เพลิงไหม้และการระเบิดที่ BP Oil (Grangemouth) Refinery 2530(1987) Case 2 การระเบิดที่หน่วย Hydrocraker ตอนที่ ๕ MO Memoir : Saturday 24 November 2561

ก่อนถึงยุคของดิจิตอลคอมพิวเตอร์และจอแสดงผล ในห้องควบคุมก็จะมีการสร้างแผนผังโรงงานที่แสดงการเชื่อมต่อและสภาวะการทำงานของหน่วยต่าง ๆ เอาไว้ที่เรียกว่า mimic panel ดังเช่นรูปที่ ๒๐ ข้างล่าง แผงผังนี้อาจจะเป็นแผงที่ผนังด้านใดด้านหนึ่งของห้อง หรือเป็นแผงที่ยกระดับสูงจากพื้น (เพื่อที่จะได้มองเห็นได้จากมุมต่าง ๆ ของห้อง) บนแผงนี้ก็จะมีการติดตั้งหลอดไฟสีต่างเพื่อแสดงสภาวะการทำงานของหน่วยต่าง ๆ เช่น ไฟสีเขียวคือบอกว่าปั๊มกำลังเดินเครื่องอยู่ ไฟสีแดงกระพริบแสดงถึงสัญญาณเตือนที่ยังไม่มีการกดปุ่มรับรู้ (ที่มักมาควบคู่กับสัญญาณเสียง) ไฟสีแดงติดต่อเนื่องแสดงถึงสัญญาณเตือนที่มีการรับรู้แล้ว (ทำให้สัญญาณเสียงหายไป แต่สัญญาณไฟยังคงค้างอยู่) แต่สภาวะที่ทำให้เกิดสัญญาณเตือนนั้นยังไม่หายไป และใต้ mimic panel นี้ก็จะมีการติดตั้งอุปกรณ์แสดงค่าที่วัดได้ อุปกรณ์แสดงค่าและควบคุม ฯลฯ เอาไว้ในตำแหน่งที่ใกล้เคียงกับตำแหน่งที่วัดจริงหรือควบคุมจริงบนแผนผัง

รูปที่ ๒๐ ตัวอย่าง mimic panel (ที่เลิกใช้งานแล้ว) ของโรงกลั่นเบียร์แห่งหนึ่ง ที่ข้างใต้มีการติดตั้งทั้งอุปกรณ์แสดงค่าที่วัดได้และอุปกรณ์ควบคุม เรียกว่าอุปกรณ์ควบคุม 1 ชิ้นต่อ 1 control loop ตัวอุปกรณ์ควบคุมบางทีก็สามารถดึงออกมาจากทางด้านหน้าได้หรือตัว mimic panel เองก็สามารถเดินอ้อมไปทางด้านหลังได้เพื่อทำการเชื่อมต่อ/ปลดวงจร

ผมคิดว่าห้องทำงานในห้องควบคุมที่โรงกลั่นน้ำมัน BP เมื่อปีพ.ศ. ๒๕๓๐ ก็คงมีรูปแบบทำนองเดียวกันนี้ ที่วันนี้ยกเอาเรื่องนี้ขึ้นมาก่อนก็เพื่อให้ผู้ที่ไม่เคยได้เห็นภาพในห้องควบคุมพอจะมีภาพบ้างว่าบรรยากาศการควบคุมโรงงานเป็นอย่างไร เวลาที่มีการกล่าวถึงสัญญาณไฟว่าติดค้างหรือไม่ติดนั้นมันคืออะไร เพราะยุคนั้นใช้หลอดไฟสำหรับไฟสัญญาณเตือนสีต่าง ๆ บน mimic panel ไม่ได้ใช้การแสดงผลเป็นสีต่าง ๆ บนจอภาพสีเหมือนในปัจจุบัน

รูปที่ ๒๑ ตัวอย่างอุปกรณ์แสดงผล (เฉพาะสามตัวที่อยู่ตรงกลาง) ที่ใช้กับ mimic panel ในรูปที่ ๒๐ โดยตัวซ้ายแสดงค่าอุณหภูมิในช่วงจาก 20-120ºC ส่วนตัวขวาแสดงค่าความดันในช่วง 0.0-0.6 bar โดยตัวเข็มชี้ (ที่ลูกศรสีแดงชี้) จะเลื่อนขึ้น-ลง ตามสัญญาณที่ได้รับมา โดยสัญญาณ 4 mA จะทำให้เข็มชี้อยู่ที่ตัวเลขล่างสุด และสัญญาณ 20 mA จะทำให้เข็มชี้อยู่ที่ตัวเลขบนสุด (ช่วงค่าสัญญาณนี้ระบุไว้ในกรอบสี่เหลี่ยมสีเหลือง) พอปลดสายไฟออก (หรือเทียบเท่าสัญญาณเป็น 0 mA) เข็มชี้ก็เลยตกลงต่ำกว่าตัวเลขล่างสุด ส่วนสองตัวนอกสุดด้านซ้ายขวานั้นเป็นรุ่นใหม่กว่าและเป็นตัวที่ทำหน้าที่ควบคุมด้วย

