由于工业控制系统信息物理域高度耦合,从信息域入侵的网络攻击极易渗透至物理域,最终破坏物理设备并引发安全事故。风险评估技术能够在安全事故发生前评估事故对系统造成的影响,为策略决策、策略执行等防护过程提供支撑,是工控系统信息安全防护的核心环节。然而,现有的工控系统风险评估研究多是对传统IT领域方法的迁移,未考虑攻击风险跨工业控制系统信息物理域的传播过程。为解决以上问题,论文分析了工控系统风险评估需求,提出面向跨域攻击的工业控制系统风险评估框架,包括基于时间概率Petri网的信息层风险评估方法、基于IEC61499的风险跨域传播分析方法和考虑风险级联传播的物理层风险评估方法,实现了工控系统的跨域风险评估。具体地:（1）分析攻击行为在信息层呈现的高级可持续威胁特性,基于时间概率Petri网模拟攻击在信息层的传播过程,推理攻击可能的传播路径。同时,建立攻防博弈模型,设计攻防双方收益函数,求解纳什均衡计算各个节点被攻击概率。结合攻击传播路径及攻击概率对信息层风险进行评估。（2）分析工控系统控制层结构特点,将控制层的控制功能拆分为控制回路和控制组件。然后,考虑到IEC61499标准的模块化、软硬件解耦等优点,基于IEC61499功能块构建可重用、可拓展的控制功能块,将其组合成系统控制层模型。最后,分析攻击可能的跨域传播方式,建立攻击功能块对其进行描述,并结合控制层模型构建风险跨域传播分析模块,分析风险的跨域传播过程。（3）考虑风险在物理层的级联传播特性,基于多层级贝叶斯网络模型分析风险在物理层的级联传播过程,推理物理层安全事故的概率。并基于功能安全领域的知识建立资产统一量化模型,量化事故导致的多维度资产损失。结合安全事故发生概率和资产损失值实现物理层动态定量风险评估。论文基于搭建的工控系统半实物仿真平台对提出的跨域风险评估方法进行了实验验证,并与其他文献中方法进行对比,证明了本方法的可行性和有效性。