Tube furnace ระเบิดจากการฉีกขาดของท่อน้ำมัน MO Memoir : Wednesday 8 October 2568

ในหนังสือ "Myths of the Chemical Industry, or 44 Things a Chemical Engineer Ought NOT to Know" ที่เขียนโดย Prof. T.A. Kletz มีเรื่องหนึ่งที่เกี่ยวข้องกับ Tube furnace โดยมีรูปและข้อความประกอบว่า "An elephant has a good memory ... But a furnace tube has a better one" (รูปที่ ๑) ถ้าแปลเป็นไทยก็คงออกมาทำนองว่า "ช้างมีความจำที่ดี แต่ท่อของเตาเผามีความจำที่ดีกว่า" เนื้อหาในเรื่องดังกล่าวเกี่ยวกับอายุการใช้งานของท่อโลหะที่ได้รับความร้อนสูงเกินกว่าที่ออกแบบไว้ แม้ว่าจะเป็นช่วงระยะเวลาสั้น ๆ ก็ตาม

รูปที่ ๑ รูปประกอบนี้นำมาจากฉบับพิมพ์ครั้งที่ ๓ ที่มีการเปลี่ยนชื่อหนังสือเป็น "Dispelling chemical engineering myths, Third Edition" เนื่องจากมีการเพิ่มเนื้อหาต่าง ๆ เพิ่มเติมเข้ามา และมีการแก้ไขภาษา โดยฉบับพิมพ์ครั้งแรก (ผมซื้อเก็บไว้แต่หายไปไหนก็ไม่รู้ เข้าใจว่าถูกยืมไปแล้วหายไปเลย) เป็นการใช้ภาษาการเรียกอุปกรณ์ต่าง ๆ แบบ British English แต่ฉบับพิมพ์ครั้งต่อมามีการปรับแก้ไขภาษาการเรียกอุปกรณ์ต่าง ๆ เป็นแบบ Ameirican English

ในหนังสือดังกล่าวได้ยกตัวอย่างว่าถ้าท่อของ tube furnace ได้รับการออกแบบมาให้ทำงานที่อุณหภูมิ 500ºC เป็นเวลา 100,000 ชั่วโมง (หรือ 11 ปี)

ถ้าถูกใช้งานที่อุณหภูมิ 506ºC อายุการใช้งานจะลดเหลือ 6 ปี

ถ้าถูกใช้งานที่อุณหภูมิ 550ºC อายุการใช้งานจะลดเหลือ 3 เดือน

ถ้าถูกใช้งานที่อุณหภูมิ 635ºC อายุการใช้งานจะลดเหลือ 20 ชั่วโมง

กล่าวอีกนัยหนึ่งก็คือถ้ามีช่วงเวลาใดเวลาหนึ่งท่อนั้นถูกใช้งานที่อุณหภูมิสูงเกินกว่าที่ออกแบบไว้ แม้ว่าหลังจากนั้นจะมีการกลับมาใช้งานงานที่อุณหภูมิเดิมหรือต่ำกว่าเดิม ความเสียหายที่เกิดขึ้นตอนที่ถูกใช้งานที่อุณหภูมิสูงเกินนั้นไม่ได้หายไปด้วย มันยังคงอยู่ ทำให้อายุการใช้งานของท่อลดลงได้มาก

ตรงนี้ขออธิบายเพิ่มเติมนิดนึง กล่าวคือการออกแบบเผื่อ (ว่าจะมีการทำงานสูงเกินภาวะปรกติ) ในเรื่องของอุณหภูมินั้นแตกต่างไปจากความดัน การเผื่อการใช้งานที่อุณหภูมิสูงเกินนั้นทำได้ด้วยการเพิ่มความหนาของวัสดุที่ใช้ทำ แต่ในเรื่องของอุณหภูมินั้นต้องเปลี่ยนแปลงชนิดวัสดุที่ใช้ทำ

เหตุการณ์ที่นำมาเล่าในวันนี้นำมาจากรายงานการสอบสวนเรื่อง "Accident Investigation Report on the Explosion and Fire at the Irving Oil Refinery, Saint John, New Brunswick" รายงานไม่ระบุประเทศแต่ค้นดูแล้วน่าจะเป็นแคนาดา โดยเป็นเหตุการณ์ที่เกิดขึ้นเมื่อเวลาประมาษ ๙.๓๐ น ของวันอังคารที่ ๙ มิถุนายน ค.ศ ๑๙๙๘ (พ.ศ. ๒๕๔๑) ซึ่งเป็นเรื่องที่เกี่ยวข้องกับท่อ (tube) ของเตาเผา (Furnace) โดยท่อดังกล่าวได้รับความร้อนสูงเกินเนื่องจากเปลวไฟนั้นพุ่งไปกระทบกับผิวท่อโดยตรง ทำให้ท่อเกิดการฉีกขาด น้ำมันความดันสูงที่อยู่ในท่อก็เลยพุ่งออกมาทำให้เกิดการระเบิดตามมา

เตาเผาดังกล่าวเป็นของหน่วย Hydrotreater - Hydrocraker โดยทำหน้าที่ให้ความร้อนแก่น้ำมันดิบก่อนเข้ากระบวนการ Hydrocracker (กำจัดสิ่งปนเปื้อนด้วยการใช้แก๊สไฮโดรเจนดึงสารเหล่านั้นออกมาในรูปสารประกอบไฮโดรเจน) และ Hydrocraker (ทำให้โมเลกุลไฮโดรคาร์บอนขนาดใหญ่ที่มีความไม่อิ่มตัวสูง (มีพันธะ C=C อยู่มาก) กลายเป็นโมเลกุลที่มีความอิ่มตัวเพิ่มขึ้นด้วยการเติมไฮโดรเจน (เปลี่ยนพันธะ C=C เป็น C-C) และแตกออกเป็นโมเลกุลเล็กลง) ปฏิกิริยานี้เกิดที่อุณหภูมิและความดันสูง น้ำมันดิบที่มีความดันสูงจะถูกแยกเป็นสองสายเท่า ๆ กันไหลผ่านเตาเผา ๒ เตา (เตาด้านทิศตะวันออกและเตามด้านทิศตะวันตก) เพื่อรับความร้อนจากเปลวไฟที่อยู่ภายในเตาเผา ก่อนจะไหลออกมารวมกันและต่อไปยังหน่วย Hydrotreater - Hydrocraker เตาเผาที่ใช้เป็นชนิด cabin type โดยท่อในเตาเผานั้นวางในแนวนอน (รูปที่ ๒) ท่อนั้นเป็นท่อขนาด 8 นิ้วทำจากโลหะสแตนเลสสตีล 347

รูปที่ ๒ การวัดวางท่อในตัว furnace โดยท่อนั้นวางในแนวนอน (แถวล่างสุดคือแถวที่ ๑ และแถวบนสุดคือแถวที่ ๘) ตัวหัวเตาที่ให้ความร้อนนั้นอยู่ที่ระดับพื้นด้านล่างทั้งทางด้านซ้ายและขวาของท่อ

ท่อที่ใช้ในเตาเผานั้นมีทั้งแบบใช้ท่อตรงและท่อที่เป็นขดเกลียว ถ้าใช้ท่อที่เป็นขดเกลียวรูปทรงเตาก็จะเป็นทรงกระบอก แต่ถ้าใช้ท่อที่เป็นท่อตรงรูปทรงเตาก็มักจะเป็นสี่เหลี่ยม ตรงนี้บางรายจะแยกออกว่า "Cabin type" จะเป็นชนิดที่วางท่อในแนวนอน ถ้าเป็น "Box type" ก็จะเป็นชนิดที่วางท่อในแนวตั้ง แต่บางรายก็จะใช้เรียกรวมกัน แต่ในรายงานฉบับท่นำมาเล่านี้จะแยกระหว่า งcabin type และ box type

ตัวท่อได้รับความร้อนจากหัวเตาที่ขนาบอยู่ทางด้านซ้ายและขวาด้านละ 22 หัวเตา ตำแหน่งติดตั้งหัวเตานั้นอยู่ที่ระดับพื้นด้านล่างของเตา โดยอยู่ในร่องอิฐทนไฟที่บังคับให้เปลวไฟที่พุ่งออกมาจากหัวเตานั้นเปลี่ยนทิศทางพุ่งขึ้นด้านบน การทำเช่นนี้เพื่อป้องกันไม่ให้เปลวไฟพุ่งไปกระทบผิวท่อโดยตรง เพราะจะทำให้บริเวณที่เปลวไฟพุ่งกระทบนั้นร้อนจัดกว่าบริเวณอื่น (โลหะเมื่อร้อน ความแข็งแรงจะลดลง ตรงไหนร้อนมากกว่าบริเวณอื่น จุดนั้นความแข็งแรงก็จะต่ำลงไปอีก)

รูปที่ ๓ มุมมองจากทางด้านบน ตัวบนคือเตาด้านทิศตะวันตก ตัวล่างคือเตาด้านทิศตะวันออก หัวเตาที่มีเปลวไฟให้ความร้อนจะอยู่ขนาบทั้งสองข้างของขดท่อที่วางอยู่ตรงกลาง แก๊สร้อนที่เกิดขึ้นจะลอยออกทางปล่องที่อยู่ทางด้านบน

เวลาประมาณ ๘.๕๐ น ของเช้าวันที่เกิดนั้น โอเปอร์เรเตอร์ของหน่วยข้างเคียงพบเห็นมีกลุ่มควันพวยพุ่งออกมาจากปล่องของเตาเผา จึงได้แจ้งไปยังหน่วยที่รับผิดชอบ และประมาณเวลาใกล้เคียงกัน โอเปอร์เรเตอร์ที่เฝ้าตรวจการทำงานของเตาเผาในห้องควบคุมพบเห็นค่าออกซิเจนส่วนเกินในแก๊สที่ระบายออกทางปล่องของเตาเผานั้นลดต่ำลง จึงได้แจ้งให้โอเปอร์เรเตอร์เข้าไปเพิ่มอัตราการไหลให้กับอากาศ ซึ่งต้องไปทำการปรับที่ตัวเตาเผา

