด้านล่างของ V305 High pressure separator นั้นใช้อุปกรณ์วัดระดับชนิด "Tubular float gate" ยาว 3.6 m ที่ส่งสัญญาณไปควบคุมวาล์ว LIC 3-22 และยังมี "Nucleonic level sensing gauge" โดยเกจวัดระดับทั้งสองตัวติดตั้งอยู่กับ "Bridle" และยังส่งค่าที่วัดได้ไปบันทึกไว้บน chart recorder ที่ control room

๑๘. "Bridle" หรือบางทีก็เรียกว่า "Stand pipe" (คนละตัวกับหัวจ่ายน้ำดับเพลิง) มีลักษณะเป็น vessel หรือท่อที่ต่อพ่วงออกมาทางด้านข้างของตัว vessel (รูปที่ ๑๔) โดยวางตัวในแนวดิ่งขนานไปกับตัว vessel โดยอุปกรณ์วัดต่าง ๆ จะต่อเข้ากับตัว bridle นี้แทนที่จะต่อเข้ากับตัว vessel โดยตรง การติดตั้ง bridle ก็มีข้อดีหลายอย่างเช่น สมมุติว่าต้องการเพิ่มจำนวนอุปกรณ์วัด ก็ทำเพียงแค่เปลี่ยนตัว bridle ให้มีจุดเชื่อมต่อมากขึ้น โดยไม่ต้องไปยุ่งอะไรกับตัว vessel (ซึ่งอาจจะไม่มีจุดที่สามารถทำการเชื่อมต่ออุปกรณ์เพิ่มได้อีก)

รูปที่ ๑๔ ตัวอย่างการติดตั้งอุปกรณ์วัดระดับสองชนิดเข้ากับตัว bridle ตัวเดียวกันแทนที่จะติดตั้งเข้ากับตัว vessel โดยตรง
 
๑๙. "Float gauge" ในที่นี้เป็นอุปกรณ์วัดระดับที่ใช้ระดับของลูกลอยที่ลอยอยู่บนผิวของเหลวใน float chamber ที่ต่ออยู่กับ Bridle (รูปที่ ๑๕) เป็นตัวบ่งชี้ ในระบบที่ไม่ได้มีความดันสูงตัว float chamber ก็อาจมีส่วนที่เป็นกระจกที่ทำให้สามารถมองเห็นระดับของลูกลอยได้โดยตรง หรือใช้แสงและตัวรับแสงช่วยหาตำแหน่งของลูกลอยเพื่อเปลี่ยนตำแหน่งของลูกลอยให้เป็นสัญญาณไฟฟ้าส่งไปยัง control room หรือไม่ก็ใช้ลูกลอยที่เป็นแม่เหล็กที่สามารถส่งสนามแม่เหล็กออกมาเหนี่ยวนำหน่วยแสดงผลที่ติดคู่ขนานไปกับตัว float chamber
 
"Nucleonic gauge" ในที่นี้เป็นอุปกรณ์วัดระดับที่ใช้การฉายรังสีจากแหล่งกำเนิดที่อยู่ทางฟากหนึ่ง ผ่านตัว vessel (ในที่นี้คือ Bridle) ไปยังตัวตรวจรับที่อยู่อีกทางฟากหนึ่งของตัว vessel ถ้าในตัว vessel ไม่มีของเหลวอยู่ รังสีที่ส่งผ่านก็จะไม่ถูกดูดกลืน แต่ถ้าในตัว vessel มีของเหลวเพิ่มขึ้น ปริมาณรังสีที่ส่งไปถึงตัวตรวจรับที่อยู่อีกฟากหนึ่งของ vessel ก็จะลดต่ำลง ข้อดีอีกข้อหนึ่งของอุปกรณ์วัดระดับที่ใช้การฉายรังสีคือสามารถใช้วัดระดับ "ของแข็ง" ที่บรรจุอยู่ใน vessel ได้ด้วย
 
ในรูปที่ ๑๕ พึงสังเกตว่าอุปกรณ์วัดระดับทั้งสองตัวนั้นติดตั้งอยู่สูงกว่าระดับของก้นถัง ดังนั้นเมื่อตัว float gauge อ่านค่าระดับของเหลวได้ 0% ก็จะยังมีของเหลวค้างอยู่ใน V305 อีกประมาณ 11500 ลิตร


