เพลิงไหม้และการระเบิดที่ BP Oil (Grangemouth) Refinery 2530(1987) Case 2 การระเบิดที่หน่วย Hydrocraker ตอนที่ ๔ MO Memoir : Saturday 17 November 2561

๒๕. การทำงานของ extra low level trip system ใชัการส่งสัญญาณไฟฟ้าไปยัง dump solenoid valve 2 ตัวที่ควบคุมการไหลของอากาศที่เข้าไปดันแผ่นไดอะแฟรมของวาล์ว LIC 3-22 และ HIC 3-22 วาล์วสองตัวนี้ใช้แรงดันอากาศดันให้วาล์วเปิด ดังนั้นถ้าไม่มีแรงดันอากาศวาล์วจะปิดเนื่องจากแรงของสปริง ตัว dump solenoid valve ทำงานด้วยการจัดเส้นทางการไหลของอากาศว่าจะให้เข้าไปดันแผ่นไดอะแฟรมหรือระบายทิ้งออกสู่อากาศ แต่ dump solenoid valve สองตัวนี้มีรูปแบบการทำงานที่แตกต่างกัน คือของ LIC 3-22 ใช้สัญญาณไฟฟ้ามากระตุ้นให้ระบายอากาศทิ้ง ซึ่งจะทำให้ LIC 3-22 ปิดตัวลง แต่ถ้าไม่มีสัญญาณไฟฟ้าส่งมา เส้นทางการไหลของอากาศก็จะค้างอยู่ในตำแหน่งส่งไปยังแผ่นไดอะแฟรม
 

ส่วนของ HIC 3-22 ใช้สัญญาณไฟฟ้ามากระตุ้นให้คอยส่งอากาศไปยังไดอะแฟรม ซึ่งถ้าไม่มีสัญญาณไฟฟ้าส่งมา มันก็จะปรับไปยังตำแหน่งระบายอากาศทิ้ง ทำให้ HIC 3-22 ปิดตัวลง

ทุกอย่างที่ดูดีตอนออกแบบหรือติดตั้ง เมื่อเวลาผ่านไปสิ่งที่คาดหวังไว้ก็อาจไม่เป็นดังคาด โดยเฉพาะการเปลี่ยนแปลงที่เกิดขึ้นแบบที่หาไม่ได้ว่าใครเป็นคนทำและทำไว้เมื่อใด ซึ่งคงจะมาเล่าในตอนต่อไป

๒๖. การตรวจสอบพบว่าสายไฟที่เชื่อมต่อไปยัง trip solenoid LIC 3-22 ถูกปลดออก "อย่างจงใจ" ที่ "ห้องควบคุม" และ trip solenoid ของ HIC 3-22 ถูกถอดออกและ bypass เอาไว้ (เพราะถ้าไม่ bypass เอาไว้จะทำให้ dump solenoid valve ของ HIC 3-22 ระบายอากาศทิ้ง ซึ่งจะทำให้ HIC 3-22 ปิดตัวลง)
 

ดังนั้นแม้ว่า float switch จะตรวจพบเหตุการณ์ extra low level ที่ V305 สัญญาณไฟฟ้าที่ trip solenoid ส่งไปสั่งให้ dump solenoid valve ของ LIC 3-22 ระบายอากาศทิ้งจะเดินทางไปไม่ถึง (เพราะสายไฟถูกปลดออก) และสัญญาณไฟฟ้าที่ควบคุมให้ dump solenoid valve ของ HIC 3-22 เปิดอยู่จะยังคงค้างอยู่ (เพราะมันไม่ต้องเดินทางผ่าน trip solenoid ที่ถูกถอดออกไป)

๒๗. มีการให้ความเห็นเรื่องการปลดสายไฟของ trip solenoid ของ LIC 3-22 เอาไว้ในบันทึกในปีค.ศ. ๑๙๘๕ (พ.ศ. ๒๕๒๘ หรือประมาณ ๒ ปีก่อนเกิดเหตุ) โดย senior instrument engineer และมีร่างบันทึกการแก้ไขที่อาจทำไว้ก่อนหน้านั้นหลายปี ที่เขียนไว้บนผังการต่อสายที่แสดงให้เห็นว่า การปลดสายไฟนี้เป็น "การปลดเพียงชั่วคราว ทางด้านหลังของแผงควบคุม" ซึ่งตรงประเด็นนี้ได้มีการพิจารณาความเป็นไปได้ ๓ ทางที่ทำให้มีการปลดสายไฟเส้นนี้คือ
 

(ก) สายไฟนี้ถูกพิจารณาว่าเป็นส่วนของ turbine ที่ไม่มีการใช้งานแล้ว จึงไม่มีความจำเป็น
 

(ข) vortex ที่เกิดขึ้นในขณะที่ของเหลวไหลออกจาก V305 มักทำให้เกิดสัญญาณลวงบ่อยครั้ง และในช่วงที่กำลังการผลิตสูง สัญญาณลวงนี้มักทำให้เกิดความยากลำบากในการเดินเครื่อง
 

(ค) การเข้าไปใช้งานวาล์ว bypass SP25 (รูปที่ ๑๒ ในตอนที่แล้ว) ทำได้ยุ่งยาก ทำให้โอเปอร์เรเตอร์ต้องการที่จะสามารถเปิด LIC 3-22 ได้แม้ว่าระดับของเหลวจะต่ำกว่าระดับ extra-low level ทั้งนี้เพื่อให้สามารถระบายของเหลวออกจาก V305 ได้หมดก่อนที่จะทำการหยุดเดินเครื่อง
 

เวลาที่ของเหลวไหลออกทางรูระบาย ของเหลวจะมีการไหลหมุนวน ทำให้ระดับของเหลวตรงบริเวณตอนกลางของรูนั้นลดต่ำลงกว่าบริเวณรอบข้าง เรียกว่าการเกิด vortex ปรากฏการณ์นี้จะเห็นชัดถ้าระดับของเหลวนั้นต่ำมากพอและของเหลวไหลออกด้วยอัตราการไหลที่สูง vortex นี้จะดึงเอาแก๊สเหนือผิวของเหลวให้ผสมเป็นฟองแก๊สไหลลงไปพร้อมกับของเหลวที่ไหลออกไปด้วย การป้องกันการเกิด vortex นี้สามารถทำได้ด้วยการลดอัตราการไหลให้ต่ำลงเมื่อระดับของเหลวในถังนั้นลดต่ำลง หรือด้วยการติดตั้งอุปกรณ์ที่เรียกว่า vortex breaker ไว้บริเวณช่องทางให้ของเหลวไหลออก (อ่านเรื่องเกี่ยวกับ vortex breaker ได้ใน Memoir ปีที่ ๕ ฉบับที่ ๕๐๐ วันศุกร์ที่ ๓๑ สิงหาคม ๒๕๕๕ เรื่อง "Vortex breaker")
 

เวลาที่ต้องการหยุดการเดินเครื่องเพื่อการซ่อมบำรุงนั้น จำเป็นต้องระบายของเหลวที่ค้างอยู่ใน vessel ออกให้มากที่สุด ซึ่งในกรณีนี้สามารถกระทำได้ด้วยการเปิดวาล์ว bypass SP25 แต่ในกรณีนี้ดูเหมือนว่าการเข้าไปเปิดวาล์ว SP25 ทำได้ยุ่งยาก (ซึ่งก็ไม่มีคำอธิบายว่ายุ่งยากอย่างไร ซึ่งอาจเป็นไปได้ทั้งตำแหน่งติดตั้งที่เข้าถึงได้ยากหรือไม่มีที่ว่างมากพอสำหรับการปฏิบัติงานได้สะดวก หรือตัววาล์วเปิดได้ยากเนื่องจากไม่ค่อยมีการใช้งาน) ก็เลยมีการสร้างวิธีปฏิบัติใหม่ขึ้นมาด้วยการเปิดวาล์วควบคุม LIC 3-22 แทน แต่วาล์วตัวนี้ถูกควบคุมเอาไว้ด้วย float swith ที่จะสั่งปิดวาล์วถ้าระดับของเหลวใน V305 ต่ำเกินไป ดังนั้นจึงต้องทำการปลดสายสัญญาณที่จะส่งไปยัง LIC 3-22 ออกเพื่อให้สามารถเปิดวาล์วได้จนของเหลวระบายออกจาก V305 จนหมด

