การออกแบบที่ดีต้องไม่เปิดช่องให้ทำผิดได้ในขณะใช้งาน MO Memoir : Sunday 12 January 2563

ผมเคยซื้อน้ำยาลบคำผิดแบบที่เป็นปากกามาใช้ พอใช้จนหมดก็เลยนึกอยากเอาแบบขวดที่มันถูกกว่าเติมเข้าไปเพื่อจะใช้งานต่อได้ แต่พอพยายามจะหมุนเปิดหัวปากกาเพื่อเติมน้ำยาก็หมุนไม่ออก จนพบว่าถ้าอยากหมุนออกก็ต้องหมุนไปอีกทาง เพราะว่ามันเป็น "เกลียวเวียนซ้าย"
  

ในชีวิตประจำวันเราเห็นเกลียวเวียนซ้ายกันไม่บ่อยครั้ง ที่ใกล้ตัวที่สุดเห็นจะได้แก่เกลียวยึดใบพัดพัดลมเข้ากับแกนมอเตอร์ แต่นั้นก็เป็นตัวด้วยความจำเป็นทางเทคนิค เพราะไม่ต้องการให้ตัวนอตตัวเมียที่ยึดใบพัดมันคลายตัวเนื่องจากแรงเหวี่ยวที่เกิดขณะหมุน เขาก็เลยต้องกำหนดทิศทางเกลียวให้แรงเหวี่ยงนั้นทำให้นอตมันขันอัดแน่นเข้าไปแทนที่จะคลายตัวออก อุปกรณ์ห้องแลปบางชนิดก็ใช้เกลียวเวียนซ้าย หัวถังแก๊สไฮโดรเจนและแก๊สอันตรายหลายตัวจะใช้เกลียวเวียนซ้าย ทั้งนี้เพื่อป้องกันไม่ให้เอา pressure regulator ที่ใช้กับแก๊สธรรมดามาขันต่อเข้าไปได้ หัวสกรูบางตัวที่ใช้สำหรับการปรับแต่งการทำงานของอุปกรณ์ก็จะต้องใช้ไขควงรูปร่างพิเศษในการหมุน กล่าวคือถ้าไม่มีสกรูแบบพิเศษก็ยากที่จะหมุนมันได้ ที่ทำเช่นนี้ก็เพราะไม่ต้องการให้ใครไปหมุนเล่น หรือบางทีก็เอาไปซ่อนไว้หลังฝาปิดตัวเครื่องเลย 
   

Memoir ฉบับนี้เป็นบันทึกบางเรื่องราวทั้งที่เคยประสบมากับตัวเองและเคยอ่านพบมาเล่าให้ฟังสัก ๓ เรื่อง เพื่อให้เห็นสิ่งที่อาจเกิดขึ้นได้ถ้าไม่ได้คำนึงถึงเรื่องการป้องกันการทำงานผิดพลาดดังกล่าว

เรื่องที่ ๑ เพราะปลั๊กมันเสียบแทนกันได้

เมื่อเกือบ ๒๐ ปีที่แล้วทางภาควิชามีการจัดซื้อครุภัณฑ์เพื่อการวิจัยชุดใหญ่ เวลาออกข้อกำหนดอุปกรณ์เหล่านี้จำเป็นต้องกำหนดรายละเอียดให้ชัดเจน ปัญหาหนึ่งที่อาจเกิดขึ้นได้ก็คือเรื่องของไฟฟ้า ที่ต้องกำหนดว่าอุปกรณ์ดังกล่าวต้องทำงานได้กับระบบไฟฟ้า 200-240 V 50 Hz ที่เป็นระบบไฟฟ้าของบ้านเรา ทั้งนี้เพราะอุปกรณ์ที่มาจากทางญี่ปุ่นหรืออเมริกานั้นจะเป็นระบบไฟฟ้า 100-120 V 60 Hz ซึ่งอุปกรณ์บางชนิดของเขานั้นก็มีการทำทั้งสำหรับระบบไฟฟ้าทั้งสองแบบ แต่อุปกรณ์บางชนิดเขาก็จะมีเฉพาะรุ่นที่ใช้กับไฟ 100-120 V เท่านั้น ถ้าต้องการใช้กับระบบไฟ 200-240 V ก็จะมีการส่งหม้อแปลงไฟมาให้เพิ่มเติม
  

ตอนนั้นอุปกรณ์ชนิดหนึ่งที่ได้มาก็คือ air compressor ที่ใช้งานกับเครื่อง gas chromatograph ได้มาหลายเครื่องเลย แต่เป็นชนิดที่ใช้กับไฟฟ้า 100-120 V ของญี่ปุ่น พอจัดส่งมาบ้านเราเขาก็ส่งหม้อแปลงไฟมาให้ด้วย สายไฟของตัวเครื่องอัดอากาศนั้นไม่ได้ต่อปลั๊กตัวผู้มาให้ แต่ตัวหม้อแปลงที่ให้มานั้นมีปลั๊กตัวผู้แถมมาให้ ๑ ตัว เสียบคามากับตัวหม้อแปลงเลย คือตัวที่อยู่ที่มุมขวาล่างของรูปที่ ๑