ในทางทฤษฎีนั้น อุณหภูมิแก๊สร้อนสูงสุดที่จะได้จากการเผาเชื้อเพลิงจะเกิดที่อากาศ "พอดี" สำหรับการเผาไหม้เชื้อเพลิงได้สมบูรณ์ หรือที่ทางเคมีเรียกว่า "stoichiometric ratio" ถ้าอากาศน้อยเกินไป เชื้อเพลิงเผาไหม้ไม่สมบูรณ์ ไม่สามารถดึงเอาพลังงานความร้อนของเชื้อเพลิงออกมาได้หมด อุณหภูมิแก๊สที่ได้ก็จะไม่สูงสุด ถ้าอากาศมากเกินไป ความร้อนที่ได้จากการเผาไหม้เชื้อเพลิง (ขึ้นกับปริมาณเชื้อเพลิง) จะต้องเฉลี่ยไปยังอากาศส่วนเกินเพื่อทำให้อากาศส่วนเกินนั้นมีอุณหภูมิสูงขึ้นไปด้วย ยิ่งอากาศเกินมามาก ความร้อนที่ได้เท่าเดิมก็ต้องเฉลี่ยออกไปมาก อุณหภูมิแก๊สร้อนเฉลี่ยก็จะลดลง โดยในทางปฏิบัตินั้น การเผาไหม้เชื้อเพลิงจะทำได้สมบูรณ์เมื่อมีอากาศมากเกินพอเล็กน้อย (มันมีเรื่องรูปแบบการผสมระหว่างเชื้อเพลิงกับอากาศ และระยะเวลาการเผาไหม้เข้ามายุ่ง) ในอุบัติเหตุครั้งนี้โอเปอร์เรเตอร์เข้าใจว่าที่เห็นปริมาณอากาศส่วนเกินลดต่ำลงเป็นเพราะป้อนอากาศให้ไม่พอ แต่ในความเป็นจริงน่าจะเกิดจากท่อในเตาเผาเริ่มฉีกขาด ทำให้น้ำมันในท่อรั่วออกมาลุกติดไฟ อากาศส่วนเกินก็เลยลดลง และเป็นเปลวไฟสีเหลืองเกิดขึ้นในเตาเผา

เหตุการณ์ในช่วงเวลาก่อนเกิดเหตุนั้นมีโอเปอร์เรเตอร์จากหน่วยอื่นเข้ามาร่วมงาน แต่ในขณะที่โอเปอร์เรเตอร์จากหน่วยอี่นกำลังเดินออกไปโดยมีเพียงโอเปอร์เรเตอร์หลักที่ดูแลเตาเผานั้นอยู่ในบริเวณดังกล่าวเพียงรายเดียว ก็เกิดการระเบิดขึ้น ทำให้โอเปอร์เรเตอร์หลักที่อยู่ตรงเตาเผานั้นเสียชีวิต

การตรวจสอบเตาเผาด้านตะวันออกที่เกิดการระเบิดนั้นพบว่า ท่อแถวที่สอง (นับจากด้านล่าง) หลุดจากตำแหน่งที่ควรอยู่ตรงกึ่งกลางของเตามากระแทกผนังด้านทิศตะวันออก แรงกระแทกรุนแรงถึงขึ้นทำให้ผนังเตาด้านทิศตะวันออกเกิดความเสียหาย ท่อบริเวณดังกล่าวมีรอยฉีกขาดยาว 4 ฟุต 8 นิ้วโดยอยู่ห่างจากปลายด้านทิศใต้ประมาณ 18ฟุต (นั่นแสดงว่ารอยฉีกขาดอยู่ทางทิศตะวันตก น้ำมันภายใต้ความดันสูงที่ฉีดพ่นออกมาจึงดันให้ท่อเคลื่อนตัวไปทางทิศตะวันออก)

การตรวจสอบเนื้อโลหะของท่อพบว่ารอยแตกเกิดจาก "การคืบ (creep)" เนื่องจากเนื้อโลหะของท่อบริเวณดังกล่าว (ตรงกับหัวเตาหมายเลข 58) ถูกเปลวไฟพุ่งกระทบโดยตรง การสอบสวนไม่สามรถระบุสาเหตุที่เป็นต้นตอได้ แต่กล่าวไว้ว่าสามารถเกิดได้จากหลายสาเหตุเช่น เศษอิฐทนไฟเข้าไปติดหรือไปสะสมบริเวณหัวเตา, การเปลี่ยนทิศทางของเปลวไฟหรือเปลวไฟถูกทำให้เบี่ยงทิศทาง, การสะสมของโค้ก (coke คือคราบคาร์บอน) บนรูของหัวเตา หรือการเสื่อมสภาพของอิฐทนไฟที่เป็นที่ติดตั้งหัวเตา (คือเปลวไฟที่พุ่งออกมาจากหัวเตาจะถูกอิฐทนไฟเบียงทิศทางให้พุ่งขึ้นบนแทนที่จะพุ่งเข้าหาท่อโดยตรง)

สัญญาณเตือนอุณหภูมิผิวท่อสูงเกินนั้นเดิมถูกตั้งไว้ที่ 970ºF (ประมาณ 521ºC) แต่ต่อมาได้ถูกปรับขึ้นเป็น 990ºF (ประมาณ 532ºC) จากการตรวจสอบเนื้อโลหะ (สแตนเลสสตีลเบอร์ 347) พบการเปลี่ยนแปลงโครงสร้างที่จะเกิดในช่วงอุณหภูมิ 1300-1500ºF (ผิวท่อบริเวณดังกล่าวไม่มีตัวตรวจวัดอุณหภูมิติดตั้งไว้) ผู้เชี่ยวชาญประมาณไว้ว่าที่อุณหภูมิ 1300ºF อายุการใช้งานของท่อจะเหลือเพียง 1000 ชั่วโมง และที่อุณหภูมิ 1500ºF อายุการใช้งานจะเหลือเพียงแค่ 8 ชั่วโมง

"การล้า" หรือ "ความล้า" หรือที่ภาษาอังกฤษเรียกว่า "creep" นั้นเกิดเมื่อวัสดุนั้นมีแรงกระทำที่ไม่สูงถึงขึ้น yield strength (ความเค้นสูงสุดที่วัสดุรับได้ก่อนเกิดการเปลี่ยนแปลงรูปร่างถาวร) แต่แรงกระทำนั้นมากพอและกระทำต่อเนื่องเป็นเวลานาน ในที่นี้แรงกระทำคือความดันภายในท่อที่พยายามดันให้ท่อบวมออก ถ้าท่อมีความแข็งแรงเพียงพอท่อก็จะไม่เกิดความเสียหายใด ๆ แต่ที่อุณหภูมิสูงขึ้น ความแข็งแรงของท่อจะลดลง (ค่า yield strength ลดต่ำลง) ในขณะที่แรงกระทำที่เกิดจากความดันภายในท่อยังคงเท่าเดิม ดังนั้นเมื่อเวลาผ่านไปนานพอท่อก็จะเกิดการฉีกขาดได้

รายงานต้นฉบับดาวน์โหลดได้ที่ https://ncsp.tamu.edu/reports/WHSCC/irvingreport.pdf

เพลิงไหม้และการระเบิดที่ BP Oil (Grangemouth) Refinery 2530(1987) Case 2 การระเบิดที่หน่วย Hydrocraker ตอนที่ ๕ MO Memoir : Saturday 24 November 2561

ก่อนถึงยุคของดิจิตอลคอมพิวเตอร์และจอแสดงผล ในห้องควบคุมก็จะมีการสร้างแผนผังโรงงานที่แสดงการเชื่อมต่อและสภาวะการทำงานของหน่วยต่าง ๆ เอาไว้ที่เรียกว่า mimic panel ดังเช่นรูปที่ ๒๐ ข้างล่าง แผงผังนี้อาจจะเป็นแผงที่ผนังด้านใดด้านหนึ่งของห้อง หรือเป็นแผงที่ยกระดับสูงจากพื้น (เพื่อที่จะได้มองเห็นได้จากมุมต่าง ๆ ของห้อง) บนแผงนี้ก็จะมีการติดตั้งหลอดไฟสีต่างเพื่อแสดงสภาวะการทำงานของหน่วยต่าง ๆ เช่น ไฟสีเขียวคือบอกว่าปั๊มกำลังเดินเครื่องอยู่ ไฟสีแดงกระพริบแสดงถึงสัญญาณเตือนที่ยังไม่มีการกดปุ่มรับรู้ (ที่มักมาควบคู่กับสัญญาณเสียง) ไฟสีแดงติดต่อเนื่องแสดงถึงสัญญาณเตือนที่มีการรับรู้แล้ว (ทำให้สัญญาณเสียงหายไป แต่สัญญาณไฟยังคงค้างอยู่) แต่สภาวะที่ทำให้เกิดสัญญาณเตือนนั้นยังไม่หายไป และใต้ mimic panel นี้ก็จะมีการติดตั้งอุปกรณ์แสดงค่าที่วัดได้ อุปกรณ์แสดงค่าและควบคุม ฯลฯ เอาไว้ในตำแหน่งที่ใกล้เคียงกับตำแหน่งที่วัดจริงหรือควบคุมจริงบนแผนผัง

รูปที่ ๒๐ ตัวอย่าง mimic panel (ที่เลิกใช้งานแล้ว) ของโรงกลั่นเบียร์แห่งหนึ่ง ที่ข้างใต้มีการติดตั้งทั้งอุปกรณ์แสดงค่าที่วัดได้และอุปกรณ์ควบคุม เรียกว่าอุปกรณ์ควบคุม 1 ชิ้นต่อ 1 control loop ตัวอุปกรณ์ควบคุมบางทีก็สามารถดึงออกมาจากทางด้านหน้าได้หรือตัว mimic panel เองก็สามารถเดินอ้อมไปทางด้านหลังได้เพื่อทำการเชื่อมต่อ/ปลดวงจร

ผมคิดว่าห้องทำงานในห้องควบคุมที่โรงกลั่นน้ำมัน BP เมื่อปีพ.ศ. ๒๕๓๐ ก็คงมีรูปแบบทำนองเดียวกันนี้ ที่วันนี้ยกเอาเรื่องนี้ขึ้นมาก่อนก็เพื่อให้ผู้ที่ไม่เคยได้เห็นภาพในห้องควบคุมพอจะมีภาพบ้างว่าบรรยากาศการควบคุมโรงงานเป็นอย่างไร เวลาที่มีการกล่าวถึงสัญญาณไฟว่าติดค้างหรือไม่ติดนั้นมันคืออะไร เพราะยุคนั้นใช้หลอดไฟสำหรับไฟสัญญาณเตือนสีต่าง ๆ บน mimic panel ไม่ได้ใช้การแสดงผลเป็นสีต่าง ๆ บนจอภาพสีเหมือนในปัจจุบัน