๒๘. โอเปอร์เรเตอร์หลายคนรู้ว่าระบบ trip นี้ไม่ทำงาน เนื่องจากเคยพบเหตุการณ์ที่ระดับของเหลวนั้นลดต่ำลงกว่าระดับที่ระบบ trip จะทำงาน แต่วาล์วก็ยังคงเปิดอยู่ และก่อนที่จะทำการปลดระบบ trip นี้ออกไปก็ไม่ได้มีการประเมินว่าจะมีผลกระทบที่สำคัญอะไรบ้างตามมา การทดสอบและการรายงานความบกพร่อมที่กระทำกันอยู่ก็ไม่ได้ทำให้ประเด็นนี้เด่นชัดขึ้นมา และเรื่องนี้ของหน่วย hydrocracker ก็เป็นเรื่องที่ยอมรับกันทั่วไปอย่างน้อยก็ในระดับที่ขึ้นมาสูงถึงระดับ process supervisor

รูปที่ ๑๗ แผนผังความรับผิดชอบ (สายการบังคับบัญชา) ของผู้ปฏิบัติงาน
 

เหตุการณ์ตรงนี้มันเหมือนกับว่าระดับล่างรู้ว่ามันมีอะไรที่ไม่ถูกต้องอยู่ แต่เมื่อเรื่องเข้าสู่ระบบการรายงานขึ้นไปแล้วมันก็ไม่มีการสั่งการอะไรลงมา นอกจากนี้ตัวโรงงานก็ยังสามารถเดินเครื่องกระบวนการผลิตไปได้เรื่อย ๆ เพียงแต่ต้องใช้ความระมัดระวังมากขึ้น มันก็คงเหมือนกับการยอมรับเรื่องที่ไม่ถูกต้องว่าเป็นเรื่องปรกติกันแบบกลาย ๆ และใช้การป้องกันด้วยคนแทนการใช้ระบบอัตโนมัติ
 

ปัญหาทำนองนี้เคยพบเหมือนกันในแลปเมื่อ ๕ ปีที่แล้ว ตอนนั้นบังเอิญได้ยินเสียงรุ่นพี่เตือนรุ่นน้องที่กำลังจะเปลี่ยนถังแก๊ส (gas cylinder) ที่ใช้กับเครื่องวัดพื้นที่ผิว BET ว่าให้ระวังไฟดูด ตอนนี้ได้ยินนั้นก็งงเหมือนกันว่ามีไฟรั่วมาที่ถังแก๊สได้อย่างไร แต่พอเอาไขควงเช็คไฟไปจิ้มดูก็พบว่ามันมีไฟรั่วอย่างอ่อน ๆ จริงทั้ง ๆ ที่ก่อนหน้านี้ไม่เคยมีปัญหานี้ พอไล่ระบบไปเรื่อย ๆ ก็พบว่ามันเกิดจากการมีการสับเปลี่ยนเต้ารับที่จ่ายไฟให้เครื่องวัดพื้นที่ผิว BET และคอมพิวเตอร์ควบคุม คือระบบไฟเดิมของห้องที่ติดตั้งเครื่องนั้นเป็นระบบที่มีสายดิน และตัวอุปกรณ์ก็ต่อกับเต้ารับของระบบนี้ ต่อมาภายหลังมีการเดินไฟสำหรับเต้ารับเพิ่มแต่เป็นแบบไม่มีสายดิน อยู่มาวันหนึ่งมีการย้ายไปเสียบปลั๊กของระบบที่ไม่มีสายดินทั้งตัวเครื่อง BET และคอมพิวเตอร์ มันก็เลยเกิดปัญหาไฟดูดขึ้น แต่พอย้ายปลั๊กกลับไปที่เต้ารับที่มีสายดินปัญหาก็หายไป

๒๙. ตัว trip solenoid ของ HIC 3-22 ถูกถอดและ bypass ออกไปในปีค.ศ. ๑๙๘๖ (พ.ศ. ๒๕๒๙) หลังจากได้รับความเสียหายจากเพลิงไหม้ (รายงานไม่ได้บอกว่าเพลิงไหม้จากอะไร) แต่แม้ว่าการสอบสวนจะพบว่า HIC 3-22 นั้นปิดอยู่และไม่มีส่วนร่วมใด ๆ กับอุบัติเหตุที่เกิดขึ้น แต่ทางคณะกรรมการสอบสวนก็พิจารณาว่าเรื่องนี้ก็เป็นเรื่องที่มีศักยภาพที่จะทำให้เกิดปัญหาเช่นกัน (เพียงแต่ว่ามันไปเกิดกับ LIC 3-22 แทน)

๓๐. โอเปอร์เรเตอร์กล่าวว่าสัญญาณไฟเตือน extra-low level alarm ติดค้างมาอย่างต่อเนื่องเป็นเวลานานหลายเดือน ก่อนที่จะดับไปก่อนที่จะเกิดอุบัติเหตุ (คงเป็นเพราะด้วยการที่แม้ว่าไฟเตือนจะติดค้าง แต่กระบวนการผลิตก็ยังดำเนินไปได้อย่างปรกติ) ด้วยเหตุนี้จึงทำให้โอเปอร์เรเตอร์ต่างคิดว่าสัญญาณดังกล่าวเป็นสัญญาณลวง เมื่อทำการตรวจสอบแผงวงจร extra-low level alarm พบว่าแผงวงจรทำงานปรกติ ส่วนตัว float switch ทั้งสองตัวนั้นแม้ว่าจะได้รับความเสียหายจากเพลิงไหม้ แต่ก็มีหลักฐานที่แสดงให้เห็นว่า float switch ตัวหนึ่งนั้นได้รับการประกอบที่ไม่ถูกต้อง ส่วนท่อขนาดเล็ก (ที่เชื่อมต่อของเหลวใน bridle กับตัว float switch อีกตัวหนึ่งนั้นมีการอุดตัน (ทำให้มีของเหลวค้างอยู่ใน float switch ได้แม้ว่าระดับของเหลวจะลดต่ำลงจนต่ำกว่าระดับล่างสุดของ bridle แล้ว) ดังนั้นจึงมีความเป็นไปได้ที่ว่าในขณะเกิดเหตุนั้น float switch ทั้งสองตัวไม่ได้อยู่ในสภาพที่ทำงานได้

๓๑. ข้อมูลที่บันทึกไว้ด้วย "Treand chart recorder" ให้บันทึกสภาพการทำงานของหน่วย hydrocracker แต่ข้อมูลที่บันทึกไว้นั้นไม่สอดประสานกัน (ในรายงานใช้คำว่า "synchronised" ซึ่งน่าจะหมายถึงข้อมูลมีการบันทึก แต่จังหวะเวลานั้นไม่ตรงกัน) ทำให้ต้องใช้ความระมัดระวังอย่างยิ่งในการแปลผล และสอบเทียบเคียงกับหลักฐานอื่น นอกจากนี้ปากกาบันทึกข้อมูลหลายตัวยังไม่ทำงาน
 

