CN110490433A - 一种列控***风险评估方法 - Google Patents

Abstract

本发明涉及一种列控***风险评估方法，包括：采集列控***风险评估对象的数据，建立故障树；构建包含风险发生频率和后果严重程度的风险矩阵；计算风险源发生频率；计算风险事件发生频率；计算风险的后果严重程度；根据风险事件发生频率和风险的后果严重程度，分别与风险矩阵进行比对，以评定风险等级；将故障树转化为贝叶斯网络，结合风险源发生频率，确定列控***的薄弱环节；根据风险等级，对列控***的薄弱环节进行风险控制，以减小列控***的风险发生频率、降低后果严重程度。与现有技术相比，本发明基于多种方法的综合应用，保证风险评估结果准确有效，并通过确定列控***风险的薄弱环节，为列控***风险控制提供了可靠依据。

Description

一种列控***风险评估方法

技术领域

本发明涉及列控***风险评估技术领域，尤其是涉及一种列控***风险评估方法。

背景技术

列车运行控制***，即列控***，是一个集成了控制、通信等技术的安全苛求***，主要用于控制列车运行速度、确保行车安全和提高运输效率，能够实时控制列车运行间隔、防止列车超速运行，是保障列车高速、安全、可靠运行的核心技术装备和关键安全***。与传统信号***相比，列控***有着更加苛刻的安全要求，其自身的安全隐患将严重危及列车的运行安全和效率。无论是在理论上还是在实际生产中，对列控***存在的风险进行科学的评估其意义都很重大。

目前，风险评估的方法包括故障模式影响及危害性分析法、模糊综合评价法、风险矩阵法、故障树分析法等。其中，故障模式影响及危害性分析法是一种定性的分析，对于复杂的***，其评估结果将会失去准确性；模糊综合评价法在风险评估中运用的最多，一般采用层次分析法和专家打分法对风险进行半定量评估，原理简单、可操作性强，但是受专家的主观因素影响很大；风险矩阵法规定了风险接受的原则，具体来说，风险矩阵是一个二维模型，仅仅根据风险发生频率和后果严重程度评定风险等级，没有考虑风险更多的属性，导致风险评价结果不可靠；而故障树分析法既能表明风险事件和风险源之间的逻辑关系，又能分析出风险源的重要度，但是只有在掌握确切的故障数据时，该方法才能发挥最好的效果。

以上风险评估方法均有各自的不足，对于复杂的列控***，若单一使用上述方法进行风险评估，将无法保证风险评估结果的可靠与准确，此外，现有的列控***风险评估通常是依据风险矩阵评定风险等级，并没有与列控***中的风险节点联系起来，因此实际中无法确定列控***的薄弱环节。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种列控***风险评估方法。

本发明的目的可以通过以下技术方案来实现：一种列控***风险评估方法，包括以下步骤：

S1、采集列控***风险评估对象的数据，确定风险事件和风险源，建立故障树，其中，故障树的顶事件为风险事件，故障树的底事件为风险源；

S2、构建包含风险发生频率和后果严重程度的风险矩阵，将风险发生频率分为不同的等级，并确定不同的等级对应的梯形模糊数，以建立梯形隶属函数；

S3、采用专家打分法和模糊集方法，并基于梯形隶属函数，计算得到风险源发生频率；

S4、基于故障树和风险源发生频率，采用蒙特卡洛仿真算法，计算得到风险事件发生频率；

S5、采用专家打分法、模糊层次分析法以及证据理论方法，计算得到风险的后果严重程度；

S6、根据步骤S4中风险事件发生频率和步骤S5中风险的后果严重程度，分别与步骤S2中风险矩阵进行比对，以评定风险等级；

S7、将故障树转化为贝叶斯网络，结合步骤S3中风险源发生频率，确定列控***的薄弱环节；

S8、根据风险等级，对列控***的薄弱环节进行风险控制，以减小列控***的风险发生频率、降低后果严重程度。

优选的，所述步骤S1具体包括以下步骤：

S11、采集列控***风险评估对象的数据，其中，评估对象的数据包括评估对象的功能以及评估对象正常执行功能的信息；

S12、根据评估对象的功能，确定该评估对象的风险事件；

S13、根据评估对象正常执行功能的信息，确定引发风险的节点，从引发风险的节点中确定风险源；

S14、以风险事件作为顶事件，以风险源作为底事件，建立故障树。

优选的，所述步骤S2中梯形隶属函数为：

A＝(a,b,c,d)

