วันพุธที่ 1 พฤษภาคม พ.ศ. 2562

Vinyl chloride รั่วไหลจนระเบิด เพราะเปิดวาล์วผิด MO Memoir : Wednesday 1 May 2562

ณ เวลาประมาณ ๒๒.๓๐ น. ของวันศุกร์ที่ ๒๓ เมษายน ปีค.ศ. ๒๐๐๔ (พ.ศ. ๒๕๔๗) ได้เกิดการระเบิดที่โรงงาน Formosa Plastic Corp. ประเทศสหรัฐอเมริกาอันเป็นผลจากการรั่วไหลของ vinyl chloride monomer (H2C=CHCl) ที่รั่วออกมาเพราะโอเปอร์เรเตอร์เปิดวาล์วผิดถัง คือแทนที่จะไปเปิดวาล์วระบายน้ำทิ้งจากถังที่อยู่ระหว่างขั้นตอนการล้าง กลับไปเปิดวาล์วระบายน้ำทิ้งจากถังที่กำลังทำปฏิกิริยาอยู่ ซึ่งเรื่องนี้เพิ่งจะเล่าไปหน่อยนึงเมื่อสัปดาห์ที่แล้วในเรื่อง "ชี้และกล่าวขาน (Pointing and Calling) เทคนิคลดความผิดพลาดในการทำงานของรถไฟญี่ปุ่น" (วันพฤหัสบดีที่ ๒๕ เมษายน ๒๕๖๒) แต่ที่จะนำมาเล่าในวันนี้เป็นการมองในอีกมุมมองหนึ่ง โดยจะขอไล่เป็นข้อ ๆ ไปก็แล้วกัน

รูปที่ ๑ แผงผัง reactor และวาล์วที่เกี่ยวข้องกับเหตุการณ์ วาล์วสีแดง (1, 4) มีระบบ interlock ป้องกันไม่ให้เปิดวาล์วได้ถ้าความดันในถังสูงเกินค่าที่กำหนดไว้ ส่วนวาล์วสีเขียว (2, 3) คือ drain valve ที่ไม่มีระบบป้องกันอะไร โอเปอร์เรเตอร์สามารถเปิดได้เองอย่างอิสระ วาล์วสีฟ้า (5) คือวาล์วที่ใช้ในการถ่ายของเหลวจาก reactor ไปยังหน่วยแยก และใช้ในการถ่ายของเหลวใน reactor จากถังหนึ่งไปยังอีกถังหนึ่งในกรณีที่ระบบมีความดันสูงเกิน (วิธีปฏิบัติที่คิดค้นขึ้นภายหลัง)

๑. โรงงานนี้ได้รับการออกแบบและสร้างโดยบริษัทหนึ่งในปีพ.ศ. ๒๕๐๘ ส่วนบริษัทที่เกี่ยวข้องกับอุบัติเหตุที่เกิดนั้นเพิ่งจะมาซื้อโรงงานในปีพ.ศ. ๒๕๔๕ (เพียงแค่ ๒ ปีก่อนการระเบิด) ซึ่งในระหว่างช่วงเวลาดังกล่าว ทั้งตัวโรงงานและวิธีการเดินเครื่องนั้นมีการเปลี่ยนแปลงไปจากการออกแบบเดิม และคงคาดหวังไม่ได้ว่าผู้มาทีหลังจะรู้เหตุผลทั้งหมด
 
๒. การผลิต PVC นั้นเป็นปฏิกิริยาในเฟสของเหลวโดยให้ vinyl chloride ละลายเข้าไปในเฟสของเหลว (ใช้น้ำเป็นตัวกลาง) แล้วเกิดปฏิกิริยา การผลิตของโรงงานนี้เป็นการผลิตแบบกะ (batch) คือพอสังเคราะห์เสร็จก็จะถ่ายของเหลวในถังไปยังหน่วยแยกเอาพอลิเมอร์ออก จากนั้นก็ทำการล้างถังเพื่อนำกลับมาใช้ทำปฏิกิริยาใหม่

๓. เนื่องจากปฏิกิริยาการพอลิเมอร์ไรซ์เป็นปฏิกิริยาคายความร้อน โอเปอร์เรเตอร์สามารถควบคุมความดันในถังได้ด้วยการปรับการหล่อเย็น การระบายความดันส่วนเกินทิ้งถ้าจำเป็น และการเติมสารหน่วงการเกิดปฏิกิริยา (inhibitor) แต่ถ้าไม่สามารถควบคุมปฏิกิริยาไม่ให้เกิดรวดเร็วเกินไปได้จะทำให้วาล์วระบายความดันเปิดออก และระบายแก๊สในถังออกสู่บรรยากาศ และถ้ามีเหตุการณ์อย่างหลังนี้เกิดขึ้นเมื่อใด ก็ต้องมีการรายงานไปยังหน่วยงานของรัฐที่เกี่ยวข้อง