การต่อสายไฟ ๓ สายที่เป็นสายดิน ๑ สายนี่ก็ต้องระวังให้ดี คืออย่าเอาสายดินไปต่อกับขา live เพราะมันถึงตายได้ ทางผมเองผมก็เอาปลั๊กที่เขาแถมมานั้นมาใช้เป็นปลั๊กตัวผู้สำหรับตัวเครื่องอัดอากาศ ที่ทำเช่นนี้ก็เพราะในแลปนั้นปลั๊กตัวเมียที่ใช้กับปลั๊กตัวผู้แบบนี้มันไม่มีใช้กับไฟ 220 V จึงไม่ต้องกังวลว่าจะมีการเผลอเอาไปเสียบกับไฟ 220 V

รูปที่ ๑ หม้อแปลงไฟจาก 220 V เหลือ 110 V ตัวนี้มีปลั๊กตัวเมียด้านขาออกมาให้ ๓ ช่อง สองช่องทางซ้ายเป็นแบบ ๓ ขาที่ใช้ปลั๊กตัวผู้แบบขาแบนเสียบได้ ส่วนตัวซ้ายเป็นปลั๊กแบบพิเศษคือมันเป็น ๓ ขาแบบที่เห็นมุมล่าง เวลาใช้งานต้องเสียบปลั๊กตัวผู้เข้าไปและบิดหมุน มันจึงจะใช้งานได้  
  

แต่ก็มีบางกลุ่มที่เขาไปเอาปลั๊ก ๓ ขาที่ใช้กับปลั๊กตัวเมียทางด้านขวาในรูปที่ ๑ (แบบปลั๊กคอมพิวเตอร์ ๓ ขาที่เป็นขาแบน ๒ ขา) ตอนแรกมันก็ไม่มีปัญหาอะไร แต่พอมีการปรับเปลี่ยนขนย้ายอุปกรณ์มันก็เกิดเรื่อง เพราะคนที่มาทีหลังนั้นไม่รู้ว่ามันต้องเสียบเข้ากับหม้อแปลงไฟ 220 V เป็น 110 V เขาคงคิดว่าของเดิมที่มันเสียบอยู่นั้นเป็น voltage stabilizer ก็เลยเอามันไปเสียบกับไฟ 220 V (ด้านหลังของเครื่อง voltage stabilizer ที่ใช้กับไฟ 220 V ในบ้านเรามันก็มีปลั๊กตัวเมียแบบ ๓ ขาที่เป็นขาแบน 2 ขาเช่นกัน) ผลก็คือเครื่องอัดอากาศก็พัง
  

อีกสิ่งที่ควรจะทำเพิ่มเติม (แต่จนบัดนี้ก็ยังไม่มีการทำ) ก็คือ ควรมีการทำเครื่องหมายถาวรที่เห็นได้ชัดบนตัวเครื่องอัดอากาศ เพื่อบอกให้รู้ว่ามันใช้กับไฟ 220 V เพื่อป้องกันไม่ให้คนที่มาทีหลังที่พอเห็นปลั๊กตัวผู้แล้วหาที่เสียบไม่ได้ ก็เลยคิดจะเปลี่ยนปลั๊กตัวผู้เป็นชนิดที่เสียบกับปลั๊กตัวเมียที่ใช้กับไฟ 220 V ได้

เรื่องที่ ๒ เพราะท่อมันสลับกันได้

การระเบิดที่โรงงานผลิต HDPE ของบริษัท Phillips ระเบิดที่เมือง Pasadena รัฐ Texas ประเทศสหรัฐอเมริกาเมื่อวันจันทร์ที่ ๒๓ ตุลาคม พ.ศ. ๒๕๓๒ (ค.ศ. ๑๙๘๙) ที่มีผู้เสียชีวิตถึง ๒๓ รายจากการระเบิดที่เกิดจากการรั่วไหลของแก๊สขณะที่ถอดท่อออกเพื่อกำจัดสิ่งอุดตันนั้น เรียกว่าสามารถป้องกันได้ถ้าหากตัวอุปกรณ์นั้นได้รับการออกแบบไม่ให้ต่อท่อสลับกันได้
  

วาล์วที่เกิดการรั่วไหลเป็น ball valve ที่ใช้ actuator เป็นตัวเปิด-ปิดวาล์ว โดยตัว actuator นี้มีจุดสำหรับต่อท่ออากาศอัดความดันเข้า ๒ จุด จุดหนึ่งนั้นเป็นจุดต่อท่ออากาศอัดความดันที่ใช้สำหรับปิดวาล์ว ส่วนอีกจุดหนึ่งนั้นเป็นจุดต่อท่ออากาศอัดความดันสำหรับเปิดวาล์ว และจุดต่อท่ออากาศทั้งสองนั้นใช้ fitting แบบเดียวกันและขนาดเดียวกัน และความผิดพลาดมันเกิดจากการที่มีการต่อท่ออากาศสลับกัน ทำให้เมื่อโอเปอร์เรเตอร์สั่งปิดวาล์วนั้น (เพื่อจะทำการซ่อมบำรุง) กลับกลายเป็นว่าเป็นการเปิดวาล์ว หลังเหตุการณ์ดังกล่าวจึงมีคำแนะนำว่า (อันที่จริงมันก็มีมาก่อนหน้านั้นนานแล้ว) ในกรณีเช่นนี้ตัวข้อต่อนั้นควรเป็นคนละชนิดกัน และ/หรือ ต่างขนาดกัน เพื่อไม่ให้ต่อสลับกันได้
  