ข้อมูลที่แสดงในรูปที่ ๑๘ คือค่าที่เครื่อง recorder บันทึกเอาไว้ กราฟในรูปที่ ๑๘ บนแสดงให้เห็นว่า float gauge ตรวจวัดการลดระดับของของเหลวใน V305 ประมาณ 45 นาทีก่อนเกิดการระเบิด แต่ไม่ได้แสดงค่าในช่วงเวลาก่อนเกิดการระเบิด (ด้วยคงเป็นว่าระดับของเหลวใน V305 นั้นต่ำกว่าระดับที่ float gauge จะวัดได้ แต่ตรงนี้ขอให้พึงสังเกตว่าค่าระดับต่ำสุดที่ทั้ง float gauge และ nucleonic gauge วัดได้นั้นไม่ใช่ 0% แต่เป็น "10%") และในช่วงเวลาประมาณ 4 นาทีก่อนเกิดการระเบิดพบว่าความดันภายใน V305 ลดต่ำลงอย่างรวดเร็ว (กราฟในรูปที่ ๑๘ ล่างที่มีการทิ้งดิ่งลงอย่างรวดเร็ว) ข้อมูลความดันใน V305 ที่ลดต่ำลงอย่างรวดเร็วนี้สอดคล้องกับข้อมูลของผู้เห็นเหตุการณ์ที่กล่าวว่า pressure relief valve ของ V306 เปิดระบายความดันก่อนที่จะเกิดการระเบิด ซึ่งยืนยันว่ามีแก๊สความดันสูงรั่วไหลจาก V305 เข้าสู่ V306

รูปที่ ๑๘ กราฟบันทึกข้อมูลการทำงานของหน่วย hydrocracker (สเกลเวลาแกนนอนไล่จากขวามาซ้าย) รูปบนคือระดับของเหลวที่ก้น V305 HP separator ที่ float gate และ nucleonic gauge อ่านค่าได้ รูปกลางคือระดับของเหลวที่ V306 LP separator และรูปล่างสุดคือค่าความดันที่ V305

๓๒. ของเหลวจาก V306 ถูกส่งต่อไปยัง amine plant แต่เนื่องจากไม่มีการบันทึกข้อมูลความดันภายใน V306 และข้อมูลความดันที่ amine plant บันทึกไว้ก็ไม่ได้แสดงว่ามีการเปลี่ยนแปลงความดันเกิดขึ้น หลักฐานนี้จึงยืนยันว่าเส้นทางการไหลออกจาก V306 ถูกปิดเอาไว้ 
  

ตรงนี้ก็น่าสงสัยอยู่เหมือนกันว่า ถ้าเส้นทางการไหลออกจาก V306 เปิดอยู่ จะสามารถป้องกันไม่ให้ V306 ระเบิดได้หรือไม่ด้วยแก๊สบางส่วนสามารถไหลเข้าสู่ amine plant ได้ ส่วนจะไปเกิดการระเบิดที่ amine plant แทนหรือไม่นั้นก็คงเป็นอีกเรื่องหนึ่ง
 

๓๓. โอเปอร์เรเตอร์ต่างปฏิเสธว่าไม่ได้เข้าไปยุ่งเกี่ยวข้องกับการปรับแต่งอะไรก่อนเกิดเหตุการระเบิด ทั้ง ๆ ที่มันสามารถอธิบายเหตุการณ์ที่เกิดขึ้น แต่ข้อมูลระดับของเหลวที่บันทึกเอาไว้แสดงให้เห็นว่ามีการเปิด-ปิด LIC 3-22 ด้วยระบบ manual อย่างน้อย 3 ครั้งหลังการเปลี่ยนกะเมื่อเวลา ๖.๐๐ น (รูปที่ ๑๘ บน ตรงที่เห็นระดับของเหลวลดลงแบบเป็นขั้น) ทำให้ระดับของเหลวใน V305 ลดต่ำลง และในการเปิดครั้งสุดท้ายก่อนเกิดการระเบิดทำให้ของเหลวใน V305 ไหลออกจากหมด ทำให้แก๊สความดันสูงไหลเข้าสู่ V306 ได้ และด้วยการที่ระบบ extra-low level alarm ไม่อยู่ในสภาพใช้งานได้ LIC 3-22 จึงไม่ปิดตัวลงอย่างอัตโนมัติ
 

ตรงนี้ขอขยายความนิดนึง ระบบบันทึกข้อมูลแบบเก่า (ก่อนยุคดิจิตอลคอมพิวเตอร์) นั้นใช้ recorder ที่อาจมีปากกาหลายตัวติดตั้งอยู่ โดยตัวปากกาจะเลื่อนขึ้นลงในแนวความกว้างของกระดาษตามค่า % สัญญาณที่อ่านได้ ในขณะที่กระดาษจะเคลื่อนที่ไปเรื่อย ๆ ด้วยอัตราเร็วที่กำหนด ทำให้เกิดเป็นเส้นกราฟบนกระดาษ โดยขอบล่างของกระดาษจะเป็นค่า 0% และขอบบนของกระดาษจะเป็นค่า 100% และในกรณีที่ recorder มีปากกาอยู่หลายตัวนั้นตัวปากกาอาจจะวางเหลื่อมกันอยู่เล็กน้อย (เพื่อไม่ให้มันตีกันเวลาที่มันเคลื่อนที่ไปมาตามความกว้างของกระดาษ) ทำให้สเกลในแนวแกน x ของกราฟแต่ละเส้นเหลื่อมกันเล็กน้อยได้ (ดูรูปที่ ๑๙ ข้างล่างประกอบ)

รูปที่ ๑๙ ตัวอย่าง chart recorder ที่ใช้ในห้องแลป (ตัวนี้อายุเกือบ ๔๐ ปีแล้ว) ตัวนี้ติดปากกาเมจิกได้ ๓ แท่งสำหรับบันทึกสัญญาณจาก ๓ แหล่ง ปากกา 1 จะอยู่ในสุดและอยู่ต่ำสุด ถัดมาคือปากกา 2 ที่ยื่นออกมามากกว่าและอยู่สูงกว่าปากกา 1 และอยู่สูง และปากกา 3 ที่ยื่นออกมามากที่สุดและอยู่บนสุด ทำให้ปากกาแต่ละตัวเคลื่อนตัวได้อย่างอิสระตามความกว้างของกระดาษ ดังนั้นที่เวลาเดียวกัน สเกลแกน x ของแต่ละกราฟจะเหลื่อมกันเล็กน้อย ส่วนสเกลแกน y นั้นสเกล 0% อยู่ทางด้านซ้ายและสเกล 100% อยู่ทางด้านขวา ปุ่มทางด้านขวาจะมีปุ่มปรับ "zero" คือจะให้ค่าต่ำสุดของสัญญาณอยู่ที่ตำแหน่งใดของกระดาษ (เช่นอาจให้อยู่ที่ตำแหน่ง 0% หรือสูงกว่าก็ได้ที่เรียกว่าให้มี offset) และปุ่มปรับช่วง "range" ของสัญญาณว่าจะให้สัญญาณแรงเท่าใดปากกาจึงจะเคลื่อนตัวเต็มสเกลกระดาษ เช่นในกรณีที่สัญญาณไม่แรงนั้นอาจกำหนดให้ช่วง 0-100% คือช่วง 0-1 mV (เพื่อให้อ่านค่าน้อย ๆ ได้ง่าย) แต่ถ้าเป็นสัญญาณที่แรงก็อาจกำหนดให้ช่วง 0-100% เป็นช่วง 0-50 mV (เพื่อไม่ให้กราฟเกินเลยความกว้างของกระดาษ) แม้ว่าตัวนี้จะไม่ใช่ของที่ใช้บันทึกข้อมูลสำหรับโรงงาน แต่หลักการทำงานก็เป็นแบบเดียวกัน เพียงแต่ปากกาของในโรงงานจะเป็นแบบเติมน้ำหมึกได้