其中，μ_A(x)表示风险源的梯形隶属函数，x表示风险发生频率的等级，A表示风险源的梯形模糊数，a、b、c和d均为梯形模糊数中的等级数值。

优选的，所述步骤S3具体包括以下步骤：

S31、采用专家打分法，得到风险源的专家评语模糊数；

S32、集结专家评语模糊数，得到风险源的梯形模糊数：

式中，i表示第i个风险源，j表示第j个专家评语，A_i表示第i个风险源的梯形模糊数，B_j表示第j个专家评语的模糊数；

S33、根据梯形隶属函数，通过去模糊化，得到风险源发生频率：

式中，λ_i表示第i个风险源的发生频率，表示第i个风险源的梯形隶属函数。

优选的，所述步骤S4具体包括以下步骤：

S41、初始化蒙特卡洛仿真算法的仿真次数为α和故障树的底事件个数为β；

S42、生成β个随机数，由相应的随机数结合风险源发生频率，计算得到相应底事件的发生时间间隔：

式中，t表示底事件的发生时间间隔，F(t)表示正常工作时间小于t的频率，λ表示风险源的发生频率，F^-1(t)表示F(t)的反函数，求解该方程即可确定底事件发生时间间隔；

S43、计算顶事件的发生时间间隔，并记录α次仿真中顶事件的发生时间间隔，其中，对于或门，其顶事件的发生时间间隔为：

t_T＝min(t_A+t_B)

式中，t_T表示顶事件的发生时间间隔，t_A表示底事件A的发生时间间隔，t_B表示底事件B的发生时间间隔；

对于优先与门，其顶事件的发生时间间隔为：

式中，λ_A表示底事件A的发生频率，λ_B表示底事件B的发生频率；

S44、求取α个顶事件的发生时间间隔的平均值，该平均值的倒数为顶事件发生频率，即风险事件发生频率。

优选的，所述步骤S5具体包括以下步骤：

S51、构建后果严重程度评价指标体系及评价准则，采用模糊层次分析法计算评估指标的权重；

S52、采用专家打分法和证据理论，计算评估指标的后果严重等级隶属度；

S53、将评估指标的权重与后果严重等级隶属度相乘，基于最大隶属原则，得到风险的后果严重程度。

优选的，所述步骤S51具体包括以下步骤：

S511、获取后果严重程度评价指标体系以及构建基于三角隶属函数的评价准则，其中，后果严重程度评价指标体系包含τ个评估指标：

式中，v表示一级评估指标的个数，n_σ表示一个一级评估指标下的二级评估指标的个数；

S512、对同一个一级评估指标下的二级评估指标进行模糊比较，得到模糊比较矩阵：

m_r,u＝(a_r,u,b_r,u,c_r,u)

式中，M是模糊比较矩阵，n表示该一级评估指标下的二级评估指标的个数，r和u分别是该一级评估指标下的第r个评估指标和第u个评估指标，m_r,u表示专家对第r个评估指标和第u个评估指标的评语集结模糊数，a_r,u,b_r,u,c_r,u表示第r个评估指标和第u个评估指标的三角形模糊数；

S513、第r个评估指标的模糊权重先经过几何平均数计算，以得到判断矩阵的算术平均矩阵：

式中，表示专家对第r个评估指标的评语集结模糊数的算术平均数，表示第r个评估指标的三角形模糊数的算术平均数；

则第r个评估指标的模糊权重为：

式中，FW_r表示第r个评估指标的模糊权重，a_r,b_r,c_r表示第r个评估指标的三角形模糊数，表示第u个评估指标的三角形模糊数的算术平均数；

S514、对第r个评估指标的模糊权重进行去模糊化和归一化处理，得到第r个评估指标的权重为：

式中，w_r表示第r个评估指标的精确权重，w_r'表示第r个评估指标的模糊权重；

最终，得到τ个评估指标的权重集为W＝[w₁,w₂,...,w_τ]。

优选的，所述步骤S52具体包括以下步骤：

S521、采用专家打分法，获取评估指标的严重等级模糊集评判集为{cs₁,cs₂,cs₃,cs₄,cs₅,cs₆}＝{灾难的，非常严重的，严重的，临界的，轻的，无关紧要的}；