รูปที่ ๑๕ ภาพขยายบริเวณ Bridle แสดงรายละเอียดส่วนของอุปกรณ์วัดระดับและสวิตช์ป้องกัน (Float switch)

๒๐. สำหรับตัว float gauge ในที่นี้ ระดับที่เปลี่นแปลงไป 1% หมายถึงปริมาตรของเหลวที่เปลี่ยนไป 266 ลิตร สัญญาณที่ส่งออกมาจาก float gauge ถูกส่งไปควบคุม LIC 3-22 ถ้าระดับที่ float gate อ่านได้ลดต่ำลงถึง 20% ก็จะมีการแสดงสัญญาณเตือนในห้องควบคุมในรูปของเสียงเตือนและไฟเตือน ซึ่งโอเปอร์เรเตอร์จะต้องรับรู้ว่ามีสัญญาณเตือนด้วยการกดปุ่ม "acknowledge" ซึ่งจะทำให้เสียงเงียบไปและไฟเตือนเปลี่ยนเป็นไฟกระพริบ ซึ่งจะคงอยู่อย่างนี้ไปเรื่อย ๆ จนกว่าสภาวะที่ทำให้เกิดสัญญาณเตือนจะได้รับการแก้ไข ตัว Low level นี้ทำได้เพียงแค่เตือน ไม่มีฟังก์ชันที่สามารถหยุดการทำงานของระบบ (trip fuction) หน้าที่ตรงนี้เป็นของ float switch ที่ติดตั้งอยู่ข้างใต้ float gate อีกทีหนึ่ง float switchนี้มีจำนวน 2 ตัว 
  
๒๑. ในสภาพที่อากาศหนาวจัดนั้น ของเหลวที่อยู่ในท่อที่เชื่อมต่อfloat chamber กับ bridle หรือในตัว float chamber เองอาจแข็งตัวได้ ทำให้ค่าที่ float gauge อ่านได้นั้นไม่ตรงกับความจริง ด้วยเหตุนี้จึงมีการติดตั้ง nucleonic level sensing gauge เข้ากับตัว bridle โดยตรง (เพราะโอกาสที่จะเกิดปัญหาการแข็งตัวต่ำกว่า) แต่ด้วยการที่ nucleonic level sensing gauge นั้นวัดระดับได้สูงเพียง 900 mm จึงไม่สามารถทำให้ตำแหน่งระดับ 0% และ 100% ของ nucleonic level sensing gauge และ float gauge ตรงพร้อมกันได้ ทางโรงงานจึงเลือกติดตั้งโดยให้ระดับ 50% ของเกจทั้งสองอยู่ตรงกัน การติดตั้งเช่นนี้ทำให้ระดับ 100% ของ nucleonic level sensing gauge ตรงกับระดับ 63% ของ float gauge และระดับ 0% ของ nucleonic level sensing gauge ตรงกับระดับ 38% ของ float gauge (รูปที่ ๑๖)
 
วัตถุประสงค์หลักของการติดตั้ง nucleonic level sensing gauge ก็เพื่อตรวจสอบว่าลูกลอยของ float gauge นั้นค้างอยู่หรือไม่ คือไม่ลอยขึ้นลงตามระดับของเหลวที่แท้จริงอันเป็นผลจากการที่ของเหลวแข็งตัวโดยเฉพาะในช่วงเวลาที่อากาศหนาว และด้วยการที่โอเปอร์เรเตอร์เชื่อว่าค่าที่ nucleonic level sensing gauge อ่านได้นั้นไว้วางใจได้มากกว่าค่าที่ float gauge อ่านได้ ก็มีส่วนร่วมในการทำให้เกิดอุบัติเหตุนี้ด้วย
 