๓๔. ปรกติน้ำมันหนักก็มีจุดหลอมเหลวสูงอยู่แล้ว ยิ่งเป็นช่วงที่มีสภาพอากาศเย็นก็ยิ่งมีโอกาสแข็งตัวได้ง่ายอีก ด้วยเหตุนี้จึงได้มีการทำ "steam tracing" (คือการใช้ท่อเล็ก ๆ พันไปรอบ ๆ ที่ต้องการให้ความร้อน และให้ไอน้ำไหลผ่านท่อเล็ก ๆ นั้น) ให้กับท่อที่ต่อเข้ากับอุปกรณ์วัดระดับ แต่ถึงกระนั้นก็ตามท่อเหล่านั้นก็ยังมีโอกาสอุดตัดได้เมื่ออากาศเย็น โดยเฉพาะท่อขนาดเล็กที่เชื่อมต่อ float gauge และ extra-low level switch เข้ากับ bridle ทำให้โอเปอร์เรเตอร์พบว่า floate gauge อ่านค่าผิดบ่อยครั้ง สิ่งนี้นำมาซึ่งการที่โอเปอเรเตอร์เกิดความไม่ไว้วางใจการทำงานของ float gauge และให้ความเชื่อมั่นกับค่าที่ nucleonic gauge อ่านได้มากกว่า เพราะโอกาสที่ท่อเชื่อมต่อ bridle จะอุดตันหรือของเหลวใน bridle เกิดการแข็งตัวนั้นมีน้อยกว่า 
  

และในช่วงเช้าวันที่เกิดเหตุนั้น อากาศก็เย็นซะด้วย
 

ตรงนี้ถ้าเรากลับไปดูกราฟรูปที่ ๑๘ บน ที่ช่วงแรกทั้ง float gauge และ nucleonic gauge อ่านค่าระดับได้สูง แต่ต่อมา gauge ทั้งสองพบว่าระดับใน V305 ลดลง โดยค่าที่ necleonic gauge อ่านได้คือ "10%" และคงที่ระดับนี้จนกระทั่งเกิดการระเบิด ในขณะที่ float gauge อ่านค่าได้สูงกว่า ตรงนี้ถ้าโอเปอร์เรเตอร์แปลว่าท่อต่อเข้า float gauge เกิดการอุดตัน ทำให้ระดับของเหลวใน float gauge ค้างอยู่ที่ระดับสูง จึงทำให้ไม่สนใจค่าระดับที่ float gauge วัดได้ที่มีการลดลง แต่กลับเชื่อค่าที่ necleonic gauge อ่านได้ว่าระดับยังคงที่อยู่ ก็อาจเป็นได้
 

และด้วยการที่ระดับต่ำสุดที่ nucleonic gauge อ่านได้นั้น สูงกว่าระดับต่ำสุดที่ float gauge อ่านได้ เมื่อโอเปอร์เรเตอร์เชื่อค่าของ nucleonic gauge ที่แสดงบนกระดาษกราฟ ก็คงจะทำให้เชื่อต่อไปด้วยว่าใน V305 ยังมีของเหลวอยู่

๓๕. สิ่งหนึ่งที่โอเปอร์เรเตอร์ "ไม่รู้" ก็คือ ตำแหน่งปากกาของ nucleonic gauge ของ V305 ถูกตั้งให้มีการ "offset" เอาไว้ "10%" (โดยใครก็ไม่รู้ แถมไม่มีการบอกกล่าวด้วย) กล่าวคือถ้า nucleonic gauge อ่านค่าระดับได้ 0% ตำแหน่งปากกาบนกระดาษจะอยู่ที่ 10%
 

และในทำนองเดียวกัน การวัดระดับของเหลวใน V306 ก็ใช้ทั้ง float gauge และ nucleonic gauge (ดูรูปที่ ๑๒ ในตอนที่ ๓) และการบันทึกระดับที่ float gauge อ่านได้ก็มีการตั้งค่า offset ไว้เช่นกัน กล่าวคือถ้า float guage ของ V306 อ่านค่าระดับได้ 0% ตำแหน่งปากกาบนกระดาษจะอยู่ที่ประมาณ 5% (ดูรูปที่ ๑๘ กลาง) 
  

นอกจากนี้ระดับของเหลวที่ float gauge ของ V306 อ่านได้ยังแสดงให้เห็นการเพิ่มระดับของเหลวใน V306 เมื่อระดับของเหลวใน V305 ลดต่ำลง (กราฟทางด้านขวา) ก่อนที่เส้นกราฟจะตกกลับมาที่ระดับ 10% ซึ่งเป็นผลจากการระบายของเหลวไปยังหน่วยกลั่นแยก และมีการพบระดับของเหลวเพิ่มสูงขึ้นอีกครั้งก่อนการระเบิด ซึ่งตรงกับการเปิด LIC 3-22 ครั้งสุดท้ายก่อนการระเบิด (ว่าแต่ใครเป็นคนเปิดก็ไม่รู้)

๓๖. น้ำมันจาก V306 ไหลไปยังหน่วยกลั่นผ่านทางวาล์วควบคุม FIC 3-21 วาล์วควบคุม FIC 3-21 นี้เมื่อสั่งปิดจาก control room จะปิดได้ไม่สนิท จะยังมีน้ำมันรั่วไหลผ่านได้อย่างมีนัยสำคัญ และในการเริ่มต้นเดินเครื่องนั้นจำเป็นต้องมีของเหลวใน V306 ในระดับที่เพียงพอเพื่อป้องกันไม่ให้มีแก๊สรั่วไหลจาก V306 ไปยังหน่วยกลั่น ด้วยเหตุนี้เพื่อรักษาระดับของเหลวใน V306 หลังจากที่สั่งปิด FIC 3-21 แล้วโอเปอร์เรเตอร์ก็ต้องเดินไปปิดวาล์ว FIC 3-21 ให้แน่นที่ตัววาล์ว ซึ่งก่อนเกิดเหตุก็มีการทำงานดังกล่าว จากนั้นจึงทำการเติมของเหลวเข้า V306 ด้วยการปรับ LIC 3-22 ไปที่ตำแหน่ง manual แล้วเปิดวาล์ว LIC 3-22 เพื่อให้ของเหลวไหลเข้า V306

ล่วงมา ๔ ตอนแล้วก็ยังไม่จบ ตอนที่ ๕ จะจบได้หรือเปล่าก็ไม่รู้ แต่สำหรับฉบับนี้ลากยาวมา ๖ หน้าแล้วก็คงต้องขอพักก่อน ตอนต่อไปจะมาดูกันว่าทางทีมสอบสวนนั้นเขาตรวจสอบสมมุติฐานที่เขาตั้งไว้ด้วยวิธีการใดบ้าง
 

หมายเหตุเพิ่มเติม : ปัญหาเรื่องเต้ารับที่เล่าไว้ในข้อ ๒๘. นั้นเคยเล่าไว้ใน Memoir ปีที่ ๖ ฉบับที่ ๗๑๔ วันศุกร์ที่ ๒๐ ธันวาคม ๒๕๕๖ เรื่อง "แค่เปลี่ยนเต้ารับก็สิ้นเรื่อง (การทำวิทยานิพนธ์ภาคปฏิบัติ ตอนที่ ๖๐)"

เพลิงไหม้และการระเบิดที่ BP Oil (Grangemouth) Refinery 2530(1987) Case 2 การระเบิดที่หน่วย Hydrocraker ตอนที่ ๓ MO Memoir : Sunday 11 November 2561

ในตอนที่แล้วได้เล่าเหตุการณ์ก่อนที่จะเกิดการระเบิด และการระงับเหตุ มาตอนนี้จะมาดูกันว่าทีมสอบสวนนั้นเขารวบรวมหลักฐานอะไรจากที่เกิดเหตุมาได้บ้าง

๙. สภาพที่เกิดเหตุบ่งบอกว่าการระเบิดและเพลิงไหม้เป็นผลที่เกิดจากการการระเบิดที่ V306 Low pressure separator โดยทีมสอบสวนได้ตั้งสมมุติฐานที่อาจทำให้ V306 เกิดระเบิดได้ดังนี้
 