S522、针对每个评估指标，构建初始概率分配矩阵：

0≤p_q,z≤1,z＝1,2,…6

式中，q表示专家的总个数，p_q,_z表示第q个专家依据其证据对评估指标处于第z严重等级的概率评判，p_q表示第q个专家对评估指标的概率评判集合；

S523、计算不同证据对应的折扣系数：首先，专家之间的评判距离为：

式中，e_k和e_y分别表示第k个专家的证据和第y个专家的证据，<p_k,p_y>表示概率评判集合p_k和p_y的向量内积，得出证据相互之间的相似度为：

则两个证据的相似度矩阵为：

之后，对相似度矩阵的每行进行求和，得到各证据被其他证据支持的程度为：

式中，sup(e_k)表示第k个专家的证据e_k被其他证据支持的程度；

则第k个专家提供的证据e_k的可信度为：

最终，得到折扣系数矩阵为：

S524、根据折扣系数矩阵，更新概率分配矩阵为：

式中，P’表示更新后的概率分配矩阵，p’_q,z表示更新后的第q个专家对该指标处于第z严重等级的概率评判；

S525、运用证据理论，假设存在一个问题需要判别，所有可能的判别结果组成的集合用Θ表示，Θ中的所有元素都是两两互斥的，则称Θ为识别框架：

Θ＝{θ₁,θ₂,…,θ_l,…,θ_G}

式中：θ_l表示识别框架Θ中的第l个元素，G表示识别框架Θ中的元素个数；

之后，采用基本概率分配函数ε来表示每个证据对识别框架Θ中每个元素的支持程度，ε是从集合2^Θ到[0,1]的映射，表示Θ的任一子集，且满足：

式中，ε(H)为识别框架子集H的基本概率分配函数，表示证据对识别框架子集H的信任程度的初始分配；

最后，将更新后的概率分配矩阵进行融合计算，得到评估指标所处的后果严重等级隶属度：

式中，t_k(cs_z)表示在第k个专家证据中，评估指标处于各个严重等级的隶属度，表示各个证据之间的冲突程度；

形成评估指标后果严重等级隶属度矩阵：

μ＝[t(cs₁),t(cs₂),...,t(cs₆)]

共有τ个评估指标，则全部评估指标的隶属度集为：

μ′＝[μ₁,μ₂,...,μ_τ]^T

式中，μ₁和μ₂分别表示第1个和第2个评估指标的后果严重等级隶属度矩阵，以此类推，μ_τ表示第τ个评估指标的后果严重等级隶属度矩阵。

优选的，所述步骤S7具体包括以下步骤：

S71、基于故障树的结构，建立贝叶斯网络，根据故障树转化为贝叶斯网络的转化准则，输入中间节点的条件概率，并将风险源发生频率作为贝叶斯网络叶节点的输入；

S72、设置发生顶事件，计算贝叶斯网络各中间节点和叶节点的后验概率，以确定列控***的薄弱环节。

与现有技术相比，本发明具有以下优点：

一、本发明基于风险矩阵的风险评估思路，提出一种结合专家打分及多种数学理论的风险评估方法，既能充分发挥专家的经验作用，同时将专家知识转化为可计算的数学模型，大大降低了专家主观因素对风险评估结果的影响。

二、本发明采用故障树、模糊数学、证据理论和蒙特卡洛仿真进行风险源发生频率和风险事件发生频率的计算，提高了故障数据的准确性，有利于结合风险矩阵评定出可靠的风险等级，从而保证风险评估结果的可靠与准确。

三、本发明通过贝叶斯网络的定量分析，能够进一步确定列控***中导致风险事件发生的薄弱环节，为降低风险发生频率以及降低后果严重程度提供了可靠的数据支撑，有利于对列控***进行针对性的风险控制，从而保障列控***的运行安全和效率。