รูปที่ ๒๑ ตัวอย่างอุปกรณ์แสดงผล (เฉพาะสามตัวที่อยู่ตรงกลาง) ที่ใช้กับ mimic panel ในรูปที่ ๒๐ โดยตัวซ้ายแสดงค่าอุณหภูมิในช่วงจาก 20-120ºC ส่วนตัวขวาแสดงค่าความดันในช่วง 0.0-0.6 bar โดยตัวเข็มชี้ (ที่ลูกศรสีแดงชี้) จะเลื่อนขึ้น-ลง ตามสัญญาณที่ได้รับมา โดยสัญญาณ 4 mA จะทำให้เข็มชี้อยู่ที่ตัวเลขล่างสุด และสัญญาณ 20 mA จะทำให้เข็มชี้อยู่ที่ตัวเลขบนสุด (ช่วงค่าสัญญาณนี้ระบุไว้ในกรอบสี่เหลี่ยมสีเหลือง) พอปลดสายไฟออก (หรือเทียบเท่าสัญญาณเป็น 0 mA) เข็มชี้ก็เลยตกลงต่ำกว่าตัวเลขล่างสุด ส่วนสองตัวนอกสุดด้านซ้ายขวานั้นเป็นรุ่นใหม่กว่าและเป็นตัวที่ทำหน้าที่ควบคุมด้วย

ทีนี้เราลองมาดูต่อกันว่าในเช้าวันเกิดเหตุนี้มีการทำงานอะไรกันบ้าง

๓๗. ผลจากการทำงานของ Temperature cut out (TCO) จึงทำให้ต้องเดินหน่วย hydrocracker ในสภาวะ standby (หรือเตรียมความพร้อม) ทำให้ไม่มีน้ำมันไหลมาจาก V308 (Feed surge drum) อย่างไรก็ตามของเหลวที่ค้างอยู่ใน V301-V304 (เครื่องปฏิกรณ์ต่าง ๆ) ยังคงไหลเข้าไปใน V305 (HP separator) อันเป็นผลจากการทำงานของระบบ recycling gas ซึ่งต้องใช้เวลาหลายชั่วโมงกว่าจะหมด
 

ในการทำงานตามปรกตินั้นจะควบคุมระดับของเหลวใน V305 ด้วยการให้มีอัตราการไหลที่คงที่ผ่าน HIC 3-22 (ทำงานด้วยระบบ manual คือคงเปิดวาล์วค้างเอาไว้ที่ระดับหนึ่งที่ต้องไม่มากเกินไป) และปรับค่าการเปลี่ยนแปลงต่าง ๆ โดยใช้ LIC 3-22 ที่ทำงานด้วยระบบอัตโนมัติ อย่างไรก็ตามเมื่อระบบอยู่ในสถานะ standby พบว่าระดับของเหลวใน V305 อยู่ในสภาพที่เอาแน่เอานอนไม่ได้ และการให้ LIC 3-22 ทำอย่างอย่างอัตโนมัติจะไม่สามารถจัดการกับความแปรปรวนเช่นนั้นได้ จึงได้ทำการปรับ LIC 3-22 เข้าสู่สภาวะ manual (คือให้โอเปอร์เรเตอร์หมุนปรับแต่งระดับการเปิดของวาล์วเอง) แต่การทำงานในสภาวะ manual ต้องมีการคอยควบคุมระดับของเหลวใน V305 ให้อยู่ในระดับที่ปลอดภัยอย่างเข้มงวด และเมื่อถึงเวลาประมาณ ๖.๐๐ น น้ำมันก็หยุดไหลเข้า V305 โดย boardman (คนที่ทำหน้าที่คอยเฝ้า mimic panel) ให้การว่าจากนั้นจึงได้ทำการปิด HIC 3-22 และ LIC 3-22 ด้วยระบบ manual (การทำงานแบบ manual ในกรณีนี้คือการปรับตรงให้วาล์วปิดตัวเอง ไม่ได้ใช้การตั้งค่า flow ให้เป็นศูนย์ แล้วค่อยให้ระบบควบคุมสั่งปิดวาล์ว)
 

ทีมโอเปอร์เรเตอร์คือทีมที่มีหน้าที่เข้ากะเพื่อเดินเครื่องโรงงาน ทีมนี้ก็จะมีหัวหน้าทีม (ที่อาจเรียกว่าหัวหน้ากะ) และผู้ร่วมทีมงานที่ปฏิบัติหน้าที่หลักต่าง ๆ กัน (เช่นตรวจดูแล เปิด-ปิดวาล์ว อุปกรณ์ ในแต่ละส่วนของโรงงานที่ได้มอบหมาย หรือออกไปตรวจว่าเกิดอะไรขึ้นเมื่อมีสัญญาณเตือน) แต่จำเป็นต้องมีอย่างน้อยหนึ่งคนที่มีหน้าที่เฝ้า mimic panel (ปัจจุบันก็คงเป็นจอคอมพิวเตอร์แล้ว กลายเป็น mimic screen แทน) และคอยปรับแต่งการเปิด-ปิดวาล์วหรืออุปกรณ์ต่าง ๆ จากห้องควบคุม ผู้ปฏิบัติหน้าที่นี้เรียกว่า boardman ตัวอย่างเช่นถ้ามีสัญญาณเตือน boardman ก็จะตรวจว่าเกิดอะไรขึ้น และทำการปรับแต่ง (เช่นด้วยการเปิด-ปิดวาล์วต่าง ๆ) เพื่อให้สภาวะที่ทำให้เกิดสัญญาณเตือนหมดไป ถ้าจำเป็นต้องมีการไปเปิด-ปิดวาล์วข้างนอกห้องควบคุม ก็จะเป็นหน้าที่ของโอเปอร์เรเตอร์คนอื่นที่ไม่ใฃ่ boardman

รูปที่ ๒๒ ตัวซ้ายคือ LIC 3-22 controller ส่วนตัวขวาคือ HIC 3-22 controller แถบดำพาดขวางหน้าจอด้านบนคือแถบขีดอ่านข้อมูล พึงสังเกตว่าจะมีช่วงหนึ่งที่เป็นแถบดำเส้นเล็ก ๆ (ในกรอบสี่เหลี่ยมสีแดง) ที่ไว้สำหรับอ่านค่าตัวเลขบนหน้าปัดที่หมุนขึ้นลงอยู่ด้านหลัง ค่าตัวเลขบนหน้าปัดนี้อาจเป็น "%" ของสัญญาณ (เช่นตัวซ้ายที่เป็นของ LIC 3-22 และตัวขวาที่เป็นของ HIC 3-22 ที่บอกว่าวาล์วเปิดอยู่ที่ระดับกี่ %) หรือบอกค่าสิ่งที่ต้องการวัด (เช่น ความดัน อัตราการไหล อุณหภูมิ ดังตัวอย่างในรูปที่ ๒๑)
 

๓๘. ในช่วงเวลานั้นตัว boardman เองมุ่งความสนใจไปที่การ trip ที่เกิดจากการทำงานของ TCO ที่ยังไม่มีเหตุผลอธิบาย การสั่นอย่างผิดปรกติของคอมเพรสเซอร์ C301 และสภาพการทำงานของหน่วยที่อยู่ downstrem ลงไป (ก็เพราะมันไม่มีน้ำมันไหลไปยังหน่วยเหล่านั้น) มากกว่าการให้ความสนใจไปยังระดับของเหลวใน V305
 

ซึ่งประเด็นเรื่องการมุ่งความสนใจนี้ทางคณะกรรมการสอบสวนได้บันทึกเอาไว้ว่า เนื่องด้วยการที่ต้องเดินเครื่องในสภาวะ standby เป็นเวลานานนั้นไม่ได้เกิดขึ้นบ่อยครั้ง และตัวโอเปอร์เรเตอร์ (ในที่นี้ก็คงคือ boardman) ก็ไม่เคยมีประสบการณ์มาก่อนด้วย ตรงนี้น่าจะเป็นการชี้ให้เห็นถึงความสำคัญของการบันทึกประสบการณ์และการถ่ายทอดประสบการณ์จากรุ่นหนึ่งไปยังอีกรุ่นหนึ่ง โดยเฉพาะกับสถานการณ์ที่นาน ๆ เกิดขึ้นและยังมีความเป็นไปได้ที่จะเกิดขึ้นอีก

๓๙. เมื่อ boardman ยืนยันว่าได้ปิดวาล์ว แต่หลักฐานยืนยันว่าวาล์ว LIC 3-22 ยังคงเปิดอยู่ คำถามก็คือว่าวาล์วตัวนี้เปิดได้อย่างไร ซึ่งก็ได้มีการพิจารณาประเด็นต่าง ๆ ต่อไปนี้

(ก) ในสภาพที่อากาศเย็นและระบบอยู่ในสภาวะ standby ที่ไม่มีการไหล น้ำมันที่อยู่ในท่อส่วนที่ไม่มีการหุ้มฉนวนที่มุ่งไปยัง HIC 3-22 และ LIC 3-22 มีโอกาสที่จะแข็งตัว (กลายเป็น wax) และทำให้ท่ออุดตันได้ ดังนั้นเพื่อป้องกันไม่ให้ท่ออุดตันจึงต้องมีการปล่อยให้ของเหลวที่อุ่นไหลผ่านเล็กน้อยด้วยการเปิดวาล์วแบบ manual การยืนยันว่ามีการไหลกระทำโดยการสังเกตการเปลี่ยนแปลงระดับใน V305 และ V306 และความดันใน V306 ที่เพิ่มขึ้นเนื่องจากแก๊สที่ระเหยออกมาจากของเหลว (ที่ความดันสูงแก๊สจะละลายในของเหลวได้มาก พอความดันลดลงก็จะระเหยออกมา แก๊สตรงนี้เป็นแก๊สที่ละลายอยู่ในน้ำมัน) และการรั่วไหลของแก๊สจะสังเกตได้จากความดันใน V306 ที่เพิ่มขึ้น
 

Unconfined vapour cloud explosion (UVCE) ครั้งแรกในไทยเมื่อธันวาคม ๒๕๓๑ ก็ดูเหมือนว่าจะเกิดจากการใช้ความดันในการไล่สิ่งอุดตันที่ค้างอยู่ในท่อด้วย (อ่านเรื่องนี้ได้ใน Memoir ปีที่ ๑๑ ฉบับที่ ๑๕๙๙ วันพุธที่ ๒๙ สิงหาคม ๒๕๖๑ เรื่อง "UVCE case 1 TPI 2531(1988)")
 