(ก) ปัจจัยจากภายนอก เช่นการก่อการร้าย หรืออุบัติเหตุจากโรงงานข้างเคียง (คือคงหมายความว่าโรงงานข้างเคียงคงมีการระเบิดและมีชิ้นส่วนปลิวมาตกใส่)

(ข) มีการระเบิดเกิดขึ้นภายใน V306

(ค) ตัว vessel มีความเสียหายอยู่ในตัวก่อนแล้ว ซึ่งความเสียหายนี้ขยายตัวขึ้นจนเกิดขีดวิกฤตอันเป็นผลจากปัจจัยอื่น (เช่นการสั่น)

(ง) ความดันในตัว vessel เพิ่มขึ้นสูงเกินกว่าที่ตัว vessel จะทนได้ (ความดันที่เพิ่มขึ้นนี้เป็นความดันที่เกิดจากความผิดพลาดในการทำงาน เป็นคนละอย่างกับความดันที่เกิดขึ้นจากการระเบิด)

๑๐. การเก็บรวบรวมข้อมูลกระทำโดย

(ก) การเก็บเศษชิ้นส่วน vessel ที่กระจัดกระจายออกไปมาตรวจสอบความเสียหายและสภาพเนื้อโลหะ

(ข) การเก็บรวบรวมและตรวจสอบชิ้นส่วนต่าง ๆ ที่เสียหายจากไฟไหม้

(ค) การตรวจสอบห้องควบคุม อุปกรณ์วัดคุม และข้อมูลที่บันทึกเอาไว้

(ง) การสัมภาษณ์ผู้ที่เกี่ยวข้อง ทั้งระดับผู้ปฏิบัติงานและผู้บริหาร

๑๑. ในส่วนของข้อ ๑๐(ค) และ ๑๐(ง) นั้น ทางทีมสอบสวนพบว่ามีการปรับเปลี่ยนพารามิเตอร์ของอุปกรณ์วัดคุมบางตัวที่เกี่ยวข้องกับหน่วยที่เกิดการระเบิด โดยที่ยังไม่ได้มีการประเมินเรื่องความปลอดภัย (ซึ่งประเด็นนี้ต่อมาพบว่าเป็นตัวหลักตัวหนึ่งที่ก่อให้เกิดความผิดพลาดในการทำงานของโอเปอร์เรเตอร์ เพราะโอเปอร์เรเตอร์ไม่รู้ว่ามีการเปลี่ยนพารามิเตอร์) และข้อมูลที่ได้จากการสัมภาษณ์โอเปอร์เรเตอร์นั้นไม่สอดรับกับเหตุการณ์ที่นำไปสู่การระเบิด ทำให้ทางทีมสอบสวนนั้นต้องสร้างภาพเหตุการณ์ขึ้นมาใหม่
 

เรื่องสภาพที่เกิดเหตุที่ไม่สอดคล้องกับเหตุการณ์ที่เกิด และบอกไม่ได้ว่าใครเป็นคนทำนั้น เคยเล่าไว้แล้วครั้งหนึ่งเมื่อเดือนที่แล้วใน Memoir ปีที่ ๑๑ ฉบับที่ ๑๖๑๗ วันอาทิตย์ที่ ๑๔ ตุลาคม ๒๕๖๑ เรื่อง "VCE case 1 อะเซทิลีนไหลย้อนผ่านวาล์วกันการไหลย้อนกลับ 2458(2005)" ที่การตรวจสอบที่เกิดเหตุหลังการระเบิดนั้นพบว่าวาล์วตัวหนึ่งในเส้นทางที่แก๊สไหลย้อนกลับไปนั้นอยู่ในตำแหน่ง "ปิด" แต่การที่แก๊สจะไหลไปยังอาคารที่เกิดการระเบิดได้นั้นจำเป็นที่ต้องไหลผ่านวาล์วตัวนี้ นั่นแสดงว่าก่อนเกิดการระเบิดนั้นวาล์วตัวนี้อยู่ในตำแหน่ง "เปิด" นั่นแสดงว่าก่อนเกิดการระเบิดไม่นาน หรือในระหว่างที่ทำการระงับเหตุนั้น ต้องมีใครสักคนเข้าไปปิดวาล์วตัวดังกล่าว แต่การสอบสวนไม่สามารถหาได้ว่าใครเป็นคนทำ (ซึ่งอาจเป็นหนึ่งในผู้เสียชีวิต พนักงานดับเพลิง หรือพนักงานบริษัทที่เข้าไประงับเหตุก็ได้)

รูปที่ ๑๒ แผนผังระบบรักษาระดับและควบคุมการไหลของน้ำมันจาก V305 High pressure separator ไปยัง V306 Low pressure separator โดยเริ่มแรกของการออกแบบนั้นแม้ว่าจะได้มีการคำนึงถึงการป้องกันไม่ให้แก๊สความดันสูงจาก V305 รั่วไหลไปยัง V306 ได้ แต่สุดท้ายเหตุการณ์ดังกล่าวก็เกิดขึ้น ในรูปนี้ผมเองมีข้อสงสัยข้อหนึ่งคือเส้นทางการชี้ของลูกศรที่วงกลมสีแดงเอาไว้สงสัยว่าในรูปจะกลับทิศ เมื่อเทียบกับทิศทางการไหลบที่กล่าวเอาไว้ในรายงาน
 

๑๒. ความดันปรกติในขณะทำงาน (operating pressure) ของ V306 นั้นคือ 9 bar (ความดันเกจ) โดยค่าความดันที่ใฃ้ในการออกแบบ (design pressure) คือ 10.7 bar และความดันที่ทำการทดสอบความแข็งแรง (test pressure) คือ 21.6 bar V306 นี้ได้รับการติดตั้ง relief valve (วาล์วระบายความดัน) ที่มีขนาด orifice 18 cm² ซึ่งสามารถระบายแก๊สออกสู่ระบบ flare ด้วยอัตรา 12.25 tonne/hr ซึ่งเพียงพอสำหรับกรณีที่ V306 ถูกไฟคลอก และไม่มีหลักฐานใดที่แสดงว่าวาล์วระบายความดันตัวนี้มีปัญหาในการทำงานที่ความดันที่ตั้งให้มันเปิดคือ 10.7 bar
 

ในภาษาอังกฤษแบบ UK นั้น ไม่ได้แยกว่า safety valve ใช้กับแก๊ส และ relief valve ใช้กับของเหลวเหมือนในกรณีของภาษาอังกฤษแบบ US แต่ถือว่าสองคำนี้เป็นคำที่เทียบเท่ากันและใช้แทนกันได้และใช้ได้กังทั้งของเหลวและแก๊ส ดังนั้นในร่ายงานนี้ที่ใช้ภาษาอังกฤษแบบ UK เวลาเจอกับคำว่า relief valve ก็ต้องไปพิจารณาที่ตัวระบบว่ามันใช้สำหรับระบายแก๊สหรือของเหลว

๑๓. มีการระบุตำแหน่งที่พบชิ้นส่วนต่าง ๆ ของ V306 และน้ำหนักของแต่ละชิ้น จากนั้นจึงคำนวณแรงระเบิดด้วยการใช้ "ballistic technique" โดยอิงจากข้อมูลเส้นทางการเคลื่อนที่ของชิ้นส่วนแต่ละชิ้น ซึ่งเป็นการยืนยันว่าการพังของ V306 นั้นเกิดจากความดันที่สูงเกินกว่าที่จะรับได้ โดยความดันที่คำนวณได้ในทางทฤษฎีอยู่ที่ 50 bar (แรงระเบิดเทียบเท่าน้ำหนักระเบิด TNT ประมาณ 90 kg) ส่วนสมมุติฐานข้อ (ก) - (ค) ที่กล่าวไว้ในข้อ ๙. นั้นถูกตัดออกไปโดยอาศัยข้อมูลต่าง ๆ ที่รวบรวมมาได้
 