附图说明

图1为本发明的方法流程示意图；

图2为实施例中列车超速运行未防护的故障树结构；

图3为实施例中地面设备故障的故障树结构示意图；

图4为实施例中车载设备故障的故障树结构示意图；

图5为实施例中列车定位错误的故障树结构示意图；

图6为实施例中区间空闲信息错误的故障树结构示意图；

图7为实施例中贝叶斯网络的结构示意图；

图8a为实施例中故障树的或门转化为贝叶斯网络的示意图；

图8b为实施例中故障树的优先与门转化为贝叶斯网络的示意图；

图9为实施例中列控***的中间节点后验概率示意图；

图10为实施例中列控***的叶节点后验概率示意图。

具体实施方式

下面结合附图和具体实施例对本发明进行详细说明。

如图1所示，一种列控***风险评估方法，包括以下步骤：

S1、采集列控***风险评估对象的数据，确定风险事件和风险源，建立故障树，其中，故障树的顶事件为风险事件，故障树的底事件为风险源；

S2、构建包含风险发生频率和后果严重程度的风险矩阵，将风险发生频率分为不同的等级，并确定不同的等级对应的梯形模糊数，以建立梯形隶属函数；

S3、采用专家打分法和模糊集方法，并基于梯形隶属函数，计算得到风险源发生频率；

S4、基于故障树和风险源发生频率，采用蒙特卡洛仿真算法，计算得到风险事件发生频率；

S5、采用专家打分法、模糊层次分析法以及证据理论方法，计算得到风险的后果严重程度；

S6、根据步骤S4中风险事件发生频率和步骤S5中风险的后果严重程度，分别与步骤S2中风险矩阵进行比对，以评定风险等级；

S7、将故障树转化为贝叶斯网络，结合步骤S3中风险源发生频率，确定列控***的薄弱环节；

S8、根据风险等级，对列控***的薄弱环节进行风险控制，以减小列控***的风险发生频率、降低后果严重程度。

本实施例选取CTCS-2级列控***进行风险评估，具体应用过程为：

A、以“列车超速运行未防护”为风险评估对象，从列控***角度分析风险事件发生的机理，建立故障树如图2～图6所示；

B、根据列控***组件故障发生率低的特点，建立风险矩阵，并确定每一发生频率等级所对应的梯形模糊数，其中，参考GB/T21562《轨道交通可靠性、可用性、可维修性和安全性规范及示例》的规定，发生频率分为6个等级，分别是频繁、很可能、偶尔、很少、不可能、难以置信；后果严重程度分为4个等级，分别是灾难的、危急的、临界的和无关紧要的；对应的风险等级为不可容忍的(R1)、不希望的(R2)、容忍的(R3)、可忽略的(R4)，考虑到CTCS-2级列控***对安全性的要求较高，基于对安全苛刻***的完整性要求以及列控***各模块失效率低的特点，将发生频率进一步细化为9个等级，将后果严重程度细化为6个等级，以此得到表1所示的风险矩阵：

表1

C、采用专家打分法和模糊集理论建立数学模型，计算风险源(故障树底事件)发生频率；运用蒙特卡洛仿真，计算风险事件(故障树顶事件)发生频率：

C1、以图3中“C4-2：LEU发送错误的TSR”为例，计算该风险源发生频率，实施例的专家打分法由5位专家进行打分，其中，5位专家评语分别为不可能、不可能、罕见、罕见、不可能，则集结专家评语得到C4-2风险源的模糊数为：

对应的梯形隶属函数为：

C2、根据得到的模糊数确定梯形隶属函数，通过去模糊化得到风险源发生频率为λ_4-2＝6.536×10^-9次/h，同理得到其他风险源发生频率，本实施例中各风险源发生频率计算结果如表2所示：

表2

本实施例还参考了当前列控***的部分风险源发生频率，具体数据如表3所示：

表3

C3、根据故障树结构，运用蒙特卡洛仿真，以步骤C2中风险源发生频率作为输入，计算故障树顶事件(风险事件)发生频率为

D、采用模糊层次分析法、证据理论和专家打分法建立数学模型，确定风险事件的后果严重程度：

D1、采用模糊层次分析法计算风险评估指标的权重，计算步骤如下：

D11、本实施例的后果严重程度评估指标体系如表4所示，评估指标重要度准则如表5所示：

表4

表5

D12、对同一层的评估指标进行模糊比较，得到模糊比较矩阵，本实施例以一级指标为例进行计算：将5位专家对一级指标集V＝(v₁,v₂,v₃)中的指标进行两两比较，结果如表6所示，根据专家评语集结后的三角形模糊数如表7所示：