เทคนิคการป้องกันไม่ให้ท่ออุดตันหรือใช้ความดันไล่สิ่งอุดตันนี้ตัว boardman ที่ทำงานอยู่ในเวลานั้นไม่เคยได้รับการฝึกฝนมาก่อน และก็ไม่เคยมีใครให้คำอธิบายด้วย แต่ไม่กี่วันก่อนหน้านั้นในช่วงที่ทำการเริ่มเดินเครื่อง เขาได้อยู่ในห้องควบคุมและได้เห็น senior technician ใช้แก๊สเป่าไล่ท่อนี้เพื่อเตรียมการเริ่มเดินเครื่อง นอกจากนี้โอเปอร์เรเตอร์อีกคนหนึ่งยังจำได้ว่าประมาณ ๒ ปีก่อนหน้านั้นก็เคยได้ยินเสียงแก๊สรั่วเข้าไปใน V306 จนทำให้วาล์วระบายความดันเปิด แต่ boardman สั่งปิดวาล์วควบคุมการไหลได้ทันเวลา เหตุการณ์ "near miss" (คือเกือบจะเป็นเรื่อง) ครั้งนั้นไม่ได้มีการรายงานไปยังระดับ supervisor หรือ managerment และก็ไม่มีการสอบสวนใด ๆ ซึ่งประเด็นนี้ทางทีมสอบสวนคงต้องการชี้ว่าการสอบสวนอุบัติเหตุไม่ควรจำกัดเพียงแค่อุบัติเหตุที่ได้เกิดขึ้นแล้ว แต่ควรครอบคลุมไปยังเหตุการณ์ near miss ด้วย

(ข) การที่ FIC 3-21 ที่ส่งของเหลวจาก V306 ไปยังหน่วยกลั่นแยกนั้นปิดได้ไม่สนิทถ้าใช้การสั่งการจากห้องควบคุม ดังนั้นจึงต้องเปิดไปปิดวาล์วดังกล่าวด้วยมือ (ซึ่งได้มีการทำงานดังกล่าว) และก่อนที่จะเริ่มเดินเครื่องใหม่นั้นก็ต้องทำให้ระดับของเหลวใน V306 มากเพียงพอก่อน ซึ่งทำได้ด้วยการเปิดวาล์ว (ด้วยระบบ manual) เพื่อให้ของเหลวใน V306 มีมากเพียงพอที่อุปกรณ์วัดระดับจะวัดได้ เรื่องนี้ได้กล่าวเอาไว้ข้างแล้วในข้อ ๓๖.

(ค) การจัดวางตัวอุปกรณ์ควบคุมที่มีรูปแบบคล้ายคลึงกันไว้เคียงข้างกัน (ดูรูปที่ ๒๒) อาจทำให้โอเปอร์เรเตอร์นั้นทำผิดพลาดด้วยการไปหมุนปุ่ม LIC 3-22 คือไม่ได้ตั้งใจจะไปหมุนปุ่มควบคุม LIC 3-22 แต่ผิดพลาดไปหมุนเข้าโดยไม่รู้ ทำให้ไม่คิดที่จะสังเกตการเปลี่ยนแปลงระดับใน V305 ที่ลดต่ำลง ตรงประเด็นนี้รายงานการสอบสวนบันทึกเอาไว้ว่าเป็นเหตุการณ์ที่ "unlikely" แต่ก็ไม่ได้ตัดทิ้งไปโดยไม่ถูกกล่าวถึง
 

(ง) โอเปอร์เรเตอร์เชื่อค่าระดับของเหลวใน V305 ที่ nucleonic gauge อ่านได้แม้ว่ามันจะมีค่า "zero offset" ก็ตาม และด้วยการที่ระดับของเหลวใน V306 นั้นต่ำกว่าระดับที่ float gauge จะอ่านค่าได้ (แถมมี zero offset เช่นกัน) ดังนั้นเมื่อโอเปอร์เรเตอร์เปิดวาล์ว LIC 3-22 และไม่เห็นค่าระดับของเหลวใน V305 ที่ nucleonic gauge อ่านได้ลดต่ำลง (ทั้ง ๆ ที่ในความเป็นจริงมันก็ลงต่ำสุดอยู่แล้ว) และไม่เห็นระดับใน V306 เพิ่มขึ้น (เพราะระดับของเหลวต่ำเกินกว่าที่ float gauge จะอ่านค่าได้) จึงอาจทำให้สมมุติว่าวาล์ว LIC 3-22 นั้นยังคงปิดอยู่ และทำให้มีการเปิดวาล์วมากขึ้นไปอีกหรือเปิดนานขึ้นอีก
 

ตรงนี้ขอทบทวนนิดนึง ระดับต่ำสุดของของเหลวใน V305 ที่ nucleonic gauge สามารถอ่านได้นั้นมันสูงกว่าระดับที่ float gauge อ่านได้ แต่ด้วยการที่โอเปอร์เรเตอร์นั้นเชื่อค่าจาก nucleonic gauge มากกว่าค่าจาก float gauge ประกอบกับการที่ค่าระดับ 0% (ค่าต่ำสุดที่วัดได้) ของ nucleonig gauge นั้นถูกตั้งให้อยู่ที่ระดับ 10% บนกระดาษบันทึกผล จึงทำให้โอเปอร์เรเตอร์คิดว่าการที่เห็นระดับอ่านได้คงที่ 10% นั้นแสดงว่าไม่มีของเหลวไหลออกจาก V305

๔๐. การเปิดวาล์ว LIC 3-22 ด้วยการควบคุมแบบ manual เพื่อให้ของเหลวหรือแก๊สที่อุ่นไหลผ่านเส้นท่อจำเป็นต้องได้รับการอนุมัติจาก supervisor เนื่องจากจำเป็นที่ต้องมีการ bypass ระบบ safety trip และด้วยการที่รู้ว่าการปฏิบัตินี้มีอันตราย จึงได้มีการกำหนดให้ต้องปฏิบัติภายใต้การควบคุมอย่างใกล้ชิด และตัวโอเปอร์เรเตอร์เองต้องให้ความสนใจไปยังอุปกรณ์วัดคุมต่าง ๆ ซึ่งตรงนี้รายงานได้มีการนำเอาข้อความที่มีการบันทึกไว้ใน log book มาบันทึกไว้ดังนี้
 

๑๗ ตุลาคม ๑๙๘๖ "once all was appears to have been removed, block in and leave for 2 hours, then check by opening LIC 3-22 carefully to avoid over-pressuring the LP separator. Repeat every 2 hours" 
  

และอีกครั้งเมื่อวันที่ ๑๓ มีนาคม ๑๙๘๗ "with caution and care, sweep hydrogen from the HP through the LP and the multilocks to the ractionator to try to removed as much wax from the lines as possible"

ดูเหมือนว่าจะรู้กันว่างานนี้เป็นงานอันตราย แต่ไม่รู้ว่าอันตรายนั้นจะรุนแรงแค่ไหนถ้าเกิดขึ้น

รูปที่ ๒๓ ตารางแสดงผลการคำนวณโดย HSE ว่า LIC 3-22 ควรต้องเปิดอย่างน้อยกี่ % จึงจะทำให้ความดันใน V306 สูงถึงระดับ 50 bar (ค่าที่เชื่อว่าค่าความดันที่ทำให้ V306 ระเบิด) 
  

๔๑. ประเด็นสำคัญอีกประเด็นที่ต้องหาคำตอบก็คือ LIC 3-22 ควรต้องเปิดอย่างน้อยกี่ % จึงจะทำให้ความดันใน V306 สูงถึงระดับ 50 bar (ค่าที่เชื่อว่าค่าความดันที่ทำให้ V306 ระเบิดที่ได้มาจากการคำนวณแรงที่ต้องใช้ทำให้ชิ้นส่วนขนาดต่าง ๆ ปลิวไปเป็นระยะทางต่าง ๆ) และใช้เวลานานเท่าใดจึงจะถึงระดับความดันดังกล่าว ผลการทดสอบและการคำนวณที่กระทำโดย HSE (Health & Safety Executive) แสดงไว้ในรูปที่ ๒๓ ตรงนี้จะเห็นว่าถ้า LIC 3-22 เปิดไม่ถึงระดับ 40% วาล์วระบายความดันบนตัว V306 จะระบายความดันได้ทันและไม่ทำให้ความดันใน V306 สูงถึง 50 bar ได้
 

ข้อมูลที่ HSE มีก็คืออัตราการลดระดับของของเหลวใน V305 ซึ่งตรงนี้ถ้าสมมุติว่า LIC 3-22 เปิดคงที่ ก็ต้องหาว่านับจากเวลาที่เห็นของเหลวไหลออกจาก V305 จนหมด จนถึงเวลาที่ V306 นั้น LIC 3-22 ต้องเปิดค้างไว้ที่ระดับกี่ % เป็นอย่างน้อย ซึ่งในการสอบสวนนั้นก็มีการหาค่าอัตราการไหลผ่านวาล์วของทั้งของเหลวและแก๊สที่ระดับการเปิดวาล์วต่าง ๆ

๔๒. เมื่อมีการเข้าไปในห้อง control room ภายหลังการระเบิด supervisor รายงานว่า LIC 3-22 อยู่ที่ตำแหน่ง "manual" และเปิดที่ระดับ "100%" แต่เมื่อเจ้าหน้าที่จาก HSE เข้าไปตรวจสอบภายหลังกลับพบว่า LIC 3-22 อยู่ที่ตำแหน่ง "ปิด" และอุปกรณ์ควบคุมต่าง ๆ ก็อยู่ในตำแหน่งที่แตกต่างไปจากในรายงานของ supervisor แต่รายงานของ supervisor ได้รับการยืนยันความถูกต้องด้วยโอเปอร์เรเตอร์อีก ๒ คน (ที่เข้าไปปรับเปลี่ยนตำแหน่งของอุปกรณ์ควบคุมต่าง ๆ) ในอีกหลายเดือนให้หลัง อย่างไรก็ตามทางคณะกรรมการสอบสวนก็ไม่สามารถหาคำอธิบายได้ว่าทำไม LIC 3-22 จึงไปอยู่ที่ตำแหน่งเปิดเต็มที่ก่อนเกิดการระเบิด และด้วยการที่ระบบควบคุมนั้นเป็นระบบที่สร้างขึ้นในช่วงปลายทศวรรษ 1960 ทางคณะกรรมการสอบสวนจึงได้ให้ความเห็นที่เป็นไปได้ที่อาจนำไปสู่อุบัติเหตุที่เกิดขึ้นไว้ดังนี้

(ก) ความผิดพลาดที่เกิดจากการประมาณค่าปริมาตรหรือความลึกของของเหลวใน V305 และ V306 ผิดไป เนื่องจากอุปกรณ์วัดระดับให้ช่วงการวัดระดับที่แตกต่างกันและไม่สัมพันธ์กัน และไม่ได้บ่งบอกถึงปริมาณของเหลวใน vessel