๔. ระบบถ่ายของเหลวออกจากถังปฏิกรณ์ไปยังหนึ่งแยกนั้นประกอบด้วยวาล์วที่อยู่ที่ก้นถังที่ควบคุมการถ่ายของเหลวออกจากถัง และ drain valve สำหรับการระบายน้ำล้างถังทิ้งลงทางระบายน้ำ (แบบเปิด) ในการทำงานตามปรกตินั้นเมื่อเสร็จสิ้นการผลิตแต่ละกะ โอเปอร์เรเตอร์จะเปิดวาล์วก้นถัง (ดูรูปที่ ๑ ประกอบ) เพื่อทำการถ่ายของเหลวไปยังหน่วยแยก โดยในระหว่างขั้นตอนการถ่ายเทนี้ ตัว drain valve จะต้องถูกปิด

๕. แต่ด้วยความกังวลว่าจะมีการเผลอไปเปิดวาล์วก้นถังในขณะที่ยังอยู่ในระหว่างขั้นตอนการทำปฏิกิริยา ซึ่งเป็นช่วงที่ภายในถังยังมีความดันอยู่ จึงได้ทำการติดตั้งระบบป้องกัน (interlock) ที่ใช้แรงดันอากาศอัดความดันที่ไหลผ่าน valve actuator เป็นตัวป้องกันไม่ให้สามารถเปิดวาล์วที่ก้นถังได้ถ้าหากความดันในถังนั้นสูงเกินค่าที่กำหนดไว้

๖. จากข้อ ๓. ที่กล่าวไว้ว่า ถ้าหากความดันในถังนั้นสูงจนทำให้วาล์วระบายความดันเปิดออก (วาล์วระบายความดันมันติดตั้งอยู่ทางด้านบน โดยจะระบายส่วนที่เป็นแก๊สทิ้ง) ก็ต้องมีการรายงานไปยังหน่วยงานของรัฐที่เกี่ยวข้อง ตรงจุดนี้เลยทำให้เกิดความคิดขึ้นมาว่า แทนที่จะระบายแก๊สทิ้งสู่บรรยากาศ ก็เปลี่ยนเป็นการระบายของเหลวทางก้นถังไปยังถังใบอื่นที่ว่างอยู่ ซึ่งจะไปเพิ่มปริมาตรรวมของระบบให้เพิ่มขึ้น (คือปริมาตรถังที่เกิดปัญหารวมกับปริมาตรของถังเปล่าที่รองรับ) ทำให้ความดันลดลง 
  
แต่ปัญหาก็คือถ้าความดันในถังสูงเกิดกำหนด จะไม่สามารถเปิดวาล์วที่ก้นถังเพื่อถ่ายของเหลวไปยังถังใบอื่นได้ กล่าวอีกอย่างหนึ่งก็คือแนวความคิดในข้อ ๖. นั้นใช้ไม่ได้ เว้นแต่จะสามารถ bypass ระบบ interlock ได้

๗. และเนื่องจากการมีความดันสูงนั้นเป็นสภาวะฉุกเฉิน ดังนั้นการ bypass ตัว valve actuator จึงควรต้องทำได้อย่างรวดเร็ว ผู้ออกแบบจึงกำหนดให้ท่ออากาศอัดความดันจากตัว valve actuator ที่สั่งให้วาล์วปิด ทางด้านที่ต่อเข้ากับตัววาล์วใช้ข้อต่อแบบสวมถอดได้รวดเร็วหรือ quick coupling และมีการเดินท่ออากาศสำหรับเปิดวาล์วมาอยู่ในบริเวณใกล้เคียง เพื่อที่เมื่อโอเปอร์เรเตอร์ปลดท่ออากาศจาก valve actuator ออก ก็สามารถต่อท่ออากาศท่อใหม่ (ที่ใช้สำหรับเปิดวาล์ว) ได้อย่างรวดเร็ว
แต่สิ่งสำคัญในระหว่างกระบวนการนี้คือตัว drain valve ต้องปิดอยู่ เพราะถ้า drain valve เปิดค้างอยู่เมื่อใดก็จะเกิดการรั่วไหลขึ้นทันที รายงานการสอบสวนไมได้บอกชัดเจนว่า drain valve เป็นวาล์ชนิดไหน แต่น่าเป็นแบบทั่วไปที่สามารถเปิดค้างหรือปิดค้างได้ คือไม่ได้เป็นชนิด spring loaded ball valve ที่จะปิดอยู่เสมอด้วยแรงสปริง เว้นแต่มีแรงไปโยกก้านให้มันเปิด แต่พอแรงโยกนั้นหมดไปเมื่อใดวาล์วก็จะกลับมาปิดอีกครั้ง
 