การที่ V306 จะเกิดปัญหา overpressure หรือมีความดันสูงเกินได้นั้น จำเป็นที่ของเหลวที่อยู่ทางด้านล่างของ V305 High pressure separator ไหลลงสู่ V306 จนหมด ซึ่งจะทำให้แก๊สความดันสูงใน V305 รั่วไหลเข้า V306 ได้ ดังนั้นคำถามจึงมุ่งเน้นไปที่ทำไมจึงเกิดเหตุการณ์นี้ได้

๑๔. รูปที่ ๑๒ เป็นแผนผังระบบท่อระหว่าง V305 และ V306 ท่อทางออกของไฮโดรคาร์บอนเหลวที่ก้นถัง V305 มีเพียงท่อขนาด 300 mm เพียงเส้นเดียวก่อนที่จะมีการแยกเส้นทางการไหลออกเป็นสองเส้นทาง โดยแต่ละเส้นทางจะมีวาล์วควบคุมการไหล วาล์วที่อยู่ใกล้ V305 มากที่สุดเป็น right-angled air-diaphragm operated valve LIC 3-22 (วาล์วที่แนวเส้นทางการไหลเข้าออกทำมุมเป็นมุมฉาก และใช้อากาศอัดความดันดันแผ่นไดอะแฟรมเพื่อเปิดหรือปิดวาล์ว แต่ลูกศรเส้นทางการไหลในรูปน่าจะผิดทิศอยู่) โดยวาล์วตัวนี้สามารถควบคุมได้จาก control room ทั้งในรูปแบบระบบควบคุมอัตโนมัติหรือ manual mode (คือให้โอเปอร์เรเตอร์เป็นผู้ปรับระดับการเปิดวาล์ว)
 

วาล์วตัวที่อยู่ถัดห่างออกมาจาก V305 เป็นวาล์วควบคุมการไหลชนิด air-diaphragm-operated, straight-through valve (คือเป็นวาล์วที่ใช้อากาศอัดความดันดันแผ่นไดอะแฟรมเพื่อเปิดหรือปิดวาล์ว แต่เส้นทางการไหลเข้าออกอยู่ในแนวตรง) HIC 3-22 ที่ทำงานได้ด้วยการสั่งการแบบ manual ด้วยสัญญาณควบคุมที่ส่งมาจาก control room เท่านั้น

๑๕. รูปที่ ๑๓ ในหน้าถัดไปเป็นแผนผังระบบควบคุมวาล์ว LIC 3-22 และ HIC 3-22 วาล์วสองตัวนี้เป็นชนิด fail closed คือจะใช้แรงดันอากาศดันแผ่นไดอะแฟรมเพื่อดันให้วาล์วเปิด ถ้าไม่มีแรงดันอากาศ แรงจากสปริงก็จะดันให้วาล์วปิด นอกจากนี้ระหว่างวาล์วควบคุมทั้งสองยังมีวาล์วที่ต้องเปิดด้วยมืออีกสองตัว (SP 25) ที่ต่ออนุกรมกันอยู่ โดยหลังจากเกิดเหตุพบว่าวาล์วตัวหนึ่งเปิดอยู่ (ตัวสีขาวในรูป) และอีกตัวหนึ่งปิดอยู่ (ตัวสีดำในรูป) การตรวจสอบพบว่าวาล์วตัวที่ปิดอยู่นี้ปิดได้สนิท ไม่มีการรั่วไหล
 

ระบบ double block valve (เช่น SP 25 ในที่นี้) จะใช้เพื่อเพิ่มความมั่นใจว่าจะไม่มีการรั่วไหล (คือโอกาสจะน้อยลงที่วาล์วสองตัวจะรั่วในเวลาเดียวกัน) อย่างเช่นในกรณีนี้ที่จำเป็นต้องป้องกันด้านความดันต่ำ (V 306 ปรกติ 9 bar) จากด้านความดันสูง (V305 ปรกติ 155 bar) ซึ่งถ้าเกิดการรั่วไหลจะทำให้เกิดความเสียหายต่อด้านความดันต่ำได้

รูปที่ ๑๓ แผนผังการเชื่อมต่อของระบบสัญญาณควบคุม LIC 3-22 และ HIC 3-22 I/P converter คืออุปกรณ์ที่ทำหน้าที่แปลงสัญญาณกระแสไฟฟ้า (I) เป็นสัญญาณนิวเมติกส์ (P) Positioner คืออุปกรณ์ที่ทำหน้าที่ควบคุมระดับการเปิดของวาล์วตามสัญญาณที่ได้รับมาจาก I/P converter และ Dump solenoid valve คือวาล์วที่ทำหน้าควบคุมการส่งแรงดันอากาศไปดันแผ่นไดอะแฟรมว่าจะให้วาล์วเปิด (ส่งอากาศไปดันแผ่นไดอาแฟรม) หรือปิด (ด้วยการระบายอากาศออกสู่บรรยากาศ)
 

๑๖. การตรวจสอบวาล์ว LIC 3-22 และ HIC 3-22 หลังเกิดเหตุพบว่า นอกจากความเสียหายที่ตัวแผ่นไดอะแฟรมและ valve positioner ของ LIC 3-22 แล้ว วาล์วสองตัวสามารถปิดได้สนิทเมื่ออยู่ในตำแหน่งปิด
 

แต่ในขณะที่ทำการถอดวาล์วต่าง ๆ ออกมาตรวจสอบนั้นพบวัสดุคล้ายไข (รายงานใช้คำว่า waxy material ซึ่งก็คงเป็นส่วนของน้ำมันหนักที่ไม่แตกตัวเล็กลง) ในวาล์วทุกตัว ยกเว้น LIC 3-22 ซึ่งบ่งชี้ว่าน่าจะมีการรั่วไหลของแก๊สผ่านทาง LIC 3-22 และการรั่วไหลของแก๊สได้ทำการเป่าไล่วัสดุคล้ายไขที่ตกค้างอยู่ในระบบท่อและตัววาล์วออกไป
 

ทางทีมสอบสวนยังได้ทำการตรวจสอบการทำงานของ valve positioner ว่าทำงานผิดพลาดหรือไม่ (คือสั่งให้วาล์วเปิดค้าง) แต่การตรวจสอบ valve positioner ทำได้เฉพาะของวาล์ว HIC 3-22 เท่านั้น (ซึ่งก็พบว่าทำงานปรกติ) เพราะของ LIC 3-22 ถูกเพลิงเผาทำลาย แต่จากการจำลองสภาพการทำงานว่าถ้า valve positioner ขัดข้องพบว่า วาล์วควรจะไปอยู่ ณ ตำแหน่งปิด ไม่ใช่ตำแหน่งเปิด ดังนั้นสมมุติฐานที่ว่า valve positioner ของ LIC 3-22 มีปัญหานั้นจึงเป็นอันตกไป

๑๗. ระดับของเหลวทางด้านล่างของ V305 High pressure separator นั้นใช้อุปกรณ์วัดระดับชนิด "Tubular float gate" ยาว 3.6 m ที่ส่งสัญญาณไปควบคุมวาล์ว LIC 3-22 และยังมี "Nucleonic level sensing gauge" โดยเกจวัดระดับทั้งสองตัวติดตั้งอยู่กับ "Bridle" และยังส่งค่าที่วัดได้ไปบันทึกไว้บน chart recorder ที่ control room