(ข) การที่ไม่มีการวัดการไหลจาก V305 ไปยัง V306 โดยตรง ทำให้ต้องอิงจากระดับของเหลวที่อ่านได้ใน V305 และ V306 แทน นำไปสู่การตั้งข้อสมมุติที่ผิดได้ อย่างเช่นในเหตุการณ์นี้คือระดับของเหลวนั้นต่ำกว่าระดับที่อุปกรณ์วัดระดับจะวัดได้ แต่มีการตั้งค่าอุปกรณ์วัดระดับให้มี offset (คือตั้งค่าวัดจริงที่เป็นศูนย์ให้แสดงค่าสูงกว่าศูนย์) ดังนั้นแม้ว่าจะมีของเหลวไหลออกจาก V305 ไปยัง V306 จริง โอเปอร์เรเตอร์ก็จะเข้าใจว่าไม่มีการไหลเกิดขึ้น

(ค) ความผิดพลาดที่เกิดจากการติดตั้งอุปกรณ์ควบคุมที่คล้ายคลึงกัน (ที่ทำหน้าที่ต่างกัน) ไว้เคียงข้างกัน อาจทำให้เกิดการหมุนปรับผิดตัวได้

(ง) ในสถานการณ์ที่มีความเครียดสูงอาจทำให้เกิดการหมุนปุ่มปรับผิดทิศได้

(จ) ความผิดพลาดสามารถเกิดขึ้นได้ถ้าหากทำการปรับเปลี่ยนรูปแบบการควบคุมวาล์วจาก auto ไปเป็น manual โดยที่ไม่มีการปรับ balance ก่อน และไม่ได้มีการตรวจสอบตำแหน่งปุ่มปรับ manual ว่าอยู่ที่ตำแหน่งใด การปรับ balance ตรงนี้คือการตั้งปุ่มปรับ manual ให้อยู่ที่ระดับที่วาล์วเปิดอยู่ในขณะที่อยู่ในการทำงานรูปแบบ auto ก่อน จากนั้นจึงค่อยปรับรูปแบบการควบคุมจาก auto ไปเป็น manual เพราะถ้าไม่ทำเช่นนี้ เช่นสมมุติว่าขณะที่ทำการควบคุมแบบ auto นั้นวาล์วเปิดอยู่ 30% แต่ปุ่มปรับ manual นั้นอยู่ที่ตำแหน่งเปิด 100% ดังนั้นเมื่อทำการปรับการควบคุมจาก auto ไปเป็น manual ก็จะเกิดปัญหาการเปลี่ยนตำแหน่งวาล์วอย่างกระทันหันได้

๔๓. ในช่วงท้ายของรายงานการสอบสวน คณะกรรมการสอบสวนได้สรุปผลการสอบสวนเอาไว้ดังนี้ (ผมไม่ได้เขียนแยกตามรายข้อที่ปรากฏในรายงาน บางข้อมีการยุบรวมและบางจุดมีการเพิ่มเติมรายละเอียดเข้าไปเล็กน้อยเพื่อช่วยเตือนความจำ)

๔๓.๑ V306 LP separator ได้รับความดันสูงถึงประมาณ 50 bar ก่อนเกิดการระเบิด ซึ่งสูงกว่าความดันทำงานปรกติมาก (ความดันทำงานปรกติอยู่ที่ 9 bar) โดยความดันที่สูงเกินมาจากแก๊สไฮโดรเจนที่ความดัน 155 bar จาก V305 HP separator ไหลเข้ามา

๔๓.๒ แก๊สไฮโดรเจนความดันสูงจาก V305 ไหลเข้า V306 ทางวาล์วระบายของเหลว LIC 3-22 ที่เปิดอยู่ (ในขณะที่วาล์ว HIC 3-22 และวาล์ว bypass นั้นปิดอยู่ ซึ่งตรงนี้รู้ได้จากการมีของแข็งตกค้างในเส้นท่อสองเส้นนี้)

๔๓.๓ LIC 3-22 ไม่ได้อยู่ภายใต้การควบคุมอัตโนมัติ ดังนั้นจึงสามารถตัดความเป็นไปได้ที่ว่าเหตุการณ์นี้เกิดจากความบกพร่องของ float gauge ของ V305 (ที่เป็นตัวส่งสัญญาณควบคุมอัตโนมัติ) และการที่สายไฟของวงจรควบคุมถูกปลด ออกไป (ที่สามารถทำให้ LIC 3-22 อยู่ในตำแหน่งเปิด)

๔๓.๔ ไม่พบความบกพร่องของ Level indicator controller และ pueumatic position ของ LIC 3-22 ดังนั้นอุปกรณ์สองชิ้นนี้ไม่เกี่ยวข้องกับการเปิดของ LIC 3-22 (เรียกว่าจะไปโทษอุปกรณ์ไม่ได้)

๔๓.๕ มีการเปิด LIC 3-22 แบบ manual มากเกินกว่า 40% และเป็นไปได้ที่จะเปิดถึง 100%

๔๓.๖ การปิดวาล์วในกรณีฉุกเฉินในกรณีที่ระดับของเหลวใน V305 ต่ำมากเกินไปนั้น พึ่งพิงแต่ LIC 3-22 และ HIC 3-22 เท่านั้น โดยไม่มีวาล์วปิดกั้นการไหลที่ทำงานได้อย่างอิสระบนเส้นท่อจาก V305 ไปยัง V306

๔๓.๗ ระบบสายไฟไปยัง dump solenoid valve ของ LIC 3-22 ถูกปลดออกประมาณ ๕ ปีก่อนหน้า ทำให้ LIC 3-22 ไม่ปิดตัวลงเมื่อระดับของเหลวใน V305 ลดต่ำลงมาก และ trip solenoid valve ของ HIC 3-22 ยังถูก bypass

๔๓.๘ ระบบสัญญาณเตือนการตรวจจับระดับของเหลวที่ต่ำมากไม่ทำงาน และโอเปอร์เรเตอร์ไม่รู้ว่าสถานการณ์อันตรายกำลังเกิดขึ้น

๔๓.๙ เนื่องจาก hydrocracker อยู่ในสภานะ standby ทำให้เส้นทางการไหลปรกติจาก V306 (ที่ไปยังหน่วย amine และหน่วยกลั่นแยก) ถูกปิดเอาไว้ แก๊สที่ไหลเข้ามาจึงต้องออกทางวาล์วระบายความดันเพียงเส้นทางเดียว

๔๓.๑๐ วาล์วระบายความดันบน V306 มีขนาดไม่ใหญ่พอที่จะระบายแก๊สที่ไหลเข้ามาด้วยอัตราการไหลสูงสุดที่เป็นไปได้ จึงไม่สามารถป้องกันเหตุความดันเพิ่มสูงเกินไปได้

๔๓.๑๑ มีการให้ความไว้วางใจกับโอเปอร์เรเตอร์มากเกินไป ในการทำงานควบคุมการไหลจากระบบความดันสูงไปยังระบบความดันต่ำ (ทำนองว่าอุปกรณ์ป้องกันอัตโนมัติที่เคยมีนั้นไม่ทำงาน และไม่คิดจะทำให้มันทำงานได้)
 

๔๓.๑๒ ทางโรงกลั่นเองก็ได้เล็งเห็นถึงอันตรายนี้มาก่อนแล้วในการประเมินความเสี่ยงในปีค.ศ. ๑๙๗๕ และ ๑๙๘๐

๔๔. ทางโรงกลั่นเองก็มีระเบียบปฏิบัติในการตรวจสอบระบบความปลอดภัยเป็นประจำ แต่ checklist บางรายการของหน่วย hydrocracker กลับไม่มี และเป็นที่รู้กันว่าระบบตรวจวัด, trip และสัญญาณเตือนสำหรับกรณี extra-low liquid level ของ V305 ไม่ทำงานมาเป็นเวลานานแล้ว แต่ต่างคิดกันว่านั่นเป็นเพราะเป็นสิ่งที่ไม่ต้องการใช้อีก ถึงแม้ว่า chief instrument engineer ของโรงกลั่นจะได้บันทึกเอาไว้ในปี ๑๙๘๕ ว่าสายไฟ trip solenoid valve ของ LIC 3-22 ถูกปลดออก แต่ก็ไม่มีการดำเนินการใด ๆ

๔๕. คณะกรรมการสอบสวนยังได้ปิดท้ายรายงานการสอบสวนด้วยการนำเสนอมาตรการป้องกันเพื่อไม่ให้เกิดเหตุการณ์ดังกล่าวขึ้นอีกดังนี้

๔๕.๑ ควรมีระบบป้องกันอัตโนมัติที่มีความพร้อมสำหรับการใช้งานสูงในการป้องกันไม่ไห้แก๊สความดันสูงไหลเข้าไปได้ และการออกแบบระบบระบายความดันสูงเกินควรที่จะคำนึงถึงอัตราการไหลที่มากที่สุดที่เป็นไปได้ที่แก๊สความดันสูงจะไหลเข้ามา และควรมีวาล์วปิดกั้นการไหลแยกต่างหากอีกชุดบนเส้นท่อจาก V305 ไปยัง V306 นอกจากนี้ควรมีตัวตรวจวัด extra-low level สองชุดติดตั้งให้กับ V305 โดยให้แต่ละตัวทำงานได้อย่างอิสระในการปิดวาล์ว

๔๕.๒ ระบบ trip และ alarm ต่าง ๆ ควรมีความพร้อมสำหรับการทำงานเสมอ ควรมีการตรวจสอบเป็นระยะ ความบกพร่องที่ตรวจพบควรได้รับการรายงาน บันทึก และดำเนินการแก้ไข

๔๕.๓ การเปลี่ยนแปลงต่าง ๆ เกี่ยวกับตัวโรงงานควรกระทำต่อเมื่อได้มีการพิจารณาผลกระทบด้านความปลอดภัยที่จะเกิดขึ้นตามมาอย่างรอบคอบทุกด้านแล้ว

๔๕.๔ การทำงานในห้องควบคุมควรมีการตรวจสอบการปฏิบัติงานที่ไม่เป็นไปตามขั้นตอนหรือความผิดพลาดที่เกิดขึ้น การออกแบบและแผนผังต่าง ๆ ในห้องควบคุมควรได้รับประเมินเป็นระยะว่าจะเป็นปัจจัยที่สามารถทำให้เกิดความผิดพลาดในการปฏิบัติหน้าที่ได้หรือไม่