ทีนี้เราลองมาดูต่อกันว่าในเช้าวันเกิดเหตุนี้มีการทำงานอะไรกันบ้าง

๓๗. ผลจากการทำงานของ Temperature cut out (TCO) จึงทำให้ต้องเดินหน่วย hydrocracker ในสภาวะ standby (หรือเตรียมความพร้อม) ทำให้ไม่มีน้ำมันไหลมาจาก V308 (Feed surge drum) อย่างไรก็ตามของเหลวที่ค้างอยู่ใน V301-V304 (เครื่องปฏิกรณ์ต่าง ๆ) ยังคงไหลเข้าไปใน V305 (HP separator) อันเป็นผลจากการทำงานของระบบ recycling gas ซึ่งต้องใช้เวลาหลายชั่วโมงกว่าจะหมด
 

ในการทำงานตามปรกตินั้นจะควบคุมระดับของเหลวใน V305 ด้วยการให้มีอัตราการไหลที่คงที่ผ่าน HIC 3-22 (ทำงานด้วยระบบ manual คือคงเปิดวาล์วค้างเอาไว้ที่ระดับหนึ่งที่ต้องไม่มากเกินไป) และปรับค่าการเปลี่ยนแปลงต่าง ๆ โดยใช้ LIC 3-22 ที่ทำงานด้วยระบบอัตโนมัติ อย่างไรก็ตามเมื่อระบบอยู่ในสถานะ standby พบว่าระดับของเหลวใน V305 อยู่ในสภาพที่เอาแน่เอานอนไม่ได้ และการให้ LIC 3-22 ทำอย่างอย่างอัตโนมัติจะไม่สามารถจัดการกับความแปรปรวนเช่นนั้นได้ จึงได้ทำการปรับ LIC 3-22 เข้าสู่สภาวะ manual (คือให้โอเปอร์เรเตอร์หมุนปรับแต่งระดับการเปิดของวาล์วเอง) แต่การทำงานในสภาวะ manual ต้องมีการคอยควบคุมระดับของเหลวใน V305 ให้อยู่ในระดับที่ปลอดภัยอย่างเข้มงวด และเมื่อถึงเวลาประมาณ ๖.๐๐ น น้ำมันก็หยุดไหลเข้า V305 โดย boardman (คนที่ทำหน้าที่คอยเฝ้า mimic panel) ให้การว่าจากนั้นจึงได้ทำการปิด HIC 3-22 และ LIC 3-22 ด้วยระบบ manual (การทำงานแบบ manual ในกรณีนี้คือการปรับตรงให้วาล์วปิดตัวเอง ไม่ได้ใช้การตั้งค่า flow ให้เป็นศูนย์ แล้วค่อยให้ระบบควบคุมสั่งปิดวาล์ว)
 

ทีมโอเปอร์เรเตอร์คือทีมที่มีหน้าที่เข้ากะเพื่อเดินเครื่องโรงงาน ทีมนี้ก็จะมีหัวหน้าทีม (ที่อาจเรียกว่าหัวหน้ากะ) และผู้ร่วมทีมงานที่ปฏิบัติหน้าที่หลักต่าง ๆ กัน (เช่นตรวจดูแล เปิด-ปิดวาล์ว อุปกรณ์ ในแต่ละส่วนของโรงงานที่ได้มอบหมาย หรือออกไปตรวจว่าเกิดอะไรขึ้นเมื่อมีสัญญาณเตือน) แต่จำเป็นต้องมีอย่างน้อยหนึ่งคนที่มีหน้าที่เฝ้า mimic panel (ปัจจุบันก็คงเป็นจอคอมพิวเตอร์แล้ว กลายเป็น mimic screen แทน) และคอยปรับแต่งการเปิด-ปิดวาล์วหรืออุปกรณ์ต่าง ๆ จากห้องควบคุม ผู้ปฏิบัติหน้าที่นี้เรียกว่า boardman ตัวอย่างเช่นถ้ามีสัญญาณเตือน boardman ก็จะตรวจว่าเกิดอะไรขึ้น และทำการปรับแต่ง (เช่นด้วยการเปิด-ปิดวาล์วต่าง ๆ) เพื่อให้สภาวะที่ทำให้เกิดสัญญาณเตือนหมดไป ถ้าจำเป็นต้องมีการไปเปิด-ปิดวาล์วข้างนอกห้องควบคุม ก็จะเป็นหน้าที่ของโอเปอร์เรเตอร์คนอื่นที่ไม่ใฃ่ boardman