๑๘. "Bridle" หรือบางทีก็เรียกว่า "Stand pipe" (คนละตัวกับหัวจ่ายน้ำดับเพลิง) มีลักษณะเป็น vessel หรือท่อที่ต่อพ่วงออกมาทางด้านข้างของตัว vessel (รูปที่ ๑๔) โดยวางตัวในแนวดิ่งขนานไปกับตัว vessel โดยอุปกรณ์วัดต่าง ๆ จะต่อเข้ากับตัว bridle นี้แทนที่จะต่อเข้ากับตัว vessel โดยตรง การติดตั้ง bridle ก็มีข้อดีหลายอย่างเช่น สมมุติว่าต้องการเพิ่มจำนวนอุปกรณ์วัด ก็ทำเพียงแค่เปลี่ยนตัว bridle ให้มีจุดเชื่อมต่อมากขึ้น โดยไม่ต้องไปยุ่งอะไรกับตัว vessel (ซึ่งอาจจะไม่มีจุดที่สามารถทำการเชื่อมต่ออุปกรณ์เพิ่มได้อีก)

รูปที่ ๑๔ ตัวอย่างการติดตั้งอุปกรณ์วัดระดับสองชนิดเข้ากับตัว bridle ตัวเดียวกันแทนที่จะติดตั้งเข้ากับตัว vessel โดยตรง
 

๑๙. "Float gauge" ในที่นี้เป็นอุปกรณ์วัดระดับที่ใช้ระดับของลูกลอยที่ลอยอยู่บนผิวของเหลวใน float chamber ที่ต่ออยู่กับ Bridle (รูปที่ ๑๕) เป็นตัวบ่งชี้ ในระบบที่ไม่ได้มีความดันสูงตัว float chamber ก็อาจมีส่วนที่เป็นกระจกที่ทำให้สามารถมองเห็นระดับของลูกลอยได้โดยตรง หรือใช้แสงและตัวรับแสงช่วยหาตำแหน่งของลูกลอยเพื่อเปลี่ยนตำแหน่งของลูกลอยให้เป็นสัญญาณไฟฟ้าส่งไปยัง control room หรือไม่ก็ใช้ลูกลอยที่เป็นแม่เหล็กที่สามารถส่งสนามแม่เหล็กออกมาเหนี่ยวนำหน่วยแสดงผลที่ติดคู่ขนานไปกับตัว float chamber
 

"Nucleonic gauge" ในที่นี้เป็นอุปกรณ์วัดระดับที่ใช้การฉายรังสีจากแหล่งกำเนิดที่อยู่ทางฟากหนึ่ง ผ่านตัว vessel (ในที่นี้คือ Bridle) ไปยังตัวตรวจรับที่อยู่อีกทางฟากหนึ่งของตัว vessel ถ้าในตัว vessel ไม่มีของเหลวอยู่ รังสีที่ส่งผ่านก็จะไม่ถูกดูดกลืน แต่ถ้าในตัว vessel มีของเหลวเพิ่มขึ้น ปริมาณรังสีที่ส่งไปถึงตัวตรวจรับที่อยู่อีกฟากหนึ่งของ vessel ก็จะลดต่ำลง ข้อดีอีกข้อหนึ่งของอุปกรณ์วัดระดับที่ใช้การฉายรังสีคือสามารถใช้วัดระดับ "ของแข็ง" ที่บรรจุอยู่ใน vessel ได้ด้วย
 

ในรูปที่ ๑๕ พึงสังเกตว่าอุปกรณ์วัดระดับทั้งสองตัวนั้นติดตั้งอยู่สูงกว่าระดับของก้นถัง ดังนั้นเมื่อตัว float gauge อ่านค่าระดับของเหลวได้ 0% ก็จะยังมีของเหลวค้างอยู่ใน V305 อีกประมาณ 11500 ลิตร

รูปที่ ๑๕ ภาพขยายบริเวณ Bridle แสดงรายละเอียดส่วนของอุปกรณ์วัดระดับและสวิตช์ป้องกัน (Float switch)

๒๐. สำหรับตัว float gauge ในที่นี้ ระดับที่เปลี่นแปลงไป 1% หมายถึงปริมาตรของเหลวที่เปลี่ยนไป 266 ลิตร สัญญาณที่ส่งออกมาจาก float gauge ถูกส่งไปควบคุม LIC 3-22 ถ้าระดับที่ float gate อ่านได้ลดต่ำลงถึง 20% ก็จะมีการแสดงสัญญาณเตือนในห้องควบคุมในรูปของเสียงเตือนและไฟเตือน ซึ่งโอเปอร์เรเตอร์จะต้องรับรู้ว่ามีสัญญาณเตือนด้วยการกดปุ่ม "acknowledge" ซึ่งจะทำให้เสียงเงียบไปและไฟเตือนเปลี่ยนเป็นไฟกระพริบ ซึ่งจะคงอยู่อย่างนี้ไปเรื่อย ๆ จนกว่าสภาวะที่ทำให้เกิดสัญญาณเตือนจะได้รับการแก้ไข ตัว Low level นี้ทำได้เพียงแค่เตือน ไม่มีฟังก์ชันที่สามารถหยุดการทำงานของระบบ (trip fuction) หน้าที่ตรงนี้เป็นของ float switch ที่ติดตั้งอยู่ข้างใต้ float gate อีกทีหนึ่ง float switchนี้มีจำนวน 2 ตัว 
  

๒๑. ในสภาพที่อากาศหนาวจัดนั้น ของเหลวที่อยู่ในท่อที่เชื่อมต่อfloat chamber กับ bridle หรือในตัว float chamber เองอาจแข็งตัวได้ ทำให้ค่าที่ float gauge อ่านได้นั้นไม่ตรงกับความจริง ด้วยเหตุนี้จึงมีการติดตั้ง nucleonic level sensing gauge เข้ากับตัว bridle โดยตรง (เพราะโอกาสที่จะเกิดปัญหาการแข็งตัวต่ำกว่า) แต่ด้วยการที่ nucleonic level sensing gauge นั้นวัดระดับได้สูงเพียง 900 mm จึงไม่สามารถทำให้ตำแหน่งระดับ 0% และ 100% ของ nucleonic level sensing gauge และ float gauge ตรงพร้อมกันได้ ทางโรงงานจึงเลือกติดตั้งโดยให้ระดับ 50% ของเกจทั้งสองอยู่ตรงกัน การติดตั้งเช่นนี้ทำให้ระดับ 100% ของ nucleonic level sensing gauge ตรงกับระดับ 63% ของ float gauge และระดับ 0% ของ nucleonic level sensing gauge ตรงกับระดับ 38% ของ float gauge (รูปที่ ๑๖)
 

วัตถุประสงค์หลักของการติดตั้ง nucleonic level sensing gauge ก็เพื่อตรวจสอบว่าลูกลอยของ float gauge นั้นค้างอยู่หรือไม่ คือไม่ลอยขึ้นลงตามระดับของเหลวที่แท้จริงอันเป็นผลจากการที่ของเหลวแข็งตัวโดยเฉพาะในช่วงเวลาที่อากาศหนาว และด้วยการที่โอเปอร์เรเตอร์เชื่อว่าค่าที่ nucleonic level sensing gauge อ่านได้นั้นไว้วางใจได้มากกว่าค่าที่ float gauge อ่านได้ ก็มีส่วนร่วมในการทำให้เกิดอุบัติเหตุนี้ด้วย
 

ตรงนี้ขอขยายความนิดนึง สัญญาณไฟฟ้าที่อุปกรณ์วัดต่าง ๆ ส่งมานั้นจะเป็นสัญญาณมาตรฐาน ถ้าเป็นกระแสไฟฟ้าก็จะอยู่ในช่วง 4 - 20 mA (เป็นไฟกระแสตรงหรือ DC) โดยเมื่ออุปกรณ์วัดอ่านค่าได้ต่ำสุดหรือ 0% ก็จะส่งสัญญาณขนาด 4 mA ออกมา และเมื่ออ่านค่าได้สูงสุดหรือ 100% ก็จะส่งสัญญาณขนาด 20 mA ออกมา เหตุผลที่ไม่ตั้งค่าต่ำสุดไว้ที่ 0 mA ก็เพื่อให้ตรวจสอบได้ว่าที่เห็นค่าที่อ่านได้เป็น 0% นั้นไม่ได้เกิดจากการที่สายสัญญาณขาด