ตรงนี้ก็มีประเด็นที่น่าจะนำมาเป็นหัวข้อสนทนากันได้ก็คือ ถ้าหากระบบ interlock มันสามารถ bypass การทำงานได้ง่าย แล้วจะมีมันไปทำไม
 
๘. ในคืนวันศุกร์ที่ ๒๓ เมษายน มีสัญญาณเตือนว่ามีการรั่วไหลของแก๊ส shift supervisor จึงเข้าไปตรวจและพบว่ามีสารรั่วไหลออกจาก drain valve ของถัง D310 เกิดเป็นโฟมสูงจากพื้นประมาณ 1.5 ฟุต จึงได้มีความพยายามที่จะหยุดการรั่วไหลและลดความดันภายใน D310 (เพื่อลดการรรั่วไหลลงพื้นด้านล่าง) แต่ในขณะที่พยายามแก้ปัญหาอยู่นั้นก็เกิดการระเบิดขึ้นเสียก่อน
 
เนื่องจากผู้เกี่ยวข้องกับเหตุการณ์ก่อนการรั่วไหลนั้นเสียชีวิตจากการระเบิด การสอบสวนว่าทำไมจึงเกิดการรั่วไหลได้จึงต้องอาศัยพยานบุคคล ตำแหน่งวาล์วและปุ่มควบคุมต่าง ๆ ที่อยู่ในเกิดเหตุ และบันทึกสภาวะการทำงานของโรงงาน

๙. สิ่งที่ทีมสอบสวนคาดว่าเกิดขึ้นก็คือ ในระหว่างการล้าง D306 ด้วยน้ำอยู่นั้น โอเปอร์เรเตอร์ผู้หนึ่งต้องทำการฉีดน้ำล้างจากทาง manhole ที่อยู่ชั้นบน และต้องให้โอเปอร์เรเตอร์อีกคนหนึ่งที่ทำงานร่วมกันนั้นเดินลงมาเปิด drain valve ของ D306
 
แต่คาดว่าโอเปอร์เรเตอร์ผู้ที่ต้องลงมาเปิด drain valve นั้นเมื่อลงมาถึงชั้นล่างแล้วกลับเลี้ยวผิดทาง คือแทนที่จะเลี้ยงไปทาง D306 กลับเลี้ยวไปทางฝั่ง D310 แทน

๑๐. เมื่อโอเปอร์เรเตอร์ผู้ลงมาด้านล่างทำการเปิด drain valve (วาล์วหมายเลข 3ในรูปที่ ๑) ของ D310 ก็ไม่เห็นมีน้ำไหลออกมา ก็เลยตรวจดูวาล์วระบายของเหลวออกจากถังที่อยู่ที่ก้นถัง D310 (วาล์วหมายเลข 4ในรูปที่ ๑) และพบว่าวาล์วตัวดังกล่าวนั้นปิดอยู่ (อันนี้เป็นผลจากการทำงานของระบบ interlock เนื่องจากในความเป็นจริงนั้น D310 อยู่ระหว่างการทำปฏิกิริยา ความดันในถังจึงยังสูงอยู่) จึงได้ทำการ bypass ระบบ interlock ด้วยการปลดท่ออากาศอัดความดันจากตัว valve actuator ที่สั่งให้วาล์วปิด แล้วทำการต่อท่ออากาศสำหรับที่ใช้เปิดวาล์วในกรณีฉุกเฉินเข้าไปแทน พอวาล์วที่ก้นถัง D310 เปิด ของเหลวในถังก็ไหลออกมาด้านนอกผ่าน drain valve ที่เปิดค้างทิ้งเอาไว้
 
เมื่อความดันลดต่ำลง แก๊สที่ละลายอยู่ในของเหลวก็ระเหยออกมา กลายเป็นไอเชื้อเพลิงแพร่กระจายออกไปก่อนเกิดการระเบิดขึ้นตามมา