รูปที่ ๒๒ ตัวซ้ายคือ LIC 3-22 controller ส่วนตัวขวาคือ HIC 3-22 controller แถบดำพาดขวางหน้าจอด้านบนคือแถบขีดอ่านข้อมูล พึงสังเกตว่าจะมีช่วงหนึ่งที่เป็นแถบดำเส้นเล็ก ๆ (ในกรอบสี่เหลี่ยมสีแดง) ที่ไว้สำหรับอ่านค่าตัวเลขบนหน้าปัดที่หมุนขึ้นลงอยู่ด้านหลัง ค่าตัวเลขบนหน้าปัดนี้อาจเป็น "%" ของสัญญาณ (เช่นตัวซ้ายที่เป็นของ LIC 3-22 และตัวขวาที่เป็นของ HIC 3-22 ที่บอกว่าวาล์วเปิดอยู่ที่ระดับกี่ %) หรือบอกค่าสิ่งที่ต้องการวัด (เช่น ความดัน อัตราการไหล อุณหภูมิ ดังตัวอย่างในรูปที่ ๒๑)
 

๓๘. ในช่วงเวลานั้นตัว boardman เองมุ่งความสนใจไปที่การ trip ที่เกิดจากการทำงานของ TCO ที่ยังไม่มีเหตุผลอธิบาย การสั่นอย่างผิดปรกติของคอมเพรสเซอร์ C301 และสภาพการทำงานของหน่วยที่อยู่ downstrem ลงไป (ก็เพราะมันไม่มีน้ำมันไหลไปยังหน่วยเหล่านั้น) มากกว่าการให้ความสนใจไปยังระดับของเหลวใน V305
 

ซึ่งประเด็นเรื่องการมุ่งความสนใจนี้ทางคณะกรรมการสอบสวนได้บันทึกเอาไว้ว่า เนื่องด้วยการที่ต้องเดินเครื่องในสภาวะ standby เป็นเวลานานนั้นไม่ได้เกิดขึ้นบ่อยครั้ง และตัวโอเปอร์เรเตอร์ (ในที่นี้ก็คงคือ boardman) ก็ไม่เคยมีประสบการณ์มาก่อนด้วย ตรงนี้น่าจะเป็นการชี้ให้เห็นถึงความสำคัญของการบันทึกประสบการณ์และการถ่ายทอดประสบการณ์จากรุ่นหนึ่งไปยังอีกรุ่นหนึ่ง โดยเฉพาะกับสถานการณ์ที่นาน ๆ เกิดขึ้นและยังมีความเป็นไปได้ที่จะเกิดขึ้นอีก

๓๙. เมื่อ boardman ยืนยันว่าได้ปิดวาล์ว แต่หลักฐานยืนยันว่าวาล์ว LIC 3-22 ยังคงเปิดอยู่ คำถามก็คือว่าวาล์วตัวนี้เปิดได้อย่างไร ซึ่งก็ได้มีการพิจารณาประเด็นต่าง ๆ ต่อไปนี้

(ก) ในสภาพที่อากาศเย็นและระบบอยู่ในสภาวะ standby ที่ไม่มีการไหล น้ำมันที่อยู่ในท่อส่วนที่ไม่มีการหุ้มฉนวนที่มุ่งไปยัง HIC 3-22 และ LIC 3-22 มีโอกาสที่จะแข็งตัว (กลายเป็น wax) และทำให้ท่ออุดตันได้ ดังนั้นเพื่อป้องกันไม่ให้ท่ออุดตันจึงต้องมีการปล่อยให้ของเหลวที่อุ่นไหลผ่านเล็กน้อยด้วยการเปิดวาล์วแบบ manual การยืนยันว่ามีการไหลกระทำโดยการสังเกตการเปลี่ยนแปลงระดับใน V305 และ V306 และความดันใน V306 ที่เพิ่มขึ้นเนื่องจากแก๊สที่ระเหยออกมาจากของเหลว (ที่ความดันสูงแก๊สจะละลายในของเหลวได้มาก พอความดันลดลงก็จะระเหยออกมา แก๊สตรงนี้เป็นแก๊สที่ละลายอยู่ในน้ำมัน) และการรั่วไหลของแก๊สจะสังเกตได้จากความดันใน V306 ที่เพิ่มขึ้น
 