ตรงนี้ขอขยายความนิดนึง สัญญาณไฟฟ้าที่อุปกรณ์วัดต่าง ๆ ส่งมานั้นจะเป็นสัญญาณมาตรฐาน ถ้าเป็นกระแสไฟฟ้าก็จะอยู่ในช่วง 4 - 20 mA (เป็นไฟกระแสตรงหรือ DC) โดยเมื่ออุปกรณ์วัดอ่านค่าได้ต่ำสุดหรือ 0% ก็จะส่งสัญญาณขนาด 4 mA ออกมา และเมื่ออ่านค่าได้สูงสุดหรือ 100% ก็จะส่งสัญญาณขนาด 20 mA ออกมา เหตุผลที่ไม่ตั้งค่าต่ำสุดไว้ที่ 0 mA ก็เพื่อให้ตรวจสอบได้ว่าที่เห็นค่าที่อ่านได้เป็น 0% นั้นไม่ได้เกิดจากการที่สายสัญญาณขาด

รูปที่ ๑๖ เปรียบเทียบค่า float gauge และ nucleoic level sensing gauge อ่านได้

๒๒. ต่ำลงมาจาก float gauge ยังมีการติดตั้ง float switch อีก 2 ตัวที่ทำหน้าที่เป็น "extra low" level detection system โดยถ้าระดับของเหลวลดต่ำลงจน float swithc ทำงาน ตัว float switch จะส่งสัญญาณไปปิดทั้ง LIC 3-22 และ HIC 3-22 เพื่อป้องกันไม่ให้ของเหลวไหลออกจาก V305 จนหมด เพราะถ้าของเหลวไหลออกจาก V305 จนจะส่งผลให้แก๊สความดันสูงไหลเข้าสู่ V306 ได้ float switch สองตัวนี้ยังป้องกันไม่ให้เปิดวาล์ว LIC 3-22 และ HIC 3-22 ทั้งสองได้ถ้าหากระดับของเหลวใน V305 นั้นยังต่ำเกินไป เนื่องจากการรั่วไหลของแก๊สความดันสูงจาก V305 เข้าสู่ V306 อาจทำให้เกิดความเสียหายรุนแรงที่ V306 ได้ จึงทำการติดตั้ง float swithเอาไว้ 2 ตัวให้ทำหน้าที่เดียวกัน จะเรียกว่าเป็นการป้องกันเผื่อว่ามีตัวใดตัวหนึ่งไม่ทำงาน เพราะกลไกนี้เรียกว่าเป็นการป้องกันด่านสุดท้ายก็ได้
 
อันที่จริงการป้องกันอุปกรณ์ด้าน downstream ที่ทำงานที่ความดันที่ต่ำกว่าด้าน upstream ไม่ให้ได้รับความเสียหายถ้าหากความดันสูงด้าน upstream รั่วไหลลงมาถึงทำได้หลายวิธี เช่นถ้าหาก operating pressure ด้าน upstream และ downstream ไม่ได้ต่างกันมากนัก ก็อาจใช้วิธีออกแบบอุปกรณ์ด้าน downstream ให้สามารถทนต่อความดันในระดับเดียวกับอุปกรณ์ด้าน upstream ก็ได้ นอกจากนี้ยังอาจใช้วิธีการจำกัดปริมาณการไหล (เช่นด้วยการใช้ท่อที่มีขนาดไม่ใหญ่มากเกินไปหรือทำการติดตั้ง restriction orifice) โดยสมมุติกรณีวาล์วเชื่อมต่อด้านความดันสูงและด้านความดันต่ำเปิดเต็มที่ โดยอัตราการไหลผ่านท่อเชื่อมนั้นจะต้องไม่สูงเกินกว่าความสามารถของวาล์วระบายความดัน แต่วิธีการหลังนี้อาจไม่เหมาะในกรณีที่ต้องการให้เฉพาะของเหลวไหลผ่านโดยไม่ให้แก๊สความดันสูงไหลผ่าน เพราะขนาดของท่อหรือ restriction orifice ที่ป้องกันไม่ให้แก๊สไหลผ่านเร็วเกินไปนั้นอาจไม่ใหญ่พอสำหรับการให้ของเหลวไหลผ่านด้วยอัตราที่ต้องการ