เรื่องนี้เคยเล่าไว้ใน Memoir ปีที่ ๖ ฉบับที่ ๖๗๒ วันอังคารที่ ๒๔ กันยายน ๒๕๕๖ เรื่อง "โรงงาน HDPE ระเบิดที่ Pasadena เมื่อ ๒๓ ตุลาคม ๒๕๓๒"
 

เรื่องที่ ๓ เพราะมันจะยกหรือจะดึงก็ได้

เมื่อ Captain และ First Officer (นักบินผู้ช่วย) ยึดถือแนวปฏิบัติในการนำเครื่องร่อนลงที่ไม่เหมือนกัน และต่างก็ไม่ยอมกัน จึงนำมาสู่การประนีประนอมที่ว่าถ้าฉันเป็นคนขับเครื่องร่อนลง ให้เธอ (ในฐานะผู้ช่วย) ทำตามวิธีฉัน ถ้าเธอเป็นคนนำเครื่องร่อนลง ฉัน (ในฐานะผู้ช่วย) ก็จะทำตามวิธีเธอ แต่เมื่อฉันเป็นผู้นำเครื่องร่อนลง เธอกลับไม่ทำตามวิธีฉัน กลับไปทำตามวิธีของเธอ ผลก็คือตายยกลำ ๑๐๙ ศพ
   

เรื่องนี้นำมาจากผลการสอบสวนกรณีการตกของเครื่องบิน DC-8-63 สายการบิน Air Canada เที่ยวบินที่ ๖๒๑ เมื่อวันที่ ๕ กรกฎาคม ปีค.ศ. ๑๙๗๐ (พ.ศ.๒๕๑๓) ที่สนามบิน Toronto International Airport รูปและข้อความต่าง ๆ ในที่นี้นำมาจากรายงานการสอบสวนฉบับดังกล่าว
   

สำหรับผู้ที่เคยโดยสารเครื่องบินและมีโอกาสนั่งริมหน้าต่างใกล้กับปีกเครื่องบิน เคยสังเกตบ้างไหมครับจังหวะเวลาที่ล้อเครื่องบินลงแตะพื้น จะมีแผงบางชิ้นบนปีกยกขึ้นตั้งเพื่อความการไหลของอากาศ แผงนี้คือ "Ground Spoiler" ที่ทำหน้าที่ทำลายแรงยกของปีก (รูปที่ ๒) เพื่อทำให้เครื่องบินลงจอดได้ง่ายขึ้น เพราะในช่วงเวลาที่เครื่องบินร่อนลงจอดนั้น ยังจำเป็นที่ต้องรักษาแรงยกเอาไว้เพื่อไม่ให้เครื่องบินร่วงหล่น แต่เมื่อล้อแตะพื้นแล้วก็ต้องลดแรงยกตัวที่ปีกเพื่อให้เครื่องบินลงจอดได้ การลดแรงยกตัวก็ทำได้ทั้งการลดความเร็ว และการทำลายรูปแบบการไหลของอากาศผ่านปีกที่ทำให้เกิดแรงยก ซึ่งวิธีหลังทำได้ด้วยการใช้ Ground Spoiler

   

รูปที่ ๒ โครงสร้างปีกเครื่องบิน Ground Spoilers คือแผงที่จะยกตัวตั้งขวางทิศทางการไหลของอากาศ เพื่อทำลายแรงยกที่ปีกเครื่องบิน เพื่อช่วยในการลงจอด แผงนี้ควรจะต้องทำงานเมื่อเครื่องบินลงแตะพื้นแล้วเท่านั้น
   

เหตุการณ์นี้เกิดกับเครื่องบินโดยสาร DC-8-63 (จะหมายความว่าเป็นเครื่อง DC-8 ซีรีย์ 63 ก็น่าจะได้) การควบคุมการทำงานของ Ground Spoiler ของเครื่องบินรุ่นนี้ใช้การควบคุมผ่านการทำงานของ Spoiler Lever (รูปที่ ๓) ที่ติดตั้งอยู่ทางด้านหน้าระหว่างกลางของนักบิน ๒ คน (นักบิน ๒ คนในที่นี้ก็คือ Captain ที่เป็นหัวหน้าหลัก และ First Officer หรือนักบินผู้ช่วย) การควบคุมการทำงานผ่านทาง Spoiler Lever นี้ทำได้ด้วยกันสองวิธี (ดูรูปที่ ๔ ประกอบ) 
    

วิธีแรกนั้นให้ทำการ "Lift" (ขอแปลว่า "ยก") lever ดังกล่าวขึ้นด้านบน วิธีการนี้ให้ทำในขณะที่เครื่องกำลังร่อนลงสนามบิน (ในรายงานใช้คำว่า "on the flare") คือเครื่องบินกำลังบินอยู่เหนือพื้น การยก lever นี้ขึ้นบนจะยังไม่ทำให้ Ground Spoiler ทำงาน แต่เป็นการ "armed" คือมันจะทำงานทันทีที่ล้อเครื่องบินแตะพื้น
    