๔๕.๖ การป้องกันไม่ให้มีของแข็งอุดตันในเส้นท่อของวาล์ว HIC 3-22 และ LIC 3-22 สามารถกระทำได้ด้วยการหุ้มฉนวนและมีระบบ tracing ให้ความร้อน

๔๕.๗ ควรมีการวิเคราะห์อันตรายและผลที่จะเกิดขึ้นตามมาในการเดินเครื่องหน่วย hydrocracker ควรมีระบบป้องกันที่มากเพียงพอและผู้ที่เกี่ยวข้องทุกคนควรตระหนักถึงอันตรายที่อาจเกิดขึ้นและมาตรการการป้องกันที่จำเป็น

ผลการสอบสวนบ่งชี้ว่า LIC 3-22 นั้นถูกเปิดโดยใครสักคน (จะโดยรู้เท่าไม่ถึงการณ์หรือความผิดพลาดก็ตาม) แต่รายงานไม่มีการระบุว่าใครเป็นคนเปิด และยังได้ชี้ให้เห็นถึงการเปลี่ยนแปลงต่าง ๆ ที่เกิดขึ้นโดยบุคคลอื่นโดยที่ผู้ปฏิบัติงานไม่ทราบว่ามีการเปลี่ยนแปลงดังกล่าว และ Case 2 การระเบิดที่หน่วย Hydrocraker ก็คงจะจบเพียงแค่นี้

เพลิงไหม้และการระเบิดที่ BP Oil (Grangemouth) Refinery 2530(1987) Case 2 การระเบิดที่หน่วย Hydrocraker ตอนที่ ๔ MO Memoir : Saturday 17 November 2561

๒๕. การทำงานของ extra low level trip system ใชัการส่งสัญญาณไฟฟ้าไปยัง dump solenoid valve 2 ตัวที่ควบคุมการไหลของอากาศที่เข้าไปดันแผ่นไดอะแฟรมของวาล์ว LIC 3-22 และ HIC 3-22 วาล์วสองตัวนี้ใช้แรงดันอากาศดันให้วาล์วเปิด ดังนั้นถ้าไม่มีแรงดันอากาศวาล์วจะปิดเนื่องจากแรงของสปริง ตัว dump solenoid valve ทำงานด้วยการจัดเส้นทางการไหลของอากาศว่าจะให้เข้าไปดันแผ่นไดอะแฟรมหรือระบายทิ้งออกสู่อากาศ แต่ dump solenoid valve สองตัวนี้มีรูปแบบการทำงานที่แตกต่างกัน คือของ LIC 3-22 ใช้สัญญาณไฟฟ้ามากระตุ้นให้ระบายอากาศทิ้ง ซึ่งจะทำให้ LIC 3-22 ปิดตัวลง แต่ถ้าไม่มีสัญญาณไฟฟ้าส่งมา เส้นทางการไหลของอากาศก็จะค้างอยู่ในตำแหน่งส่งไปยังแผ่นไดอะแฟรม
 

ส่วนของ HIC 3-22 ใช้สัญญาณไฟฟ้ามากระตุ้นให้คอยส่งอากาศไปยังไดอะแฟรม ซึ่งถ้าไม่มีสัญญาณไฟฟ้าส่งมา มันก็จะปรับไปยังตำแหน่งระบายอากาศทิ้ง ทำให้ HIC 3-22 ปิดตัวลง

ทุกอย่างที่ดูดีตอนออกแบบหรือติดตั้ง เมื่อเวลาผ่านไปสิ่งที่คาดหวังไว้ก็อาจไม่เป็นดังคาด โดยเฉพาะการเปลี่ยนแปลงที่เกิดขึ้นแบบที่หาไม่ได้ว่าใครเป็นคนทำและทำไว้เมื่อใด ซึ่งคงจะมาเล่าในตอนต่อไป

๒๖. การตรวจสอบพบว่าสายไฟที่เชื่อมต่อไปยัง trip solenoid LIC 3-22 ถูกปลดออก "อย่างจงใจ" ที่ "ห้องควบคุม" และ trip solenoid ของ HIC 3-22 ถูกถอดออกและ bypass เอาไว้ (เพราะถ้าไม่ bypass เอาไว้จะทำให้ dump solenoid valve ของ HIC 3-22 ระบายอากาศทิ้ง ซึ่งจะทำให้ HIC 3-22 ปิดตัวลง)
 

ดังนั้นแม้ว่า float switch จะตรวจพบเหตุการณ์ extra low level ที่ V305 สัญญาณไฟฟ้าที่ trip solenoid ส่งไปสั่งให้ dump solenoid valve ของ LIC 3-22 ระบายอากาศทิ้งจะเดินทางไปไม่ถึง (เพราะสายไฟถูกปลดออก) และสัญญาณไฟฟ้าที่ควบคุมให้ dump solenoid valve ของ HIC 3-22 เปิดอยู่จะยังคงค้างอยู่ (เพราะมันไม่ต้องเดินทางผ่าน trip solenoid ที่ถูกถอดออกไป)

๒๗. มีการให้ความเห็นเรื่องการปลดสายไฟของ trip solenoid ของ LIC 3-22 เอาไว้ในบันทึกในปีค.ศ. ๑๙๘๕ (พ.ศ. ๒๕๒๘ หรือประมาณ ๒ ปีก่อนเกิดเหตุ) โดย senior instrument engineer และมีร่างบันทึกการแก้ไขที่อาจทำไว้ก่อนหน้านั้นหลายปี ที่เขียนไว้บนผังการต่อสายที่แสดงให้เห็นว่า การปลดสายไฟนี้เป็น "การปลดเพียงชั่วคราว ทางด้านหลังของแผงควบคุม" ซึ่งตรงประเด็นนี้ได้มีการพิจารณาความเป็นไปได้ ๓ ทางที่ทำให้มีการปลดสายไฟเส้นนี้คือ
 

(ก) สายไฟนี้ถูกพิจารณาว่าเป็นส่วนของ turbine ที่ไม่มีการใช้งานแล้ว จึงไม่มีความจำเป็น
 

(ข) vortex ที่เกิดขึ้นในขณะที่ของเหลวไหลออกจาก V305 มักทำให้เกิดสัญญาณลวงบ่อยครั้ง และในช่วงที่กำลังการผลิตสูง สัญญาณลวงนี้มักทำให้เกิดความยากลำบากในการเดินเครื่อง
 

(ค) การเข้าไปใช้งานวาล์ว bypass SP25 (รูปที่ ๑๒ ในตอนที่แล้ว) ทำได้ยุ่งยาก ทำให้โอเปอร์เรเตอร์ต้องการที่จะสามารถเปิด LIC 3-22 ได้แม้ว่าระดับของเหลวจะต่ำกว่าระดับ extra-low level ทั้งนี้เพื่อให้สามารถระบายของเหลวออกจาก V305 ได้หมดก่อนที่จะทำการหยุดเดินเครื่อง
 

เวลาที่ของเหลวไหลออกทางรูระบาย ของเหลวจะมีการไหลหมุนวน ทำให้ระดับของเหลวตรงบริเวณตอนกลางของรูนั้นลดต่ำลงกว่าบริเวณรอบข้าง เรียกว่าการเกิด vortex ปรากฏการณ์นี้จะเห็นชัดถ้าระดับของเหลวนั้นต่ำมากพอและของเหลวไหลออกด้วยอัตราการไหลที่สูง vortex นี้จะดึงเอาแก๊สเหนือผิวของเหลวให้ผสมเป็นฟองแก๊สไหลลงไปพร้อมกับของเหลวที่ไหลออกไปด้วย การป้องกันการเกิด vortex นี้สามารถทำได้ด้วยการลดอัตราการไหลให้ต่ำลงเมื่อระดับของเหลวในถังนั้นลดต่ำลง หรือด้วยการติดตั้งอุปกรณ์ที่เรียกว่า vortex breaker ไว้บริเวณช่องทางให้ของเหลวไหลออก (อ่านเรื่องเกี่ยวกับ vortex breaker ได้ใน Memoir ปีที่ ๕ ฉบับที่ ๕๐๐ วันศุกร์ที่ ๓๑ สิงหาคม ๒๕๕๕ เรื่อง "Vortex breaker")
 

เวลาที่ต้องการหยุดการเดินเครื่องเพื่อการซ่อมบำรุงนั้น จำเป็นต้องระบายของเหลวที่ค้างอยู่ใน vessel ออกให้มากที่สุด ซึ่งในกรณีนี้สามารถกระทำได้ด้วยการเปิดวาล์ว bypass SP25 แต่ในกรณีนี้ดูเหมือนว่าการเข้าไปเปิดวาล์ว SP25 ทำได้ยุ่งยาก (ซึ่งก็ไม่มีคำอธิบายว่ายุ่งยากอย่างไร ซึ่งอาจเป็นไปได้ทั้งตำแหน่งติดตั้งที่เข้าถึงได้ยากหรือไม่มีที่ว่างมากพอสำหรับการปฏิบัติงานได้สะดวก หรือตัววาล์วเปิดได้ยากเนื่องจากไม่ค่อยมีการใช้งาน) ก็เลยมีการสร้างวิธีปฏิบัติใหม่ขึ้นมาด้วยการเปิดวาล์วควบคุม LIC 3-22 แทน แต่วาล์วตัวนี้ถูกควบคุมเอาไว้ด้วย float swith ที่จะสั่งปิดวาล์วถ้าระดับของเหลวใน V305 ต่ำเกินไป ดังนั้นจึงต้องทำการปลดสายสัญญาณที่จะส่งไปยัง LIC 3-22 ออกเพื่อให้สามารถเปิดวาล์วได้จนของเหลวระบายออกจาก V305 จนหมด

๒๘. โอเปอร์เรเตอร์หลายคนรู้ว่าระบบ trip นี้ไม่ทำงาน เนื่องจากเคยพบเหตุการณ์ที่ระดับของเหลวนั้นลดต่ำลงกว่าระดับที่ระบบ trip จะทำงาน แต่วาล์วก็ยังคงเปิดอยู่ และก่อนที่จะทำการปลดระบบ trip นี้ออกไปก็ไม่ได้มีการประเมินว่าจะมีผลกระทบที่สำคัญอะไรบ้างตามมา การทดสอบและการรายงานความบกพร่อมที่กระทำกันอยู่ก็ไม่ได้ทำให้ประเด็นนี้เด่นชัดขึ้นมา และเรื่องนี้ของหน่วย hydrocracker ก็เป็นเรื่องที่ยอมรับกันทั่วไปอย่างน้อยก็ในระดับที่ขึ้นมาสูงถึงระดับ process supervisor