表6

表7

元素对比	集结后的三角形模糊数	语言判断
			v<sub>1</sub>vs.v<sub>2</sub>(m<sub>1,2</sub>)	(3.6,4,6,5,6)	介于稍微重要和明显重要之间
v<sub>2</sub>vs.v<sub>3</sub>(m<sub>2,3</sub>)	(3.2,4.2,5.2)	介于稍微重要和明显重要之间

构建模糊比较矩阵为：

根据上述矩阵，通过计算三个指标的模糊权重、去模糊化、归一化，得到指标权重为

同理得到二级指标相对于一级指标的权重，最后与一级指标权重得到二级指标的最终权重为：

D2、运用专家打分法和证据理论计算后果严重程度，计算步骤如下：

D21、模糊集评判集为{cs1、cs2…cs6}＝{灾难的,非常严重的,严重的,临界的,轻的,无关紧要的}，针对每个评估指标构建初始概率分配矩阵：

D22、计算不同证据的折扣系数：

首先，计算得到的相似度矩阵和证据可信度分别为：

D23、更新概率分配矩阵，之后进行证据融合，得到v₁₁的后果严重度等级隶属度为：同理根据其他二级指标计算对应的后果严重度等级隶属度分别为：

D3、将步骤D1和步骤D2的结果相乘得到：

根据最大隶属原则，可知“列车超速运行未防护”的后果严重程度为“cs2：非常严重的”；

E、根据步骤C和步骤D的计算结果，可知“列车超速运行未防护”的发生频率为处于“F7：罕见”级别，后果严重等级为“cs2：非常严重的”；对应到表1的风险矩阵，可得知该风险处于“R2：不希望的”，即在列车运行中，对于风险事件“列车超速运行未防护”需要采取一定的措施降低风险；

F、根据故障树结构，将故障树转化为贝叶斯网络，运用贝叶斯定理计算各节点的后验概率，分析列控***的薄弱环节：

F1、基于图2～图6所示的故障树结构，根据故障树转化为贝叶斯网络的转化准则，转化得到的贝叶斯网络如图7所示，其中，或门对应的条件概率如表8所示(转化示意图对应于图8a)，优先与门对应的条件概率如表9所示(转化示意图对应于图8b)，在表8和表9所示的数据中，state＝0表示该事件不发生，state＝1表示该事件发生：

表8

表9

F2、将步骤C2中表2和表3所得的风险源发生频率作为贝叶斯网络中叶节点的先验概率输入，计算得到根节点发生频率为1.377×10^-9次/h，与步骤C3计算的结果十分接近，说明本发明提出的方法和所构建的贝叶斯网络是正确的；

F3、设置图7中A0的state＝1，即设置列控***设备发生失效，得到表10所示的后验概率：

表10

节点编号	节点名称	后验概率
			A0	设备因素	1
A1	ATP速度低于实际速度	0.018
			A2	控制曲线错误	0.982

由表10的结果可知，导致风险事件发生的直接因素为“控制曲线计算错误”，而导致A2出现的原因存在于地面和车载设备之中，因此，需要进一步确定地面和车载设备中的薄弱环节：

车载和地面设备的模块包括C0～C11，设置上一级节点A2的state＝1，即假设列控***发生“控制曲线计算错误”，得到的车载和地面设备中各模块的后验概率如表11所示，将表11中各中间节点的后验概率数据绘制成图，即得到贝叶斯网络的中间节点后验概率示意图，如图9所示：

表11

节点编号	节点名称	节点属性	后验概率
				A2	控制曲线错误	一级节点	1
C0	SDP计算错误	五级节点	0.002
				C1	测速测距单元故障	五级节点	0.006
C2	TSR***故障	五级节点	0.082
				C3	TCC主机故障	五级节点	0.137
C4	LEU故障	五级节点	0.087
				C5	有源应答器故障	五级节点	0.092
C6	BTM天线故障	五级节点	0.081
				C7	BTM故障	五级节点	0.159
C8	无源应答器故障	五级节点	0.091
				C9	轨道电路故障	五级节点	0.208
C10	TCR模块故障	五级节点	0.041
				C11	安全计算机计算错误	五级节点	0.013