Unconfined vapour cloud explosion (UVCE) ครั้งแรกในไทยเมื่อธันวาคม ๒๕๓๑ ก็ดูเหมือนว่าจะเกิดจากการใช้ความดันในการไล่สิ่งอุดตันที่ค้างอยู่ในท่อด้วย (อ่านเรื่องนี้ได้ใน Memoir ปีที่ ๑๑ ฉบับที่ ๑๕๙๙ วันพุธที่ ๒๙ สิงหาคม ๒๕๖๑ เรื่อง "UVCE case 1 TPI 2531(1988)")
 

เทคนิคการป้องกันไม่ให้ท่ออุดตันหรือใช้ความดันไล่สิ่งอุดตันนี้ตัว boardman ที่ทำงานอยู่ในเวลานั้นไม่เคยได้รับการฝึกฝนมาก่อน และก็ไม่เคยมีใครให้คำอธิบายด้วย แต่ไม่กี่วันก่อนหน้านั้นในช่วงที่ทำการเริ่มเดินเครื่อง เขาได้อยู่ในห้องควบคุมและได้เห็น senior technician ใช้แก๊สเป่าไล่ท่อนี้เพื่อเตรียมการเริ่มเดินเครื่อง นอกจากนี้โอเปอร์เรเตอร์อีกคนหนึ่งยังจำได้ว่าประมาณ ๒ ปีก่อนหน้านั้นก็เคยได้ยินเสียงแก๊สรั่วเข้าไปใน V306 จนทำให้วาล์วระบายความดันเปิด แต่ boardman สั่งปิดวาล์วควบคุมการไหลได้ทันเวลา เหตุการณ์ "near miss" (คือเกือบจะเป็นเรื่อง) ครั้งนั้นไม่ได้มีการรายงานไปยังระดับ supervisor หรือ managerment และก็ไม่มีการสอบสวนใด ๆ ซึ่งประเด็นนี้ทางทีมสอบสวนคงต้องการชี้ว่าการสอบสวนอุบัติเหตุไม่ควรจำกัดเพียงแค่อุบัติเหตุที่ได้เกิดขึ้นแล้ว แต่ควรครอบคลุมไปยังเหตุการณ์ near miss ด้วย

(ข) การที่ FIC 3-21 ที่ส่งของเหลวจาก V306 ไปยังหน่วยกลั่นแยกนั้นปิดได้ไม่สนิทถ้าใช้การสั่งการจากห้องควบคุม ดังนั้นจึงต้องเปิดไปปิดวาล์วดังกล่าวด้วยมือ (ซึ่งได้มีการทำงานดังกล่าว) และก่อนที่จะเริ่มเดินเครื่องใหม่นั้นก็ต้องทำให้ระดับของเหลวใน V306 มากเพียงพอก่อน ซึ่งทำได้ด้วยการเปิดวาล์ว (ด้วยระบบ manual) เพื่อให้ของเหลวใน V306 มีมากเพียงพอที่อุปกรณ์วัดระดับจะวัดได้ เรื่องนี้ได้กล่าวเอาไว้ข้างแล้วในข้อ ๓๖.

(ค) การจัดวางตัวอุปกรณ์ควบคุมที่มีรูปแบบคล้ายคลึงกันไว้เคียงข้างกัน (ดูรูปที่ ๒๒) อาจทำให้โอเปอร์เรเตอร์นั้นทำผิดพลาดด้วยการไปหมุนปุ่ม LIC 3-22 คือไม่ได้ตั้งใจจะไปหมุนปุ่มควบคุม LIC 3-22 แต่ผิดพลาดไปหมุนเข้าโดยไม่รู้ ทำให้ไม่คิดที่จะสังเกตการเปลี่ยนแปลงระดับใน V305 ที่ลดต่ำลง ตรงประเด็นนี้รายงานการสอบสวนบันทึกเอาไว้ว่าเป็นเหตุการณ์ที่ "unlikely" แต่ก็ไม่ได้ตัดทิ้งไปโดยไม่ถูกกล่าวถึง
 

(ง) โอเปอร์เรเตอร์เชื่อค่าระดับของเหลวใน V305 ที่ nucleonic gauge อ่านได้แม้ว่ามันจะมีค่า "zero offset" ก็ตาม และด้วยการที่ระดับของเหลวใน V306 นั้นต่ำกว่าระดับที่ float gauge จะอ่านค่าได้ (แถมมี zero offset เช่นกัน) ดังนั้นเมื่อโอเปอร์เรเตอร์เปิดวาล์ว LIC 3-22 และไม่เห็นค่าระดับของเหลวใน V305 ที่ nucleonic gauge อ่านได้ลดต่ำลง (ทั้ง ๆ ที่ในความเป็นจริงมันก็ลงต่ำสุดอยู่แล้ว) และไม่เห็นระดับใน V306 เพิ่มขึ้น (เพราะระดับของเหลวต่ำเกินกว่าที่ float gauge จะอ่านค่าได้) จึงอาจทำให้สมมุติว่าวาล์ว LIC 3-22 นั้นยังคงปิดอยู่ และทำให้มีการเปิดวาล์วมากขึ้นไปอีกหรือเปิดนานขึ้นอีก
 