วิธีการที่สองนั้นให้ทำการ "Pull" (ขอแปลว่า "ดึง") lever ดังกล่าวถอยมาข้างหลัง (หรือเข้าหาตัวนักบิน) วิธีการนี้จะทำให้ Ground Spoiler ทำงานทันทีไม่ว่าเครื่องบินกำลังบินอยู่หรือไม่ ดังนั้นการใช้วิธีการนี้จะต้องทำก็ต่อเมื่อ "หลังจาก" ที่ล้อเครื่องบินแตะพื้นแล้วเท่านั้น

  

รูปที่ ๓ ตำแหน่งติดตั้งของ Spoiler Lever ที่ใช้ควบคุมการทำงานของ Ground Spoiler ในห้องนักบิน ภาพนี้ไม่ค่อยชัดนัก ลักษณะเป็นเหมือนกับคันโยกรูปตัว T โดยในสภาพที่ยังไม่ทำงานจะเอนไปด้านหน้าดังรูป

แต่ที่สำคัญก็คือ

๑. ตัวเครื่องบินเองนั้นไม่มีระบบป้องกันใด ๆ ที่จะทำให้นักบินไม่สามารถดึง lever ดังกล่าวในขณะที่เครื่องบินกำลังบินอยู่ได้ และ

๒. คู่มือของผู้ผลิตเครื่องบินและคู่มือฝึกนักบินของสายการบินเอง (ซึ่งก็คงจะอิงจากคู่มือของผู้ผลิตเครื่องบินเป็นหลัก) กล่าวไว้อย่างผิด ๆ ว่า ตัว lever ดังกล่าวได้รับการป้องกันไม่ให้ถูก "ดึง" ได้ด้วยระบบกลไก (mechanism system) ในขณะที่เครื่องบินกำลังบินอยู่
   

รูปที่ ๔ แผนผังโครงสร้างการทำงานของ Spoiler Lever รูปซ้ายคือสภาพปรกติก่อนการใช้งาน รูปกลางเป็นสภาพที่อยู่ในสถานะ "armed" ด้วยการยก (Lift) ตัว lever ตามทิศทางลูกศรจะทำให้ตัวหมุด (pin) เข้าไปอยู่ในขอเกี่ยว (hook) การทำแบบนี้จะทำในขณะที่เครื่องกำลังร่อนลง (ล้อยังไม่แตะพื้น) ตัว Ground Spoiler จะทำงานก็ต่อเมื่อล้อเครื่องบินแตะพื้น ส่วนรูปขวาเป็นการดึง (pull) ตัว lever เข้าหาตัวนักบิน ซึ่งจะทำให้ตัว Ground Spoiler ทำงานทันทีไม่ว่าเครื่องบินกำลังบินอยู่หรือล้อแตะพื้นแล้ว ดังนั้นการใช้วิธีดึงนี้จะต้องทำเมื่อล้อเครื่องบินแตะพื้นแล้วเท่านั้น

คู่มือปฏิบัติงานสำหรับนักบินของสายการบิน Air Canada กำหนดให้นักบินทำการ "armed" (คือยกตัว lever ขึ้น) เมื่อทำการร่อนลง เพื่อที่ Ground Spoiler จะทำงานได้ก็ต่อเมื่อล้อแตะพื้น แต่จากคำให้การของ Captain รายหนึ่งของสายการบิน Air Canada (รูปที่ ๕) ดูเหมือนวิธีการเช่นนี้จะไม่นิยมกระทำกัน โดยบรรดา Captain ของสายการบินชอบที่จะใช้การดึงเมื่อล้อกำลังจะแตะพื้น (เช่นอยู่สูงจากพื้นไม่กี่ฟุต) หรือแตะพื้นมากกว่า ด้วยเหตุผลเรื่องความปลอดภัย (เข้าใจว่าทำให้เครื่องหยุดได้เร็วขึ้น ลดโอกาสวิ่งเลยรันเวย์) และยังช่วยลดการเกิด bad landing ด้วยเหตุนี้แม้ว่าในการร่อนลงจะไม่มีการปฏิบัติตามคู่มือ แต่ก็ไม่มีรายงานการกระทำดังกล่าว และที่สำคัญก็คือแม้แต่ในการฝึกทบทวนความรู้นักบินนั้น ก็ยังสอนกันว่าตัว Spoiler lever ถูกล็อคเอาไว้ด้วยกลไกป้องกันในขณะบิน (ทั้งที่จริงมันไม่ใช่อย่างนั้น)
   

เมื่อ Captain ผู้มากประสบการณ์ (และเป็นใหญ่สุดในห้องนักบิน) มีแนวโน้มที่จะทำอะไรที่แตกต่างไปจากที่คู่มือเขียนเอาไว้ ในขณะที่ตัว First Officer ที่เป็นผู้ช่วยและต้องคอยรับฟังคำสั่ง มีแนวโน้มที่จะทำตามคู่มือที่ถูกฝึกมา ต่างต้องมานั่งทำงานด้วยกันในห้องทำงานเดียวกัน ก็เลยต้องมีการหาข้อยุติ ในกรณีของเครื่องที่ตกนี้ข้อยุติก็คือ ถ้าหาก Captain เป็นคนนำเครื่องร่อนลง First Officer จะทำการดึง Spoiler lever เมื่อเครื่องแตะพื้น (หรือ on the ground) แต่ถ้า First Officer เป็นผู้นำเครื่องร่อนลง Captain จะทำการยก (หรือ armed ตัว Spoiler lever) ขณะที่เครื่องกำลังร่อนลง (หรือ on the flare)
    