从表11和图9所示，可知轨道电路故障、BTM故障以及TCC主机故障是导致“控制曲线计算错误”发生的重要因素，对比CTCS-2级列控***在2017年上半年的故障数据统计报告中，这三者发生故障的频率也是最高的，这其中，轨道电路故障的后验概率数据值最大，表明轨道电路故障是导致“控制曲线计算错误”发生的最重要因素，因此再进一步确定C9(导致轨道电路危险侧故障)发生的原因，由图7可知，C9的下级节点包括C9-1～C9-7，设置C9的state＝1，计算出C9的各叶节点的后验概率，如表12所示：

表12

编号	事件描述	事件属性	后验概率
				C9	轨道电路故障	五级节点	1
C9-1	轨道继电器错误吸起	叶节点	0.067
				C9-2	衰耗盘调整端子连接不当	叶节点	0.007
C9-3	接收器向外报告错误的轨道状态	叶节点	0.340
				C9-4	受端防雷模拟网络盘调整不当	叶节点	0.064
C9-5	送端防雷模拟网络盘调整不当	叶节点	0.067
				C9-6	发送器故障	叶节点	0.422
C9-7	发送电平调整不当	叶节点	0.034

将表12中各叶节点的后验概率数据绘制成图，即得到贝叶斯网络的叶节点后验概率示意图，如图10所示，可知导致C9发生的最重要的两个因素是发送器故障和接收器向外报告错误的轨道状态。

基于步骤E的风险等级评定结果和步骤F确定的列控***薄弱环节，可知需要从以下两方面进行列控***的风险控制：

1、控制风险发生频率

风险事件的发生频率为“罕见”，但是如果仅从设备的角度分析，A0(设备)发生危险侧故障的频率为4.589×10-7次/h，属于“极少的”，如要进一步减少A0的发生，根据步骤F的分析结果来看，应首先从轨道电路着手采取相关措施，而其中的发送器和接受器导致轨道电路发生危险侧故障的可能性最大，因此无论是在设计阶段还是在维护阶段，都应重点关注这两个组件；

其次是BTM和TCC，前者是车载设备中接受地面信息的入口之一，后者则是地面设备的中心，对于这两者的安全性和可靠性应有着更高的要求，尤其是TCC各种板卡组件较多，在维护阶段要求对故障组件能够进行精确地判断，及时更换，减少故障发生率；

另一方面，从司机角度考虑，由于列车尚未实现自动驾驶，运行过程中由列车司机操控，因此应格外注意加强司机在行车安全和列车操控方面的培训与监督。

2、降低后果严重程度

步骤D的结果表明风险事件“列车超速运行未防护”的后果是“非常严重的”，由此，应采取相关的措施，努力降低后果的严重性，例如，根据高速列车运行的特点及事故发生后的特点，建立相应的应急预案，当风险事件发生后，通过前期熟练的培训和演练，用最短的时间来处理事故，将安全影响、经济损失、服务中断的程度降到最低；

又例如，从设备维护人员的角度，需加强专业培训，根据官方的调查报告，甬温事件发生的其中一个原因就是宁波车务段的维修人员在发现轨道电路占用状态不符的情况后，未及时执行车机联控，因此，有必要通过加强对维修人员的培训，极大减少不必要风险事件的发生。

综上所述，本实施例首先基于列控***的特点，建立了风险矩阵；接着，在通过分析列控***的功能及风险事件发生机理之后，建立了故障树；然后，利用专家打分法、模糊集理论和蒙特卡洛仿真建立数学模型，计算了风险源及风险事件的发生频率；再运用专家打分法和证据理论建立数学模型，计算了风险事件的后果严重程度；之后通过与风险矩阵的比对，评定风险等级，完成对风险事件的评估；最后，根据故障树建立对应的贝叶斯网络，根据贝叶斯定理，定量地分析了列控***中导致风险事件发生的薄弱环节，并从降低风险发生频率和降低后果严重程度两个角度提出风险控制的建议。

Claims (9)