ตรงนี้ขอทบทวนนิดนึง ระดับต่ำสุดของของเหลวใน V305 ที่ nucleonic gauge สามารถอ่านได้นั้นมันสูงกว่าระดับที่ float gauge อ่านได้ แต่ด้วยการที่โอเปอร์เรเตอร์นั้นเชื่อค่าจาก nucleonic gauge มากกว่าค่าจาก float gauge ประกอบกับการที่ค่าระดับ 0% (ค่าต่ำสุดที่วัดได้) ของ nucleonig gauge นั้นถูกตั้งให้อยู่ที่ระดับ 10% บนกระดาษบันทึกผล จึงทำให้โอเปอร์เรเตอร์คิดว่าการที่เห็นระดับอ่านได้คงที่ 10% นั้นแสดงว่าไม่มีของเหลวไหลออกจาก V305

๔๐. การเปิดวาล์ว LIC 3-22 ด้วยการควบคุมแบบ manual เพื่อให้ของเหลวหรือแก๊สที่อุ่นไหลผ่านเส้นท่อจำเป็นต้องได้รับการอนุมัติจาก supervisor เนื่องจากจำเป็นที่ต้องมีการ bypass ระบบ safety trip และด้วยการที่รู้ว่าการปฏิบัตินี้มีอันตราย จึงได้มีการกำหนดให้ต้องปฏิบัติภายใต้การควบคุมอย่างใกล้ชิด และตัวโอเปอร์เรเตอร์เองต้องให้ความสนใจไปยังอุปกรณ์วัดคุมต่าง ๆ ซึ่งตรงนี้รายงานได้มีการนำเอาข้อความที่มีการบันทึกไว้ใน log book มาบันทึกไว้ดังนี้
 

๑๗ ตุลาคม ๑๙๘๖ "once all was appears to have been removed, block in and leave for 2 hours, then check by opening LIC 3-22 carefully to avoid over-pressuring the LP separator. Repeat every 2 hours" 
  

และอีกครั้งเมื่อวันที่ ๑๓ มีนาคม ๑๙๘๗ "with caution and care, sweep hydrogen from the HP through the LP and the multilocks to the ractionator to try to removed as much wax from the lines as possible"

ดูเหมือนว่าจะรู้กันว่างานนี้เป็นงานอันตราย แต่ไม่รู้ว่าอันตรายนั้นจะรุนแรงแค่ไหนถ้าเกิดขึ้น

รูปที่ ๒๓ ตารางแสดงผลการคำนวณโดย HSE ว่า LIC 3-22 ควรต้องเปิดอย่างน้อยกี่ % จึงจะทำให้ความดันใน V306 สูงถึงระดับ 50 bar (ค่าที่เชื่อว่าค่าความดันที่ทำให้ V306 ระเบิด) 
  

๔๑. ประเด็นสำคัญอีกประเด็นที่ต้องหาคำตอบก็คือ LIC 3-22 ควรต้องเปิดอย่างน้อยกี่ % จึงจะทำให้ความดันใน V306 สูงถึงระดับ 50 bar (ค่าที่เชื่อว่าค่าความดันที่ทำให้ V306 ระเบิดที่ได้มาจากการคำนวณแรงที่ต้องใช้ทำให้ชิ้นส่วนขนาดต่าง ๆ ปลิวไปเป็นระยะทางต่าง ๆ) และใช้เวลานานเท่าใดจึงจะถึงระดับความดันดังกล่าว ผลการทดสอบและการคำนวณที่กระทำโดย HSE (Health & Safety Executive) แสดงไว้ในรูปที่ ๒๓ ตรงนี้จะเห็นว่าถ้า LIC 3-22 เปิดไม่ถึงระดับ 40% วาล์วระบายความดันบนตัว V306 จะระบายความดันได้ทันและไม่ทำให้ความดันใน V306 สูงถึง 50 bar ได้
 

ข้อมูลที่ HSE มีก็คืออัตราการลดระดับของของเหลวใน V305 ซึ่งตรงนี้ถ้าสมมุติว่า LIC 3-22 เปิดคงที่ ก็ต้องหาว่านับจากเวลาที่เห็นของเหลวไหลออกจาก V305 จนหมด จนถึงเวลาที่ V306 นั้น LIC 3-22 ต้องเปิดค้างไว้ที่ระดับกี่ % เป็นอย่างน้อย ซึ่งในการสอบสวนนั้นก็มีการหาค่าอัตราการไหลผ่านวาล์วของทั้งของเหลวและแก๊สที่ระดับการเปิดวาล์วต่าง ๆ