รูปที่ ๕ ส่วนหนึ่งของคำให้การของ Captain Wyman ว่าทำไม Captain จึงชอบที่จะ "ดึง" มากกว่าที่จะ "ยก"

ในเหตุการณ์นี้ First Officer นั่งอยู่ที่เก้าอี้ตัวขวา ในขณะที่ Captain นั่งอยู่ที่เก้าอี้ตัวซ้าย ข้อมูลประสบการณ์การบินของนักบินทั้งสองรายงานว่า Captain มีประสบการณ์การบินกับสายการบินนี้ ๑๘,๙๙๐ ชั่วโมง (ไม่รวมอีก ๒,๐๐๐ ชั่วโมงในช่วงที่เป็นนักบินในสงครามโลกครั้งที่สอง) โดยเป็นชั่วโมงบินกับเครื่อง DC-8 ๒,๘๙๙ ชั่วโมง และกับเครื่อง DC-8-63 (รุ่นที่ตก) ๑๙๗ ชั่วโมง ในขณะที่ First Officer นั้นมีประสบการณ์การบินกับสายการบินนี้ ๗,๑๐๓ ชั่วโมง (ไม่รวมอีก ๒,๒๑๙ ชั่วโมงในช่วงที่ทำงานอยู่กับกองทัพอากาศ) โดยเป็นชั่วโมงบินกับเครื่อง DC-8 ๕,๖๒๖ ชั่วโมง และกับเครื่อง DC-8-63 (รุ่นที่ตก) ๑๑๕ ชั่วโมง จะเห็นว่าชั่วโมงบินรวมและกับเครื่อง DC-8-63 ของ Captain นั้นมากกว่าของ First Officer แต่ชั่วโมงบินกับเครื่อง DC-8 ของ First Officer นั้นมากกว่าของ Captain

ในวันที่เกิดเหตุนั้น Captain เป็นผู้นำเครื่องร่อนลง ดังนั้นตามข้อตกลง First Officer ควรจะต้องดึง Spoiler lever เมื่อเครื่องแตะพื้น แต่ปรากฏว่า Firt Officer กลับทำการดึง Spoiler lever ในขณะที่เครื่องยังสูงจากพื้น ๖๐ ฟุต

  

รูปที่ ๖ ส่วนหนึ่งของข้อความที่ถอดจากเทปบันทึกเสียงในห้องนักบิน F คือ First Officer ส่วน C คือ Captain 
     

ตรงจุดนี้จะว่าไปก็มีเรื่องที่น่านำมาพิจารณาคือ First Officer นั้นฝึกมาเพื่อทำตามคู่มือ คือต้องเข้าไปทำการ Lift ตัว Spoiler lever ในขณะที่เครื่องกำลังร่อนลง ดังนั้นความเคยชินของเขาก็น่าจะเป็นการ Lift ในขณะที่เครื่องกำลังลดระดับ แต่ตัว Captain นั้นต้องการให้ทำการ Pull เมื่อล้อแตะพื้น ดังนั้นตัว First Officer เองจึงเหมือนกับได้รับคำสั่งให้ทำงานสองงานที่ขัดแย้งกัน อย่างแรกก็คืออย่างเพิ่งไปยุ่งอะไรกับ Spoiler lever ในขณะที่เครื่องกำลังร่อนลง (ซึ่งมันขัดกับคู่มือที่เขาเรียนมา) และให้ทำการ Pull แทนที่จะทำการ Lift (ซึ่งมันก็ขัดกับคู่มือที่เขาเรียนมาเช่นกัน) มองในแง่นี้ในทางกลับกันถ้า First Officer เป็นผู้นำเครื่องลงโดย Captain เป็นผู้ช่วย มันก็มีสิทธิพลาดได้เหมือนกัน ขึ้นอยู่กับว่าใครจะพลาดก่อน
    

รูปที่ ๖ เป็นส่วนหนึ่งของข้อความที่เกิดขึ้นหลังจากที่ First Officer ทำการดึง Spoiler lever ในขณะที่เครื่องยังสูงจากพื้นประมาณ ๖๐ ฟุต ส่งผลให้เครื่องลดระดับลงอย่างรวดเร็ว (First Officer กล่าวของโทษ Captain ที่เวลา 29:39 นาที) Captain จึงรีบแก้ปัญหาด้วยการเร่งเครื่องยนต์เพื่อเพิ่มความเร็วจะได้มีแรงยก (เวลา 29:40 นาที) แต่นั่นก็ไม่ทันการ เพราะในวินาทีถัดมามีเสียงเครื่องกระแทกพื้น (เครื่องยนต์ที่ ๔ ที่ปีกด้านขวา) ทำให้เครื่องยนต์ที่ ๔ หลุดออก แต่นักบินทั้งสองยังไม่ทราบว่าเกิดอะไรขึ้น ตัว Captain เองพยายามนำเครื่องเชิดขึ้นไต่ขึ้นถึงระดับ ๓,๑๐๐ ฟุตเพื่อจะบินวนกลับลงใหม่ แต่ระหว่างนั้นเกิดการระเบิดจนทำให้ปีกขวาหลุดจากตัวเครื่อง ทำให้เครื่องตกลงกระแทกพื้นจนทำให้ทุกคนบนเครื่องเสียชีวิต