1.一种列控***风险评估方法，其特征在于，包括以下步骤：

S1、采集列控***风险评估对象的数据，确定风险事件和风险源，建立故障树，其中，故障树的顶事件为风险事件，故障树的底事件为风险源；

S2、构建包含风险发生频率和后果严重程度的风险矩阵，将风险发生频率分为不同的等级，并确定不同的等级对应的梯形模糊数，以建立梯形隶属函数；

S3、采用专家打分法和模糊集方法，并基于梯形隶属函数，计算得到风险源发生频率；

S4、基于故障树和风险源发生频率，采用蒙特卡洛仿真算法，计算得到风险事件发生频率；

S5、采用专家打分法、模糊层次分析法以及证据理论方法，计算得到风险的后果严重程度；

S6、根据步骤S4中风险事件发生频率和步骤S5中风险的后果严重程度，分别与步骤S2中风险矩阵进行比对，以评定风险等级；

S7、将故障树转化为贝叶斯网络，结合步骤S3中风险源发生频率，确定列控***的薄弱环节；

S8、根据风险等级，对列控***的薄弱环节进行风险控制，以减小列控***的风险发生频率、降低后果严重程度。

2.根据权利要求1所述的一种列控***风险评估方法，其特征在于，所述步骤S1具体包括以下步骤：

S11、采集列控***风险评估对象的数据，其中，评估对象的数据包括评估对象的功能以及评估对象正常执行功能的信息；

S12、根据评估对象的功能，确定该评估对象的风险事件；

S13、根据评估对象正常执行功能的信息，确定引发风险的节点，从引发风险的节点中确定风险源；

S14、以风险事件作为顶事件，以风险源作为底事件，建立故障树。

3.根据权利要求2所述的一种列控***风险评估方法，其特征在于，所述步骤S2中梯形隶属函数为：

A＝(a,b,c,d)

其中，μ_A(x)表示风险源的梯形隶属函数，x表示风险发生频率的等级，A表示风险源的梯形模糊数，a、b、c和d均为梯形模糊数中的等级数值。

4.根据权利要求3所述的一种列控***风险评估方法，其特征在于，所述步骤S3具体包括以下步骤：

S31、采用专家打分法，得到风险源的专家评语模糊数；

S32、集结专家评语模糊数，得到风险源的梯形模糊数：

式中，i表示第i个风险源，j表示第j个专家评语，A_i表示第i个风险源的梯形模糊数，B_j表示第j个专家评语的模糊数；

S33、根据梯形隶属函数，通过去模糊化，得到风险源发生频率：

式中，λ_i表示第i个风险源的发生频率，表示第i个风险源的梯形隶属函数。

5.根据权利要求4所述的一种列控***风险评估方法，其特征在于，所述步骤S4具体包括以下步骤：

S41、初始化蒙特卡洛仿真算法的仿真次数为α和故障树的底事件个数为β；

S42、生成β个随机数，由相应的随机数结合风险源发生频率，计算得到相应底事件的发生时间间隔：

式中，t表示底事件的发生时间间隔，F(t)表示正常工作时间小于t的频率，λ表示风险源的发生频率，F^-1(t)表示F(t)的反函数，求解该方程即可确定底事件发生时间间隔；

S43、计算顶事件的发生时间间隔，并记录α次仿真中顶事件的发生时间间隔，其中，对于或门，其顶事件的发生时间间隔为：

t_T＝min(t_A+t_B)

式中，t_T表示顶事件的发生时间间隔，t_A表示底事件A的发生时间间隔，t_B表示底事件B的发生时间间隔；

对于优先与门，其顶事件的发生时间间隔为：

式中，λ_A表示底事件A的发生频率，λ_B表示底事件B的发生频率；

S44、求取α个顶事件的发生时间间隔的平均值，该平均值的倒数为顶事件发生频率，即风险事件发生频率。

6.根据权利要求5所述的一种列控***风险评估方法，其特征在于，所述步骤S5具体包括以下步骤：

S51、构建后果严重程度评价指标体系及评价准则，采用模糊层次分析法计算评估指标的权重；

S52、采用专家打分法和证据理论，计算评估指标的后果严重等级隶属度；

S53、将评估指标的权重与后果严重等级隶属度相乘，基于最大隶属原则，得到风险的后果严重程度。

7.根据权利要求6所述的一种列控***风险评估方法，其特征在于，所述步骤S51具体包括以下步骤：

S511、获取后果严重程度评价指标体系以及构建基于三角隶属函数的评价准则，其中，后果严重程度评价指标体系包含τ个评估指标：

式中，v表示一级评估指标的个数，n_σ表示一个一级评估指标下的二级评估指标的个数；

S512、对同一个一级评估指标下的二级评估指标进行模糊比较，得到模糊比较矩阵：

m_r,u＝(a_r,u,b_r,u,c_r,u)