๔๒. เมื่อมีการเข้าไปในห้อง control room ภายหลังการระเบิด supervisor รายงานว่า LIC 3-22 อยู่ที่ตำแหน่ง "manual" และเปิดที่ระดับ "100%" แต่เมื่อเจ้าหน้าที่จาก HSE เข้าไปตรวจสอบภายหลังกลับพบว่า LIC 3-22 อยู่ที่ตำแหน่ง "ปิด" และอุปกรณ์ควบคุมต่าง ๆ ก็อยู่ในตำแหน่งที่แตกต่างไปจากในรายงานของ supervisor แต่รายงานของ supervisor ได้รับการยืนยันความถูกต้องด้วยโอเปอร์เรเตอร์อีก ๒ คน (ที่เข้าไปปรับเปลี่ยนตำแหน่งของอุปกรณ์ควบคุมต่าง ๆ) ในอีกหลายเดือนให้หลัง อย่างไรก็ตามทางคณะกรรมการสอบสวนก็ไม่สามารถหาคำอธิบายได้ว่าทำไม LIC 3-22 จึงไปอยู่ที่ตำแหน่งเปิดเต็มที่ก่อนเกิดการระเบิด และด้วยการที่ระบบควบคุมนั้นเป็นระบบที่สร้างขึ้นในช่วงปลายทศวรรษ 1960 ทางคณะกรรมการสอบสวนจึงได้ให้ความเห็นที่เป็นไปได้ที่อาจนำไปสู่อุบัติเหตุที่เกิดขึ้นไว้ดังนี้

(ก) ความผิดพลาดที่เกิดจากการประมาณค่าปริมาตรหรือความลึกของของเหลวใน V305 และ V306 ผิดไป เนื่องจากอุปกรณ์วัดระดับให้ช่วงการวัดระดับที่แตกต่างกันและไม่สัมพันธ์กัน และไม่ได้บ่งบอกถึงปริมาณของเหลวใน vessel

(ข) การที่ไม่มีการวัดการไหลจาก V305 ไปยัง V306 โดยตรง ทำให้ต้องอิงจากระดับของเหลวที่อ่านได้ใน V305 และ V306 แทน นำไปสู่การตั้งข้อสมมุติที่ผิดได้ อย่างเช่นในเหตุการณ์นี้คือระดับของเหลวนั้นต่ำกว่าระดับที่อุปกรณ์วัดระดับจะวัดได้ แต่มีการตั้งค่าอุปกรณ์วัดระดับให้มี offset (คือตั้งค่าวัดจริงที่เป็นศูนย์ให้แสดงค่าสูงกว่าศูนย์) ดังนั้นแม้ว่าจะมีของเหลวไหลออกจาก V305 ไปยัง V306 จริง โอเปอร์เรเตอร์ก็จะเข้าใจว่าไม่มีการไหลเกิดขึ้น

(ค) ความผิดพลาดที่เกิดจากการติดตั้งอุปกรณ์ควบคุมที่คล้ายคลึงกัน (ที่ทำหน้าที่ต่างกัน) ไว้เคียงข้างกัน อาจทำให้เกิดการหมุนปรับผิดตัวได้

(ง) ในสถานการณ์ที่มีความเครียดสูงอาจทำให้เกิดการหมุนปุ่มปรับผิดทิศได้

(จ) ความผิดพลาดสามารถเกิดขึ้นได้ถ้าหากทำการปรับเปลี่ยนรูปแบบการควบคุมวาล์วจาก auto ไปเป็น manual โดยที่ไม่มีการปรับ balance ก่อน และไม่ได้มีการตรวจสอบตำแหน่งปุ่มปรับ manual ว่าอยู่ที่ตำแหน่งใด การปรับ balance ตรงนี้คือการตั้งปุ่มปรับ manual ให้อยู่ที่ระดับที่วาล์วเปิดอยู่ในขณะที่อยู่ในการทำงานรูปแบบ auto ก่อน จากนั้นจึงค่อยปรับรูปแบบการควบคุมจาก auto ไปเป็น manual เพราะถ้าไม่ทำเช่นนี้ เช่นสมมุติว่าขณะที่ทำการควบคุมแบบ auto นั้นวาล์วเปิดอยู่ 30% แต่ปุ่มปรับ manual นั้นอยู่ที่ตำแหน่งเปิด 100% ดังนั้นเมื่อทำการปรับการควบคุมจาก auto ไปเป็น manual ก็จะเกิดปัญหาการเปลี่ยนตำแหน่งวาล์วอย่างกระทันหันได้