   

รูปที่ ๗ ส่วนหนึ่งของข้อสรุปที่ได้จากการสอบสวน

เมื่อสิ่งที่ผู้ผลิตเครื่องบินคิดว่ามันไม่สามารถทำได้ และก็สอนต่อ ๆ กันมาว่ามันไม่สามารถทำได้ กลับปรากกว่ามันเกิดทำได้จริงขึ้นมาในขณะใช้งาน หายนะก็เลยเป็นสิ่งที่หลีกเลี่ยงไม่ได้

เมื่อ vortex breaker หายไป MO Memoir : Monday 6 January 2563

เวลาที่ของเหลวมีการไหลออกทางรูระบายที่อยู่ใต้ผิวของเหลว ถ้าระดับความลึกนั้นไม่มากและมีอัตราการไหลออกที่ค่อนข้างสูง สิ่งที่จะเห็นก็คือจะมีการไหลหมุนวนที่ทำให้ระดับผิวของเหลวตรงบริเวณรูระบายนั้นต่ำกว่าบริเวณที่อยู่ห่างออกไป ปรากฏการณ์นี้เรียกว่าการเกิด vortex ในกรณีที่อัตราการไหลออกนั้นสูงและระดับของเหลวนั้นไม่สูง สิ่งที่เกิดขึ้นก็คือจะมีแก๊สไหลออกไปพร้อมกับของเหลวผ่านทางรูระบายนั้นด้วย ถ้าการดูดออกนั้นเกิดจากการทำงานของปั๊มหอยโข่ง สิ่งที่จะเกิดก็คือปั๊มจะเกิดปัญหาที่เรียกว่า lost suction (มีแก๊สปนมาในของเหลวที่ดูดเข้ามา) และถ้าเป็นมากก็จะเกิด cavitation ตามมาได้
  

วิธีการป้องกันไม่ให้เกิดปัญหาดังกล่าวทำได้ด้วยการติดตั้งอุปกรณ์ที่เรียกว่า "Vortex breaker" ซึ่งก็ไม่ได้มีอะไรมากไปกว่าโครงสร้างที่เข้าไปปิดครอบเหนือรูระบายออก รูปร่างหน้าตาของโครงสร้างนี้มีหลายแบบ เรื่อง vortex breaker เคยเล่าไว้ครั้งหนึ่งใน Memoir ปีที่ ๕ ฉบับที่ ๕๐๐ วันศุกร์ที่ ๓๑ สิงหาคม ๒๕๕๕ เรื่อง "Vortex breaker" มาวันนี้ก็จะเป็นการเล่าเรื่องราวที่เกี่ยวข้องกับ vortex breaker อีกครั้งหนึ่ง แต่เป็นกรณีที่ vortex breaker นั้นหายไป

กรณีที่ ๑ เมื่อนำเอาของที่ช่างไม้ลืมเอาไว้ออกไป

กรณีนี้นำมาจาก ICI Safety Newsletter ฉบับเมื่อ ๔๔ ปีที่แล้ว (รูปที่ ๑) เป็นกรณีของโรงงานใหม่ที่เพิ่งจะถึงกำหนดหยุดเดินเครื่องโรงงานเพื่อทำการ turnaround ครั้งแรก และเมื่อทำการเปิด vessel ขนาดใหญ่ตัวหนึ่งก็พบ "saw-horse" (รูปที่ ๒) ของช่างไม้วางอยู่ที่ก้น vessel ซึ่งเข้าใจว่าเป็นการลืมเอาไว้หลังการก่อสร้าง ก็เลยนำเอามันออกมา

  

รูปที่ ๑ จาก ICI Safety Newsletter ฉบับที่ ๘๔ เดือนกุมภาพันธ์ ค.ศ. ๑๙๗๖ (พ.ศ. ๒๕๑๙)

แต่เมื่อกลับมาเดินเครื่องโรงงานใหม่พบว่าปั๊มที่สูบของเหลวออกจาก vessel ตัวดังกล่าวเกิดการ loss suction (คือมีแก๊สปนเข้ามาในของเหลว) เมื่อระดับของเหลวใน vessel ต่ำ (ปัญหาที่แต่เดิมไม่มี) แสดงว่าเกิดปัญหาเรื่อง vortex เกิดขึ้น ก็เลยจำเป็นต้องหยุดเดินเครื่องโรงงานและทำการติดตั้ง vortex breaker เพิ่มเข้าไป
  

รูปที่ ๒ ตัวอย่างหน้าตา saw-horse อันที่จริงมันที่ทั้งแบบที่พับขาได้และพับขาไม่ได้ มันใช้สำหรับพาดแผ่นไม้เวลาที่ช่างไม้ต้องการเลื่อยไม้ (คือต้องใช้สองตัว) คือคำว่า saw ในที่นี้เป็นคำกิริยาที่แปลว่าเลื่อย ไม่ได้เป็นรูปอดีตของคำกิริยา see ที่แปลว่าเห็น