เหตุการณ์ดังกล่าวที่ปรากฏไว้ในรายงานการสอบสวนสามารถสรุปได้สั้น ๆ ดังที่บรรยายมาข้างต้น โดยความผิดพลาดครั้งนี้ถูกชี้ไปที่ human error เป็นหลัก (คือการที่โอเปอร์เรเตอร์เลี้ยวผิดทางและไปเปิดวาล์วปิด) แต่ในระหว่างการนำเสนอรายงานโดยนิสิตภาคนอกเวลาราชการ ก็มีบางประเด็นที่เห็นว่าน่าจะนำมาเป็นหัวข้อถกเถียง (ถ้าโอกาสอำนวย) จึงขอนำมาสรุปรวบรวมเอาไว้ดังนี้ (คือผู้อ่านรายงานการสอบสวนก็ไม่จำเป็นต้องเห็นด้วยกับข้อสรุปของรายงานการสอบสวน)

(ก) แรงกดดันจากการที่ต้องรายงานเจ้าหน้าที่ของรัฐ ถ้าหากวาล์วระบายความดันเปิดออกจนทำให้มีการรั่วไหลของสารในถังปฏิกรณ์ออกสู่บรรยากาศภายนอก ทำให้ทางบริษัทหาทางป้องกันไม่ให้เกิดการระบายความดันส่วนเกินออกสู่บรรยากาศ ถ้าเปลี่ยนเป็นการหาทางป้องกันไม่ให้เกิดความดันสูงเกินในถังปฏิกรณ์ในระหว่างการทำปฏิกิริยาจะดีกว่าไหม

(ข) ทำไมทางบริษัทจึงเลือกที่จะถ่ายสารในถังปฏิกรณ์ที่เกิดความดันสูงเกิน ไปยังถังปฏิกรณ์อีกใบหนึ่งที่ว่างอยู่นั้น ทั้งที่การแก้ปัญหาดังกล่าวไม่ได้มีเพียงวิธีนี้เพียงวิธีเดียว ในรายงานเองก็มีการกล่าวถึงการเติมสารยับยั้งการทำปฏิกิริยา (Inhibitor) แต่ดูเหมือนว่าการผสมสารยับยั้งการทำปฏิกิริยาเข้ากับของเหลวที่อยู่ในถังนั้นมันเกิดได้ไม่ดี (ตรงนี้ไม่ได้มีการกล่าวว่าทำไมการผสมจึงไม่ดี) ทางโรงงานเลยเลือกใช้การถ่ายไปยังถังหนึ่งแทน โดยเชื่อว่าในช่วงที่ทำการถ่ายเทนั้นจะทำให้สารยับยั้งการทำปฏิกิริยาผสมเข้ากับของเหลวได้ดีขึ้น การยับยั้งการทำปฏิกิริยาก็จะเกิดได้ดีขึ้นตามไปด้วย แต่นั่นหมายถึงการที่โอเปอร์เรเตอร์จะต้องสามารถทำการ bypass ระบบ interlock ได้อย่างรวดเร็วเพื่อเปิดวาล์วที่ก้นถังได้ทันเวลา
 
(ค) การออกแบบให้มีระบบ interlock ป้องกัน แต่สุดท้ายกลับยอมให้สามารถทำการ bypass ระบบ interlock ได้ง่ายโดยใครก็ได้ที่อยู่ ณ บริเวณดังกล่าว เป็นสิ่งที่ยอมรับได้หรือไม่

(ง) ทำไมจึงไม่มีการพิจารณาติดตั้งระบบกักเก็บและ/หรือทำลายแก๊สที่ระบายออกทางวาล์วระบายความดัน ถ้าหากเกิดกรณีที่ความดันในถังสูงจนวาล์วระบายความดันเปิดออก ตรงนี้ใช้อะไรเป็นเกณฑ์ในการออกแบบ กล่าวคือ เหตุผลด้านเทคนิค (เช่นไม่มีพื้นที่สำหรับติดตั้งอุปกรณ์) เหตุผลทางด้านเศรษฐศาสตร์ เหตุผลด้านการดูแลระบบให้พร้อมใช้งานตลอดเวลา เหตุผลด้านความเสี่ยงที่ยอมรับได้ ฯลฯ

(จ) การติดตั้งระบบเพิ่มเติมเพื่อให้โอเปอร์เรเตอร์ผู้ปฏิบัติงานอยู่ด้านล่างรู้ว่าถังที่ตัวเองจะทำการเปิดวาล์วนั้น เป็นถังที่อยู่ระหว่างการทำปฏิกิริยา จะช่วยลดโอกาสเปิดวาล์วผิดพลาดหรือไม่