รูปที่ ๑๗ แผนผังความรับผิดชอบ (สายการบังคับบัญชา) ของผู้ปฏิบัติงาน
 

เหตุการณ์ตรงนี้มันเหมือนกับว่าระดับล่างรู้ว่ามันมีอะไรที่ไม่ถูกต้องอยู่ แต่เมื่อเรื่องเข้าสู่ระบบการรายงานขึ้นไปแล้วมันก็ไม่มีการสั่งการอะไรลงมา นอกจากนี้ตัวโรงงานก็ยังสามารถเดินเครื่องกระบวนการผลิตไปได้เรื่อย ๆ เพียงแต่ต้องใช้ความระมัดระวังมากขึ้น มันก็คงเหมือนกับการยอมรับเรื่องที่ไม่ถูกต้องว่าเป็นเรื่องปรกติกันแบบกลาย ๆ และใช้การป้องกันด้วยคนแทนการใช้ระบบอัตโนมัติ
 

ปัญหาทำนองนี้เคยพบเหมือนกันในแลปเมื่อ ๕ ปีที่แล้ว ตอนนั้นบังเอิญได้ยินเสียงรุ่นพี่เตือนรุ่นน้องที่กำลังจะเปลี่ยนถังแก๊ส (gas cylinder) ที่ใช้กับเครื่องวัดพื้นที่ผิว BET ว่าให้ระวังไฟดูด ตอนนี้ได้ยินนั้นก็งงเหมือนกันว่ามีไฟรั่วมาที่ถังแก๊สได้อย่างไร แต่พอเอาไขควงเช็คไฟไปจิ้มดูก็พบว่ามันมีไฟรั่วอย่างอ่อน ๆ จริงทั้ง ๆ ที่ก่อนหน้านี้ไม่เคยมีปัญหานี้ พอไล่ระบบไปเรื่อย ๆ ก็พบว่ามันเกิดจากการมีการสับเปลี่ยนเต้ารับที่จ่ายไฟให้เครื่องวัดพื้นที่ผิว BET และคอมพิวเตอร์ควบคุม คือระบบไฟเดิมของห้องที่ติดตั้งเครื่องนั้นเป็นระบบที่มีสายดิน และตัวอุปกรณ์ก็ต่อกับเต้ารับของระบบนี้ ต่อมาภายหลังมีการเดินไฟสำหรับเต้ารับเพิ่มแต่เป็นแบบไม่มีสายดิน อยู่มาวันหนึ่งมีการย้ายไปเสียบปลั๊กของระบบที่ไม่มีสายดินทั้งตัวเครื่อง BET และคอมพิวเตอร์ มันก็เลยเกิดปัญหาไฟดูดขึ้น แต่พอย้ายปลั๊กกลับไปที่เต้ารับที่มีสายดินปัญหาก็หายไป

๒๙. ตัว trip solenoid ของ HIC 3-22 ถูกถอดและ bypass ออกไปในปีค.ศ. ๑๙๘๖ (พ.ศ. ๒๕๒๙) หลังจากได้รับความเสียหายจากเพลิงไหม้ (รายงานไม่ได้บอกว่าเพลิงไหม้จากอะไร) แต่แม้ว่าการสอบสวนจะพบว่า HIC 3-22 นั้นปิดอยู่และไม่มีส่วนร่วมใด ๆ กับอุบัติเหตุที่เกิดขึ้น แต่ทางคณะกรรมการสอบสวนก็พิจารณาว่าเรื่องนี้ก็เป็นเรื่องที่มีศักยภาพที่จะทำให้เกิดปัญหาเช่นกัน (เพียงแต่ว่ามันไปเกิดกับ LIC 3-22 แทน)

๓๐. โอเปอร์เรเตอร์กล่าวว่าสัญญาณไฟเตือน extra-low level alarm ติดค้างมาอย่างต่อเนื่องเป็นเวลานานหลายเดือน ก่อนที่จะดับไปก่อนที่จะเกิดอุบัติเหตุ (คงเป็นเพราะด้วยการที่แม้ว่าไฟเตือนจะติดค้าง แต่กระบวนการผลิตก็ยังดำเนินไปได้อย่างปรกติ) ด้วยเหตุนี้จึงทำให้โอเปอร์เรเตอร์ต่างคิดว่าสัญญาณดังกล่าวเป็นสัญญาณลวง เมื่อทำการตรวจสอบแผงวงจร extra-low level alarm พบว่าแผงวงจรทำงานปรกติ ส่วนตัว float switch ทั้งสองตัวนั้นแม้ว่าจะได้รับความเสียหายจากเพลิงไหม้ แต่ก็มีหลักฐานที่แสดงให้เห็นว่า float switch ตัวหนึ่งนั้นได้รับการประกอบที่ไม่ถูกต้อง ส่วนท่อขนาดเล็ก (ที่เชื่อมต่อของเหลวใน bridle กับตัว float switch อีกตัวหนึ่งนั้นมีการอุดตัน (ทำให้มีของเหลวค้างอยู่ใน float switch ได้แม้ว่าระดับของเหลวจะลดต่ำลงจนต่ำกว่าระดับล่างสุดของ bridle แล้ว) ดังนั้นจึงมีความเป็นไปได้ที่ว่าในขณะเกิดเหตุนั้น float switch ทั้งสองตัวไม่ได้อยู่ในสภาพที่ทำงานได้

๓๑. ข้อมูลที่บันทึกไว้ด้วย "Treand chart recorder" ให้บันทึกสภาพการทำงานของหน่วย hydrocracker แต่ข้อมูลที่บันทึกไว้นั้นไม่สอดประสานกัน (ในรายงานใช้คำว่า "synchronised" ซึ่งน่าจะหมายถึงข้อมูลมีการบันทึก แต่จังหวะเวลานั้นไม่ตรงกัน) ทำให้ต้องใช้ความระมัดระวังอย่างยิ่งในการแปลผล และสอบเทียบเคียงกับหลักฐานอื่น นอกจากนี้ปากกาบันทึกข้อมูลหลายตัวยังไม่ทำงาน
 

ข้อมูลที่แสดงในรูปที่ ๑๘ คือค่าที่เครื่อง recorder บันทึกเอาไว้ กราฟในรูปที่ ๑๘ บนแสดงให้เห็นว่า float gauge ตรวจวัดการลดระดับของของเหลวใน V305 ประมาณ 45 นาทีก่อนเกิดการระเบิด แต่ไม่ได้แสดงค่าในช่วงเวลาก่อนเกิดการระเบิด (ด้วยคงเป็นว่าระดับของเหลวใน V305 นั้นต่ำกว่าระดับที่ float gauge จะวัดได้ แต่ตรงนี้ขอให้พึงสังเกตว่าค่าระดับต่ำสุดที่ทั้ง float gauge และ nucleonic gauge วัดได้นั้นไม่ใช่ 0% แต่เป็น "10%") และในช่วงเวลาประมาณ 4 นาทีก่อนเกิดการระเบิดพบว่าความดันภายใน V305 ลดต่ำลงอย่างรวดเร็ว (กราฟในรูปที่ ๑๘ ล่างที่มีการทิ้งดิ่งลงอย่างรวดเร็ว) ข้อมูลความดันใน V305 ที่ลดต่ำลงอย่างรวดเร็วนี้สอดคล้องกับข้อมูลของผู้เห็นเหตุการณ์ที่กล่าวว่า pressure relief valve ของ V306 เปิดระบายความดันก่อนที่จะเกิดการระเบิด ซึ่งยืนยันว่ามีแก๊สความดันสูงรั่วไหลจาก V305 เข้าสู่ V306

รูปที่ ๑๘ กราฟบันทึกข้อมูลการทำงานของหน่วย hydrocracker (สเกลเวลาแกนนอนไล่จากขวามาซ้าย) รูปบนคือระดับของเหลวที่ก้น V305 HP separator ที่ float gate และ nucleonic gauge อ่านค่าได้ รูปกลางคือระดับของเหลวที่ V306 LP separator และรูปล่างสุดคือค่าความดันที่ V305

๓๒. ของเหลวจาก V306 ถูกส่งต่อไปยัง amine plant แต่เนื่องจากไม่มีการบันทึกข้อมูลความดันภายใน V306 และข้อมูลความดันที่ amine plant บันทึกไว้ก็ไม่ได้แสดงว่ามีการเปลี่ยนแปลงความดันเกิดขึ้น หลักฐานนี้จึงยืนยันว่าเส้นทางการไหลออกจาก V306 ถูกปิดเอาไว้ 
  

ตรงนี้ก็น่าสงสัยอยู่เหมือนกันว่า ถ้าเส้นทางการไหลออกจาก V306 เปิดอยู่ จะสามารถป้องกันไม่ให้ V306 ระเบิดได้หรือไม่ด้วยแก๊สบางส่วนสามารถไหลเข้าสู่ amine plant ได้ ส่วนจะไปเกิดการระเบิดที่ amine plant แทนหรือไม่นั้นก็คงเป็นอีกเรื่องหนึ่ง
 

๓๓. โอเปอร์เรเตอร์ต่างปฏิเสธว่าไม่ได้เข้าไปยุ่งเกี่ยวข้องกับการปรับแต่งอะไรก่อนเกิดเหตุการระเบิด ทั้ง ๆ ที่มันสามารถอธิบายเหตุการณ์ที่เกิดขึ้น แต่ข้อมูลระดับของเหลวที่บันทึกเอาไว้แสดงให้เห็นว่ามีการเปิด-ปิด LIC 3-22 ด้วยระบบ manual อย่างน้อย 3 ครั้งหลังการเปลี่ยนกะเมื่อเวลา ๖.๐๐ น (รูปที่ ๑๘ บน ตรงที่เห็นระดับของเหลวลดลงแบบเป็นขั้น) ทำให้ระดับของเหลวใน V305 ลดต่ำลง และในการเปิดครั้งสุดท้ายก่อนเกิดการระเบิดทำให้ของเหลวใน V305 ไหลออกจากหมด ทำให้แก๊สความดันสูงไหลเข้าสู่ V306 ได้ และด้วยการที่ระบบ extra-low level alarm ไม่อยู่ในสภาพใช้งานได้ LIC 3-22 จึงไม่ปิดตัวลงอย่างอัตโนมัติ
 