มีบางสิ่งที่เราสามารถเรียนได้จากเหตุการณ์นี้ อย่างแรกก็คือเมื่อมีการใช้ปั๊มหอยโข่งสูบของเหลวก็ควรต้องคำนึงถึงการเกิด vortex ด้วย เพราะมันอาจทำให้ปั๊มนั้นอายุการใช้งานสั้นลงได้ อย่างที่สองก็คือก็ที่จะปิด vessel หรือเชื่อมต่อท่อเข้าด้วยกัน ก็ควรทำการตรวจสอบด้วยว่าไม่มีอะไรค้างอยู่ใน veseel หรือในท่อ ตอนผมจบใหม่ ๆ ก็มีวิศวกรรุ่นพี่เตือนเรื่องนี้เอาไว้เหมือนกัน เพราะถ้าเราปล่อยให้ช่างเขาทำกันเองโดยเราไม่ตรวจสอบก่อนประกอบ ถ้าเขาไม่ชอบผู้ว่าจ้างเขาก็อาจแกล้งด้วยการเอาอะไรยัดเอาไว้ข้างในก็ได้ หรือบางครั้งก็อาจมีการลืมเอาไว้ข้างในก็ได้ เช่นพวกถุงมือ ลวดเชื่อม ท่อนไม้

กรณีที่ ๒ เพื่อความรวดเร็วในการทำงาน

เรื่องนี้ได้วิศวกรที่ทำงานที่โรงกลั่นน้ำมันแห่งหนึ่งเล่าให้ฟังเมื่อต้นปี ๒๕๖๒ เหตุเกิดหลังจากการล้างหอกลั่นสุญญากาศ
  

ปรกติหอกลั่นน้ำมันดิบจะประกอบด้วยหอกลั่นสองหอ หอกลั่นหอแรกเป็นหอกลั่นที่ทำงานที่ความดันบรรยากาศ หอกลั่นนี้จะเป็นการแยกเอาน้ำมันเบา (หมายถึงพวกที่มีจุดเดือดต่ำเช่น เบนซิน น้ำมันก๊าด ดีเซล) ออกไปก่อน จากนั้นจะนำเอาพวกที่มีจุดเดือดสูง (เช่น น้ำมันหล่อลื่น น้ำมันเตาเกรดต่าง ๆ) ไปทำการกลั่นแยกในหอกลั่นที่สองที่ทำงานที่ทำงานที่ความดันสุญญากาศ การที่ต้องทำงานที่ความดันสุญญากาศก็เพราะต้องการลดจุดเดือดของน้ำมันหนักเหล่านั้น ด้วยการที่น้ำมันหนักนั้นเวลาที่มันเย็นก็จะเป็นคราบสกปรกเป็นยางเหนียว ก็เลยต้องมีการทำความสะอาดด้วยการใช้น้ำผสมน้ำยาทำความสะอาดเติมเข้าไปให้เต็มหอกลั่น เพื่อไปละลายคราบสกปรกที่ค้างอยู่ตามซอกต่าง ๆ ออกมาให้หมด

เนื่องจากหอกลั่นมีขนาดใหญ่ การเติมน้ำให้เต็มหอจะใช้เวลานาน ดังนั้นเพื่อให้เติมน้ำได้เต็มเร็วขึ้นจึงมีการเติมน้ำเข้าหอกลั่นที่หลายตำแหน่งที่สามารถทำได้ โดยสองตำแหน่งแรกนั้นอยู่ที่ท่อที่ไหลเข้าออกจากบริเวณลำตัวหอ และตำแหน่งที่สามเป็นท่อด้านของเหลวไหลออกทางก้นหอ คือให้น้ำไหลย้อนสวนขึ้นไป (รูปที่ ๓)
  

หลังจากที่ล้างเสร็จก็จะทำการระบายน้ำล้างทิ้ง ขั้นตอนถัดไปจะเป็นการกำจัดน้ำและสารเคมีที่เติมเข้าไปออกด้วยการป้อนน้ำมันดีเซลที่ผ่านการอุ่นให้ร้อนเข้าไปในหอกลั่น และทำการไหลเวียน (circulation) น้ำมันดีเซลร้อนนั้นให้ไหลทั่วทั้งหอกลั่น เหตุผลที่ต้องทำเช่นนี้ก็เพราะน้ำมีจุดเดือดที่ต่ำกว่าน้ำมันหนัก ถ้ามีน้ำค้างอยู่ในหอกลั่นในรูปของของเหลวเป็นปริมาณมาก เมื่อน้ำนั้นพบกับน้ำมันที่ร้อนก็จะกลายเป็นไออย่างรวดเร็ว ไอน้ำที่เกิดขึ้นอย่างรวดเร็วนั้นจะก่อแรงดันที่สามารถทำให้โครงสร้างภายในหอ (เช่นพวก tray ต่าง ๆ) พังลงได้ คืออาจจะได้ยินเสียงที่เหมือนกับการระเบิดเกิดขึ้นภายในหอกลั่น และช่วงที่ tray พังยุบลงมานั้นจะพบว่าค่า pressure drop คร่อมตัวหอในช่วงนั้นจะต่ำมากผิดปรกติ
  