๔๓. ในช่วงท้ายของรายงานการสอบสวน คณะกรรมการสอบสวนได้สรุปผลการสอบสวนเอาไว้ดังนี้ (ผมไม่ได้เขียนแยกตามรายข้อที่ปรากฏในรายงาน บางข้อมีการยุบรวมและบางจุดมีการเพิ่มเติมรายละเอียดเข้าไปเล็กน้อยเพื่อช่วยเตือนความจำ)

๔๓.๑ V306 LP separator ได้รับความดันสูงถึงประมาณ 50 bar ก่อนเกิดการระเบิด ซึ่งสูงกว่าความดันทำงานปรกติมาก (ความดันทำงานปรกติอยู่ที่ 9 bar) โดยความดันที่สูงเกินมาจากแก๊สไฮโดรเจนที่ความดัน 155 bar จาก V305 HP separator ไหลเข้ามา

๔๓.๒ แก๊สไฮโดรเจนความดันสูงจาก V305 ไหลเข้า V306 ทางวาล์วระบายของเหลว LIC 3-22 ที่เปิดอยู่ (ในขณะที่วาล์ว HIC 3-22 และวาล์ว bypass นั้นปิดอยู่ ซึ่งตรงนี้รู้ได้จากการมีของแข็งตกค้างในเส้นท่อสองเส้นนี้)

๔๓.๓ LIC 3-22 ไม่ได้อยู่ภายใต้การควบคุมอัตโนมัติ ดังนั้นจึงสามารถตัดความเป็นไปได้ที่ว่าเหตุการณ์นี้เกิดจากความบกพร่องของ float gauge ของ V305 (ที่เป็นตัวส่งสัญญาณควบคุมอัตโนมัติ) และการที่สายไฟของวงจรควบคุมถูกปลด ออกไป (ที่สามารถทำให้ LIC 3-22 อยู่ในตำแหน่งเปิด)

๔๓.๔ ไม่พบความบกพร่องของ Level indicator controller และ pueumatic position ของ LIC 3-22 ดังนั้นอุปกรณ์สองชิ้นนี้ไม่เกี่ยวข้องกับการเปิดของ LIC 3-22 (เรียกว่าจะไปโทษอุปกรณ์ไม่ได้)

๔๓.๕ มีการเปิด LIC 3-22 แบบ manual มากเกินกว่า 40% และเป็นไปได้ที่จะเปิดถึง 100%

๔๓.๖ การปิดวาล์วในกรณีฉุกเฉินในกรณีที่ระดับของเหลวใน V305 ต่ำมากเกินไปนั้น พึ่งพิงแต่ LIC 3-22 และ HIC 3-22 เท่านั้น โดยไม่มีวาล์วปิดกั้นการไหลที่ทำงานได้อย่างอิสระบนเส้นท่อจาก V305 ไปยัง V306

๔๓.๗ ระบบสายไฟไปยัง dump solenoid valve ของ LIC 3-22 ถูกปลดออกประมาณ ๕ ปีก่อนหน้า ทำให้ LIC 3-22 ไม่ปิดตัวลงเมื่อระดับของเหลวใน V305 ลดต่ำลงมาก และ trip solenoid valve ของ HIC 3-22 ยังถูก bypass

๔๓.๘ ระบบสัญญาณเตือนการตรวจจับระดับของเหลวที่ต่ำมากไม่ทำงาน และโอเปอร์เรเตอร์ไม่รู้ว่าสถานการณ์อันตรายกำลังเกิดขึ้น

๔๓.๙ เนื่องจาก hydrocracker อยู่ในสภานะ standby ทำให้เส้นทางการไหลปรกติจาก V306 (ที่ไปยังหน่วย amine และหน่วยกลั่นแยก) ถูกปิดเอาไว้ แก๊สที่ไหลเข้ามาจึงต้องออกทางวาล์วระบายความดันเพียงเส้นทางเดียว

๔๓.๑๐ วาล์วระบายความดันบน V306 มีขนาดไม่ใหญ่พอที่จะระบายแก๊สที่ไหลเข้ามาด้วยอัตราการไหลสูงสุดที่เป็นไปได้ จึงไม่สามารถป้องกันเหตุความดันเพิ่มสูงเกินไปได้

๔๓.๑๑ มีการให้ความไว้วางใจกับโอเปอร์เรเตอร์มากเกินไป ในการทำงานควบคุมการไหลจากระบบความดันสูงไปยังระบบความดันต่ำ (ทำนองว่าอุปกรณ์ป้องกันอัตโนมัติที่เคยมีนั้นไม่ทำงาน และไม่คิดจะทำให้มันทำงานได้)
 