(ฉ) เมื่อโอเปอร์เรเตอร์พบว่าไม่สามารถเปิดวาล์วได้ (เพราะระบบ interlock ขวางเอาไว้) ทำไมโอเปอร์เรเตอร์กลับไม่นึกเฉลียวใจว่าถังที่กำลังจะเปิดวาล์วนั้นมีความดันอยู่ภายใน กลับเลือกที่จะทำการ bypass ระบบ interlock หรือว่าก่อนหน้านี้ระบบ interlock เคยมีปัญหาบ่อยครั้ง กล่าวคือแม้ว่าในถังจะไม่มีความดัน แต่ระบบ interlock ก็เข้าใจผิดว่าในถังมีความดันอยู่ ก็เลยไม่ยอมให้เปิด เมื่อโอเปอร์เรเตอร์พบกับเหตุการณ์เช่นนี้บ่อยครั้ง ก็เลยไม่เชื่อใจการทำงานของระบบ interlock (คล้ายกับกรณีการระเบิดที่โรงกลั่นน้ำมันในประเทศไทยเมื่อเดือนธันวาคม ๒๕๔๒ ที่มีสัญญาณเตือนถึง ๓ ครั้ง แต่โอเปอร์เรเตอร์เชื่อว่าเป็น fault alarm ทั้ง ๓ ครั้ง สาเหตุหนึ่งเป็นเพราะช่วงนั้นมีการเปลี่ยนแปลงระบบควบคุม มี fault alarm เกิดขึ้นประจำจนทำให้โอเปอร์เรเตอร์ไม่เชื่อใจสัญญาณเตือน แถมยังเป็นสัญญาณที่มาจากบริเวณที่ไม่ได้มีดการทำงานอะไรอีก)

(ช) ทำอย่างไรจึงจะทำให้การถ่ายทอดความรู้จากรุ่นหนึ่งไปยังอีกรุ่นหนึ่งเป็นได้อย่างมีประสิทธิภาพ ไม่ตกหล่น โดยเฉพาะแนวคิดในการออกแบบครั้งแรก ไม่ว่าจะเป็นตัวโรงงานหรือวิธีปฏิบัติงานว่าทำไปจึงต้องกำหนดให้มีขั้นตอนการทำงานต่าง ๆ เหล่านั้น และเมื่อมีการเปลี่ยนแปลงเกิดขึ้น ความจำเป็นที่ต้องมีการเปลี่ยนแปลงนั้นอิงอยู่บนเหตุผลใด

ที่เขียนมาข้างต้นเป็นส่วนหนึ่งที่เกิดขึ้นระหว่างการสอนวิชา 2105689 Safe Process Operation and Design ที่เป็นวิชาเลือกสำหรับนิสิตปริญญาโท โดยตัวผมเองพบว่าในกรณีของนิสิตภาคนอกเวลาราชการที่ต่างเป็นผู้ที่มีประสบการณ์ทำงานนั้น จะมีมุมมองต่าง ๆ ที่กว้างกว่านิสิตภาคปรกติที่เกือบทุกคนยังไม่มีประสบการณ์ทำงานมาก่อน
 
สัปดาห์นี้เป็นสัปดาห์สุดท้ายของการสอนวิชานี้ ที่เปิดสอนเป็นครั้งแรกในภาคการศึกษานี้ ผมลองถามผู้เรียนว่าได้รับความรู้อะไรเพิ่มเติมไปบ้าง ซึ่งก็ไม่ได้รับคำตอบอะไรกลับมา แต่สิ่งหนึ่งที่พวกเขาได้ไปจากการบอกของนิสิตบางคนก็คือการที่มีมุมมองปัญหาต่าง ๆ ในหลายมุมเพิ่มมากขึ้น รวมทั้งการที่ไม่คล้อยตามไปตามสิ่งที่เขาว่าต่อ ๆ กันมาโดยไม่มีการนำเอาความรู้ต่าง ๆ ที่ตัวเองมีอยู่แล้วมาพิจารณาความสมเหตุสมผลของข้อมูลที่ได้รับทราบมา

สำหรับผม นั่นก็ถือว่าได้ประสบความสำเร็จในการถ่ายทอดแนวความคิดแล้ว

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

หมายเหตุ: มีเพียงสมาชิกของบล็อกนี้เท่านั้นที่สามารถแสดงความคิดเห็น