รูปที่ ๑๖ เปรียบเทียบค่า float gauge และ nucleoic level sensing gauge อ่านได้

๒๒. ต่ำลงมาจาก float gauge ยังมีการติดตั้ง float switch อีก 2 ตัวที่ทำหน้าที่เป็น "extra low" level detection system โดยถ้าระดับของเหลวลดต่ำลงจน float swithc ทำงาน ตัว float switch จะส่งสัญญาณไปปิดทั้ง LIC 3-22 และ HIC 3-22 เพื่อป้องกันไม่ให้ของเหลวไหลออกจาก V305 จนหมด เพราะถ้าของเหลวไหลออกจาก V305 จนจะส่งผลให้แก๊สความดันสูงไหลเข้าสู่ V306 ได้ float switch สองตัวนี้ยังป้องกันไม่ให้เปิดวาล์ว LIC 3-22 และ HIC 3-22 ทั้งสองได้ถ้าหากระดับของเหลวใน V305 นั้นยังต่ำเกินไป เนื่องจากการรั่วไหลของแก๊สความดันสูงจาก V305 เข้าสู่ V306 อาจทำให้เกิดความเสียหายรุนแรงที่ V306 ได้ จึงทำการติดตั้ง float swithเอาไว้ 2 ตัวให้ทำหน้าที่เดียวกัน จะเรียกว่าเป็นการป้องกันเผื่อว่ามีตัวใดตัวหนึ่งไม่ทำงาน เพราะกลไกนี้เรียกว่าเป็นการป้องกันด่านสุดท้ายก็ได้
 

อันที่จริงการป้องกันอุปกรณ์ด้าน downstream ที่ทำงานที่ความดันที่ต่ำกว่าด้าน upstream ไม่ให้ได้รับความเสียหายถ้าหากความดันสูงด้าน upstream รั่วไหลลงมาถึงทำได้หลายวิธี เช่นถ้าหาก operating pressure ด้าน upstream และ downstream ไม่ได้ต่างกันมากนัก ก็อาจใช้วิธีออกแบบอุปกรณ์ด้าน downstream ให้สามารถทนต่อความดันในระดับเดียวกับอุปกรณ์ด้าน upstream ก็ได้ นอกจากนี้ยังอาจใช้วิธีการจำกัดปริมาณการไหล (เช่นด้วยการใช้ท่อที่มีขนาดไม่ใหญ่มากเกินไปหรือทำการติดตั้ง restriction orifice) โดยสมมุติกรณีวาล์วเชื่อมต่อด้านความดันสูงและด้านความดันต่ำเปิดเต็มที่ โดยอัตราการไหลผ่านท่อเชื่อมนั้นจะต้องไม่สูงเกินกว่าความสามารถของวาล์วระบายความดัน แต่วิธีการหลังนี้อาจไม่เหมาะในกรณีที่ต้องการให้เฉพาะของเหลวไหลผ่านโดยไม่ให้แก๊สความดันสูงไหลผ่าน เพราะขนาดของท่อหรือ restriction orifice ที่ป้องกันไม่ให้แก๊สไหลผ่านเร็วเกินไปนั้นอาจไม่ใหญ่พอสำหรับการให้ของเหลวไหลผ่านด้วยอัตราที่ต้องการ

๒๓. เมื่อต้องการให้ของไหล (ไม่ว่าจะเป็นของเหลวหรือแก๊ส) ความดันสูงมีความดันที่ลดต่ำลง จำเป็นต้องให้ของไหลนั้นลดพลังงานในตัวลง ซึ่งพลังงานที่ต้องลดลงนี้ถ้ามีไม่มากก็อาจจะปล่อยทิ้งไป (เช่นในกรณีของ throttling process) แต่ถ้ามีมากก็อาจจะพิจารณานำกลับพลังงานส่วนนี้มาใช้ประโยชน์ เช่นให้สูญเสียพลังงานด้วยการไหลผ่านระบบกังหัน (turbine) (ในกรณีของของเหลวลองนึกภาพการผลิตไฟฟ้าด้วยกังหันไอน้ำดูก็ได้ ที่ให้น้ำด้านเหนือเขื่อนที่มีความดันสูงไหลผ่านกังหันไอน้ำเพื่อผลิตไฟฟ้าก่อนระบายลงสู่ด้านท้ายเขื่อน)
 

ในเหตุการณ์นี้แบบเริ่มแรกของโรงงานนั้นมีการติดตั้ง recovery turbine ไว้ระหว่าง V305 และ V306 ซึ่งถ้าของเหลวใน V305 ต่ำเกินไปก็จะส่งผลต่อการทำงานของ recovery turbine ได้ ด้วยเหตุนี้จึงได้มีการติดตั้ง float swith เอาไว้เพื่อป้องกันไม่ให้ recovery turbine เกิดปัญหาในการทำงานถ้าหากของเหลวไหลออกจนหมดและมีแก๊สความดันสูงไหลผ่านแทน (นี่คือเหตุผลหลักเริ่มแรกที่ต้องติดตั้ง float switch ซึ่งจะเห็นว่าไม่เกี่ยวข้องกับการป้องกัน V306 เลย)

๒๔. แม้ว่า recovery turbine จะถูกนำออกไปในช่วงกลางทศวรรษ ๑๙๗๐ (หรือประมาณ ๑๐ กว่าปีก่อนเกิดอุบัติเหตุ) แต่การทำ safety audit ในปีค.ศ. ๑๙๗๕ (พ.ศ. ๒๕๑๘) ก็ยังเห็นความสำคัญที่ควรต้องคง float switch เอาไว้เพราะมันสามารถช่วยป้องกัน V306 ไม่ให้เกิดเหตุการณ์ over pressure ได้ การทำ safety audit ในครั้งนั้นยังได้กล่าวถึงปัญหาการควบคุมระดับของเหลวที่ V305 และยังได้แนะนำให้ทำการติดตั้งอุปกรณ์วัดระดับเพิ่มอีกชุดหนึ่ง (ในรายงานใช้คำว่า duplicate ที่แปลว่าลอกเลียนแบบ ซึ่งควรหมายถึงอุปกรณ์วัดระดับที่ติดตั้งเพิ่มควรต้องทำหน้าที่ได้เทียบเท่ากับของเดิมที่มีอยู่ คือวัดระดับได้ในช่วงเดียวกัน) แต่ในความเป็นจริงกับทำการติดตั้ง nucleonic level sensing gauge ที่วัดระดับได้ในช่วงที่แคบกว่าแทน นอกจากนี้การทำ safety audit ยังได้มีการระบุเอาไว้ด้วยว่า pressure relief valve ของ V306 นั้นไม่สามารถระบายแก๊สออกได้ทันถ้าหากแก๊สความดันสูงรั่วไหลมาถึง
 

อีก ๕ ปีถัดมาในปีค.ศ. ๑๙๘๐ (พ.ศ. ๒๕๒๓) ได้มีการว่าจ้างผู้รับเหมาที่มีความเชี่ยวชาญให้มาตรวจสอบระบบระบายความดันออกสู่ flare การตรวจสอบกระทำโดยใช้สมมุติฐานว่าตัว extra low level trip system ของ V305 ทำงานปรกติ ทำให้ได้ข้อสรุปว่าระบบป้องกันที่มีอยู่นั้นเพียงพอแล้ว จึงไม่มีการให้คำแนะนำใด ๆ ถึงที่เกี่ยวข้องกับ relief valve

เรื่องเกี่ยวกับระบบป้องกันนี้ยังไม่หมด แต่วันนี้เห็นว่าลากยาวมาถึง ๘ หน้าแล้วก็เลยต้องขอพักไว้ตรงนี้ก่อน แล้วค่อยมาเล่าต่อในตอนถัดไป