๔๓.๑๒ ทางโรงกลั่นเองก็ได้เล็งเห็นถึงอันตรายนี้มาก่อนแล้วในการประเมินความเสี่ยงในปีค.ศ. ๑๙๗๕ และ ๑๙๘๐

๔๔. ทางโรงกลั่นเองก็มีระเบียบปฏิบัติในการตรวจสอบระบบความปลอดภัยเป็นประจำ แต่ checklist บางรายการของหน่วย hydrocracker กลับไม่มี และเป็นที่รู้กันว่าระบบตรวจวัด, trip และสัญญาณเตือนสำหรับกรณี extra-low liquid level ของ V305 ไม่ทำงานมาเป็นเวลานานแล้ว แต่ต่างคิดกันว่านั่นเป็นเพราะเป็นสิ่งที่ไม่ต้องการใช้อีก ถึงแม้ว่า chief instrument engineer ของโรงกลั่นจะได้บันทึกเอาไว้ในปี ๑๙๘๕ ว่าสายไฟ trip solenoid valve ของ LIC 3-22 ถูกปลดออก แต่ก็ไม่มีการดำเนินการใด ๆ

๔๕. คณะกรรมการสอบสวนยังได้ปิดท้ายรายงานการสอบสวนด้วยการนำเสนอมาตรการป้องกันเพื่อไม่ให้เกิดเหตุการณ์ดังกล่าวขึ้นอีกดังนี้

๔๕.๑ ควรมีระบบป้องกันอัตโนมัติที่มีความพร้อมสำหรับการใช้งานสูงในการป้องกันไม่ไห้แก๊สความดันสูงไหลเข้าไปได้ และการออกแบบระบบระบายความดันสูงเกินควรที่จะคำนึงถึงอัตราการไหลที่มากที่สุดที่เป็นไปได้ที่แก๊สความดันสูงจะไหลเข้ามา และควรมีวาล์วปิดกั้นการไหลแยกต่างหากอีกชุดบนเส้นท่อจาก V305 ไปยัง V306 นอกจากนี้ควรมีตัวตรวจวัด extra-low level สองชุดติดตั้งให้กับ V305 โดยให้แต่ละตัวทำงานได้อย่างอิสระในการปิดวาล์ว

๔๕.๒ ระบบ trip และ alarm ต่าง ๆ ควรมีความพร้อมสำหรับการทำงานเสมอ ควรมีการตรวจสอบเป็นระยะ ความบกพร่องที่ตรวจพบควรได้รับการรายงาน บันทึก และดำเนินการแก้ไข

๔๕.๓ การเปลี่ยนแปลงต่าง ๆ เกี่ยวกับตัวโรงงานควรกระทำต่อเมื่อได้มีการพิจารณาผลกระทบด้านความปลอดภัยที่จะเกิดขึ้นตามมาอย่างรอบคอบทุกด้านแล้ว

๔๕.๔ การทำงานในห้องควบคุมควรมีการตรวจสอบการปฏิบัติงานที่ไม่เป็นไปตามขั้นตอนหรือความผิดพลาดที่เกิดขึ้น การออกแบบและแผนผังต่าง ๆ ในห้องควบคุมควรได้รับประเมินเป็นระยะว่าจะเป็นปัจจัยที่สามารถทำให้เกิดความผิดพลาดในการปฏิบัติหน้าที่ได้หรือไม่

๔๕.๖ การป้องกันไม่ให้มีของแข็งอุดตันในเส้นท่อของวาล์ว HIC 3-22 และ LIC 3-22 สามารถกระทำได้ด้วยการหุ้มฉนวนและมีระบบ tracing ให้ความร้อน

๔๕.๗ ควรมีการวิเคราะห์อันตรายและผลที่จะเกิดขึ้นตามมาในการเดินเครื่องหน่วย hydrocracker ควรมีระบบป้องกันที่มากเพียงพอและผู้ที่เกี่ยวข้องทุกคนควรตระหนักถึงอันตรายที่อาจเกิดขึ้นและมาตรการการป้องกันที่จำเป็น

ผลการสอบสวนบ่งชี้ว่า LIC 3-22 นั้นถูกเปิดโดยใครสักคน (จะโดยรู้เท่าไม่ถึงการณ์หรือความผิดพลาดก็ตาม) แต่รายงานไม่มีการระบุว่าใครเป็นคนเปิด และยังได้ชี้ให้เห็นถึงการเปลี่ยนแปลงต่าง ๆ ที่เกิดขึ้นโดยบุคคลอื่นโดยที่ผู้ปฏิบัติงานไม่ทราบว่ามีการเปลี่ยนแปลงดังกล่าว และ Case 2 การระเบิดที่หน่วย Hydrocraker ก็คงจะจบเพียงแค่นี้