รูปที่ ๓ ระบบหอกลั่นที่เกิดปัญหา

ในช่วงแรกของการทำ circulation น้ำมันดีเซลนั้น เริ่มด้วยอัตราการไหลที่ต่ำกว่า จากนั้นโอเปอร์เรเตอร์ก็พยายามเพิ่มอัตราการไหลด้วยการเปิดวาล์วควบคุมการไหลให้กว้างขึ้น แต่พบว่าอัตราการไหลยังคงเท่าเดิมโดยไม่ได้เพิ่มขึ้นตาม เพื่อพบกับปัญหาดังกล่าวโอเปอร์เรเตอร์ก็พยายามเพิ่มอัตราการไหลด้วยการเดินเครื่องปั๊มตัวที่สอง และเปิดวาล์วควบคุมอัตราการไหลให้เต็มที่ (100%) แต่สิ่งที่เกิดขึ้นคือปั๊มเกิด cavitation ไม่สามารถอ่านแรงดันด้านขาเข้าได้ และแรงดันและอัตราการไหลด้านขาออกเป็นศูนย์ จึงจำเป็นต้องหยุดการ circulation น้ำมันดีเซล (ในโรงงานที่ปั๊มต้องมีการเดินต่อเนื่อง ๒๔ ชั่วโมงต่อวันนั้น จะมีการติดตั้งปั๊ม ๒ ตัว โดยตัวหนึ่งเป็นตัวทำงานหลัก อีกตัวหนึ่งเป็นตัวสำรองสำหรับกรณีที่ตัวหลักเกิดเสียหรือจำเป็นต้องทำการบำรุงรักษา)
  

การเกิด cavitation แสดงว่าอัตราการไหลของของเหลวเข้าปั๊มนั้นต่ำกว่าความสามารถในการสูบของปั๊ม สิ่งแรกที่มักคิดกันก็คือท่อด้านขาเข้าปั๊มน่าจะมีปัญหาอุดตัน แต่เมื่อตรวจสอบ strainer ที่อยู่ด้านขาเข้าปั๊มก็พบว่าไม่มีสิ่งสกปรก ตรวจสอบการทำงานของอุปกรณ์วัดคุมทุกตัวก็พบว่าปรกติ ทางทีมโอเปอร์เรชันจึงได้ทำการสอบสวนย้อนขึ้นไปจนถึงตำแหน่งท่อทางออกจากหอกลั่น และสงสัยว่าอาจจะมีปัญหาเกิดขึ้นที่ vortex breaker ที่ติดตั้งอยู่ที่ปากทางเข้าท่อไหลเข้าปั๊ม และเมื่อเปิดหอกลั่นตรวจสอบก็พบว่า vortex breaker นั้นหลุดออกจากขายึดและตกลงมาปิดปากท่อเอาไว้
  

สาเหตุที่ทำให้ vortex breaker หลุดออกจากขายึดเป็นเพราะการนำน้ำความดันสูงเติมเข้าทางก้นหอกลั่น ปรกติการไหลนั้นจะเป็นการไหลจากก้นหอกลั่นเข้าท่อและไหลเข้าปั๊ม แต่ในการล้างนั้นเป็นการอัดน้ำให้ไหลสวนทางย้อนขึ้นไปยังก้นหอกลั่น ประกอบกับการเชื่อมยึดเดิมนั้นเชื่อมยึดเป็นจุดเพียงแค่บางตำแหน่ง (เรียกว่า tag weld ที่เป็นการเชื่อมเพื่อยึดชิ้นงานให้อยู่ในตำแหน่งก่อนทำการเชื่อมพอกเติมเต็มแนวรอยต่อหรือ groove weld) พอพบกับน้ำความดันสูงที่ไหลเข้าปะทะจึงทำให้รอยเชื่อมฉีกขาด การแก้ปัญหาดังกล่าวทำโดยการเชื่อม vortex breaker กลับเข้าไปใหม่โดยเชื่อมเติมเต็มตลอดแนวรอยต่อ
  

ท้ายสุดของการสนทนา ก็มีการตั้งประเด็นคำถามว่า โรงงานสร้างมานานแล้ว นาน ๆ ทีจึงจะมีการหยุดเดินเครื่องโรงงานและเข้าไปตรวจสอบภายใน ส่วนโอเปอร์เรเตอร์นั้นก็ไม่ได้เป็นคนที่รู้ว่าข้างในอุปกรณ์นั้นมีอะไรบ้าง ดังนั้นจะไปโทษผู้ออกแบบวิธีการล้างก็ไม่น่าจะถูก และเหตุการณ์นี้ยังแสดงให้เห็นถึงการที่รอยเชื่อมที่ยังทำไม่เรียบร้อยเพียงแค่รอยเดียว (นับตั้งแต่สร้างโรงงานมา) สามารถส่งผลจนทำให้โรงงานต้องหยุดเดินเครื่องเพื่อแก้ไขรอยเชื่อมนั้นใหม่ (ต้องย้อนกลับไปด้วยการนำเอาน้ำมันดีเซลออก ไล่สารไวไฟออก เอาไนโตรเจนเข้า และเอาอากาศเข้า จากนั้นจึงให้ช่างเชื่อมเข้าไปซ่อมรอยเชื่อม เสร็จแล้วก็ต้องมาไล่อากาศออกอีก เอาไนโตรเจนเข้าระบบ และเอาน้ำมันดีเซลเข้าไปหมุนเวียนเริ่มใหม่อีก)