ตรงนี้ขอขยายความนิดนึง ระบบบันทึกข้อมูลแบบเก่า (ก่อนยุคดิจิตอลคอมพิวเตอร์) นั้นใช้ recorder ที่อาจมีปากกาหลายตัวติดตั้งอยู่ โดยตัวปากกาจะเลื่อนขึ้นลงในแนวความกว้างของกระดาษตามค่า % สัญญาณที่อ่านได้ ในขณะที่กระดาษจะเคลื่อนที่ไปเรื่อย ๆ ด้วยอัตราเร็วที่กำหนด ทำให้เกิดเป็นเส้นกราฟบนกระดาษ โดยขอบล่างของกระดาษจะเป็นค่า 0% และขอบบนของกระดาษจะเป็นค่า 100% และในกรณีที่ recorder มีปากกาอยู่หลายตัวนั้นตัวปากกาอาจจะวางเหลื่อมกันอยู่เล็กน้อย (เพื่อไม่ให้มันตีกันเวลาที่มันเคลื่อนที่ไปมาตามความกว้างของกระดาษ) ทำให้สเกลในแนวแกน x ของกราฟแต่ละเส้นเหลื่อมกันเล็กน้อยได้ (ดูรูปที่ ๑๙ ข้างล่างประกอบ)

รูปที่ ๑๙ ตัวอย่าง chart recorder ที่ใช้ในห้องแลป (ตัวนี้อายุเกือบ ๔๐ ปีแล้ว) ตัวนี้ติดปากกาเมจิกได้ ๓ แท่งสำหรับบันทึกสัญญาณจาก ๓ แหล่ง ปากกา 1 จะอยู่ในสุดและอยู่ต่ำสุด ถัดมาคือปากกา 2 ที่ยื่นออกมามากกว่าและอยู่สูงกว่าปากกา 1 และอยู่สูง และปากกา 3 ที่ยื่นออกมามากที่สุดและอยู่บนสุด ทำให้ปากกาแต่ละตัวเคลื่อนตัวได้อย่างอิสระตามความกว้างของกระดาษ ดังนั้นที่เวลาเดียวกัน สเกลแกน x ของแต่ละกราฟจะเหลื่อมกันเล็กน้อย ส่วนสเกลแกน y นั้นสเกล 0% อยู่ทางด้านซ้ายและสเกล 100% อยู่ทางด้านขวา ปุ่มทางด้านขวาจะมีปุ่มปรับ "zero" คือจะให้ค่าต่ำสุดของสัญญาณอยู่ที่ตำแหน่งใดของกระดาษ (เช่นอาจให้อยู่ที่ตำแหน่ง 0% หรือสูงกว่าก็ได้ที่เรียกว่าให้มี offset) และปุ่มปรับช่วง "range" ของสัญญาณว่าจะให้สัญญาณแรงเท่าใดปากกาจึงจะเคลื่อนตัวเต็มสเกลกระดาษ เช่นในกรณีที่สัญญาณไม่แรงนั้นอาจกำหนดให้ช่วง 0-100% คือช่วง 0-1 mV (เพื่อให้อ่านค่าน้อย ๆ ได้ง่าย) แต่ถ้าเป็นสัญญาณที่แรงก็อาจกำหนดให้ช่วง 0-100% เป็นช่วง 0-50 mV (เพื่อไม่ให้กราฟเกินเลยความกว้างของกระดาษ) แม้ว่าตัวนี้จะไม่ใช่ของที่ใช้บันทึกข้อมูลสำหรับโรงงาน แต่หลักการทำงานก็เป็นแบบเดียวกัน เพียงแต่ปากกาของในโรงงานจะเป็นแบบเติมน้ำหมึกได้

๓๔. ปรกติน้ำมันหนักก็มีจุดหลอมเหลวสูงอยู่แล้ว ยิ่งเป็นช่วงที่มีสภาพอากาศเย็นก็ยิ่งมีโอกาสแข็งตัวได้ง่ายอีก ด้วยเหตุนี้จึงได้มีการทำ "steam tracing" (คือการใช้ท่อเล็ก ๆ พันไปรอบ ๆ ที่ต้องการให้ความร้อน และให้ไอน้ำไหลผ่านท่อเล็ก ๆ นั้น) ให้กับท่อที่ต่อเข้ากับอุปกรณ์วัดระดับ แต่ถึงกระนั้นก็ตามท่อเหล่านั้นก็ยังมีโอกาสอุดตัดได้เมื่ออากาศเย็น โดยเฉพาะท่อขนาดเล็กที่เชื่อมต่อ float gauge และ extra-low level switch เข้ากับ bridle ทำให้โอเปอร์เรเตอร์พบว่า floate gauge อ่านค่าผิดบ่อยครั้ง สิ่งนี้นำมาซึ่งการที่โอเปอเรเตอร์เกิดความไม่ไว้วางใจการทำงานของ float gauge และให้ความเชื่อมั่นกับค่าที่ nucleonic gauge อ่านได้มากกว่า เพราะโอกาสที่ท่อเชื่อมต่อ bridle จะอุดตันหรือของเหลวใน bridle เกิดการแข็งตัวนั้นมีน้อยกว่า 
  

และในช่วงเช้าวันที่เกิดเหตุนั้น อากาศก็เย็นซะด้วย
 

ตรงนี้ถ้าเรากลับไปดูกราฟรูปที่ ๑๘ บน ที่ช่วงแรกทั้ง float gauge และ nucleonic gauge อ่านค่าระดับได้สูง แต่ต่อมา gauge ทั้งสองพบว่าระดับใน V305 ลดลง โดยค่าที่ necleonic gauge อ่านได้คือ "10%" และคงที่ระดับนี้จนกระทั่งเกิดการระเบิด ในขณะที่ float gauge อ่านค่าได้สูงกว่า ตรงนี้ถ้าโอเปอร์เรเตอร์แปลว่าท่อต่อเข้า float gauge เกิดการอุดตัน ทำให้ระดับของเหลวใน float gauge ค้างอยู่ที่ระดับสูง จึงทำให้ไม่สนใจค่าระดับที่ float gauge วัดได้ที่มีการลดลง แต่กลับเชื่อค่าที่ necleonic gauge อ่านได้ว่าระดับยังคงที่อยู่ ก็อาจเป็นได้
 

และด้วยการที่ระดับต่ำสุดที่ nucleonic gauge อ่านได้นั้น สูงกว่าระดับต่ำสุดที่ float gauge อ่านได้ เมื่อโอเปอร์เรเตอร์เชื่อค่าของ nucleonic gauge ที่แสดงบนกระดาษกราฟ ก็คงจะทำให้เชื่อต่อไปด้วยว่าใน V305 ยังมีของเหลวอยู่

๓๕. สิ่งหนึ่งที่โอเปอร์เรเตอร์ "ไม่รู้" ก็คือ ตำแหน่งปากกาของ nucleonic gauge ของ V305 ถูกตั้งให้มีการ "offset" เอาไว้ "10%" (โดยใครก็ไม่รู้ แถมไม่มีการบอกกล่าวด้วย) กล่าวคือถ้า nucleonic gauge อ่านค่าระดับได้ 0% ตำแหน่งปากกาบนกระดาษจะอยู่ที่ 10%
 

และในทำนองเดียวกัน การวัดระดับของเหลวใน V306 ก็ใช้ทั้ง float gauge และ nucleonic gauge (ดูรูปที่ ๑๒ ในตอนที่ ๓) และการบันทึกระดับที่ float gauge อ่านได้ก็มีการตั้งค่า offset ไว้เช่นกัน กล่าวคือถ้า float guage ของ V306 อ่านค่าระดับได้ 0% ตำแหน่งปากกาบนกระดาษจะอยู่ที่ประมาณ 5% (ดูรูปที่ ๑๘ กลาง) 
  

นอกจากนี้ระดับของเหลวที่ float gauge ของ V306 อ่านได้ยังแสดงให้เห็นการเพิ่มระดับของเหลวใน V306 เมื่อระดับของเหลวใน V305 ลดต่ำลง (กราฟทางด้านขวา) ก่อนที่เส้นกราฟจะตกกลับมาที่ระดับ 10% ซึ่งเป็นผลจากการระบายของเหลวไปยังหน่วยกลั่นแยก และมีการพบระดับของเหลวเพิ่มสูงขึ้นอีกครั้งก่อนการระเบิด ซึ่งตรงกับการเปิด LIC 3-22 ครั้งสุดท้ายก่อนการระเบิด (ว่าแต่ใครเป็นคนเปิดก็ไม่รู้)

๓๖. น้ำมันจาก V306 ไหลไปยังหน่วยกลั่นผ่านทางวาล์วควบคุม FIC 3-21 วาล์วควบคุม FIC 3-21 นี้เมื่อสั่งปิดจาก control room จะปิดได้ไม่สนิท จะยังมีน้ำมันรั่วไหลผ่านได้อย่างมีนัยสำคัญ และในการเริ่มต้นเดินเครื่องนั้นจำเป็นต้องมีของเหลวใน V306 ในระดับที่เพียงพอเพื่อป้องกันไม่ให้มีแก๊สรั่วไหลจาก V306 ไปยังหน่วยกลั่น ด้วยเหตุนี้เพื่อรักษาระดับของเหลวใน V306 หลังจากที่สั่งปิด FIC 3-21 แล้วโอเปอร์เรเตอร์ก็ต้องเดินไปปิดวาล์ว FIC 3-21 ให้แน่นที่ตัววาล์ว ซึ่งก่อนเกิดเหตุก็มีการทำงานดังกล่าว จากนั้นจึงทำการเติมของเหลวเข้า V306 ด้วยการปรับ LIC 3-22 ไปที่ตำแหน่ง manual แล้วเปิดวาล์ว LIC 3-22 เพื่อให้ของเหลวไหลเข้า V306

ล่วงมา ๔ ตอนแล้วก็ยังไม่จบ ตอนที่ ๕ จะจบได้หรือเปล่าก็ไม่รู้ แต่สำหรับฉบับนี้ลากยาวมา ๖ หน้าแล้วก็คงต้องขอพักก่อน ตอนต่อไปจะมาดูกันว่าทางทีมสอบสวนนั้นเขาตรวจสอบสมมุติฐานที่เขาตั้งไว้ด้วยวิธีการใดบ้าง
 

หมายเหตุเพิ่มเติม : ปัญหาเรื่องเต้ารับที่เล่าไว้ในข้อ ๒๘. นั้นเคยเล่าไว้ใน Memoir ปีที่ ๖ ฉบับที่ ๗๑๔ วันศุกร์ที่ ๒๐ ธันวาคม ๒๕๕๖ เรื่อง "แค่เปลี่ยนเต้ารับก็สิ้นเรื่อง (การทำวิทยานิพนธ์ภาคปฏิบัติ ตอนที่ ๖๐)"