๒๓. เมื่อต้องการให้ของไหล (ไม่ว่าจะเป็นของเหลวหรือแก๊ส) ความดันสูงมีความดันที่ลดต่ำลง จำเป็นต้องให้ของไหลนั้นลดพลังงานในตัวลง ซึ่งพลังงานที่ต้องลดลงนี้ถ้ามีไม่มากก็อาจจะปล่อยทิ้งไป (เช่นในกรณีของ throttling process) แต่ถ้ามีมากก็อาจจะพิจารณานำกลับพลังงานส่วนนี้มาใช้ประโยชน์ เช่นให้สูญเสียพลังงานด้วยการไหลผ่านระบบกังหัน (turbine) (ในกรณีของของเหลวลองนึกภาพการผลิตไฟฟ้าด้วยกังหันไอน้ำดูก็ได้ ที่ให้น้ำด้านเหนือเขื่อนที่มีความดันสูงไหลผ่านกังหันไอน้ำเพื่อผลิตไฟฟ้าก่อนระบายลงสู่ด้านท้ายเขื่อน)
 
ในเหตุการณ์นี้แบบเริ่มแรกของโรงงานนั้นมีการติดตั้ง recovery turbine ไว้ระหว่าง V305 และ V306 ซึ่งถ้าของเหลวใน V305 ต่ำเกินไปก็จะส่งผลต่อการทำงานของ recovery turbine ได้ ด้วยเหตุนี้จึงได้มีการติดตั้ง float swith เอาไว้เพื่อป้องกันไม่ให้ recovery turbine เกิดปัญหาในการทำงานถ้าหากของเหลวไหลออกจนหมดและมีแก๊สความดันสูงไหลผ่านแทน (นี่คือเหตุผลหลักเริ่มแรกที่ต้องติดตั้ง float switch ซึ่งจะเห็นว่าไม่เกี่ยวข้องกับการป้องกัน V306 เลย)

๒๔. แม้ว่า recovery turbine จะถูกนำออกไปในช่วงกลางทศวรรษ ๑๙๗๐ (หรือประมาณ ๑๐ กว่าปีก่อนเกิดอุบัติเหตุ) แต่การทำ safety audit ในปีค.ศ. ๑๙๗๕ (พ.ศ. ๒๕๑๘) ก็ยังเห็นความสำคัญที่ควรต้องคง float switch เอาไว้เพราะมันสามารถช่วยป้องกัน V306 ไม่ให้เกิดเหตุการณ์ over pressure ได้ การทำ safety audit ในครั้งนั้นยังได้กล่าวถึงปัญหาการควบคุมระดับของเหลวที่ V305 และยังได้แนะนำให้ทำการติดตั้งอุปกรณ์วัดระดับเพิ่มอีกชุดหนึ่ง (ในรายงานใช้คำว่า duplicate ที่แปลว่าลอกเลียนแบบ ซึ่งควรหมายถึงอุปกรณ์วัดระดับที่ติดตั้งเพิ่มควรต้องทำหน้าที่ได้เทียบเท่ากับของเดิมที่มีอยู่ คือวัดระดับได้ในช่วงเดียวกัน) แต่ในความเป็นจริงกับทำการติดตั้ง nucleonic level sensing gauge ที่วัดระดับได้ในช่วงที่แคบกว่าแทน นอกจากนี้การทำ safety audit ยังได้มีการระบุเอาไว้ด้วยว่า pressure relief valve ของ V306 นั้นไม่สามารถระบายแก๊สออกได้ทันถ้าหากแก๊สความดันสูงรั่วไหลมาถึง
 
อีก ๕ ปีถัดมาในปีค.ศ. ๑๙๘๐ (พ.ศ. ๒๕๒๓) ได้มีการว่าจ้างผู้รับเหมาที่มีความเชี่ยวชาญให้มาตรวจสอบระบบระบายความดันออกสู่ flare การตรวจสอบกระทำโดยใช้สมมุติฐานว่าตัว extra low level trip system ของ V305 ทำงานปรกติ ทำให้ได้ข้อสรุปว่าระบบป้องกันที่มีอยู่นั้นเพียงพอแล้ว จึงไม่มีการให้คำแนะนำใด ๆ ถึงที่เกี่ยวข้องกับ relief valve

เรื่องเกี่ยวกับระบบป้องกันนี้ยังไม่หมด แต่วันนี้เห็นว่าลากยาวมาถึง ๘ หน้าแล้วก็เลยต้องขอพักไว้ตรงนี้ก่อน แล้วค่อยมาเล่าต่อในตอนถัดไป

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

หมายเหตุ: มีเพียงสมาชิกของบล็อกนี้เท่านั้นที่สามารถแสดงความคิดเห็น