式中，M是模糊比较矩阵，n表示该一级评估指标下的二级评估指标的个数，r和u分别是该一级评估指标下的第r个评估指标和第u个评估指标，m_r,u表示专家对第r个评估指标和第u个评估指标的评语集结模糊数，a_r,u,b_r,u,c_r,u表示第r个评估指标和第u个评估指标的三角形模糊数；

S513、第r个评估指标的模糊权重先经过几何平均数计算，以得到判断矩阵的算术平均矩阵：

式中，表示专家对第r个评估指标的评语集结模糊数的算术平均数，表示第r个评估指标的三角形模糊数的算术平均数；

则第r个评估指标的模糊权重为：

式中，FW_r表示第r个评估指标的模糊权重，a_r,b_r,c_r表示第r个评估指标的三角形模糊数，表示第u个评估指标的三角形模糊数的算术平均数；

S514、对第r个评估指标的模糊权重进行去模糊化和归一化处理，得到第r个评估指标的权重为：

式中，w_r表示第r个评估指标的精确权重，w_r'表示第r个评估指标的模糊权重；

最终，得到τ个评估指标的权重集为W＝[w₁,w₂,...,w_τ]。

8.根据权利要求7所述的一种列控***风险评估方法，其特征在于，所述步骤S52具体包括以下步骤：

S521、采用专家打分法，获取评估指标的严重等级模糊集评判集为{cs₁,cs₂,cs₃,cs₄,cs₅,cs₆}＝{灾难的，非常严重的，严重的，临界的，轻的，无关紧要的}；

S522、针对每个评估指标，构建初始概率分配矩阵：

0≤p_q,z≤1,z＝1,2,…6

式中，q表示专家的总个数，p_q,z表示第q个专家依据其证据对评估指标处于第z严重等级的概率评判，p_q表示第q个专家对评估指标的概率评判集合；

S523、计算不同证据对应的折扣系数：首先，专家之间的评判距离为：

式中，e_k和e_y分别表示第k个专家的证据和第y个专家的证据，<p_k,p_y>表示概率评判集合p_k和p_y的向量内积，得出证据相互之间的相似度为：

则两个证据的相似度矩阵为：

之后，对相似度矩阵的每行进行求和，得到各证据被其他证据支持的程度为：

式中，sup(e_k)表示第k个专家的证据e_k被其他证据支持的程度；

则第k个专家提供的证据e_k的可信度为：

最终，得到折扣系数矩阵为：

S524、根据折扣系数矩阵，更新概率分配矩阵为：

式中，P’表示更新后的概率分配矩阵，p’_q,z表示更新后的第q个专家对该指标处于第z严重等级的概率评判；

S525、运用证据理论，假设存在一个问题需要判别，所有可能的判别结果组成的集合用Θ表示，Θ中的所有元素都是两两互斥的，则称Θ为识别框架：

Θ＝{θ₁,θ₂,…,θ_l,…,θ_G}

式中：θ_l表示识别框架Θ中的第l个元素，G表示识别框架Θ中的元素个数；

之后，采用基本概率分配函数ε来表示每个证据对识别框架Θ中每个元素的支持程度，ε是从集合2^Θ到[0,1]的映射，表示Θ的任一子集，且满足：

式中，ε(H)为识别框架子集H的基本概率分配函数，表示证据对识别框架子集H的信任程度的初始分配；

最后，将更新后的概率分配矩阵进行融合计算，得到评估指标所处的后果严重等级隶属度：

式中，t_k(cs_z)表示在第k个专家证据中，评估指标处于各个严重等级的隶属度，表示各个证据之间的冲突程度；

形成评估指标后果严重等级隶属度矩阵：

μ＝[t(cs₁),t(cs₂),...,t(cs₆)]

共有τ个评估指标，则全部评估指标的隶属度集为：

μ′＝[μ₁,μ₂,...,μ_τ]^T

式中，μ₁和μ₂分别表示第1个和第2个评估指标的后果严重等级隶属度矩阵，以此类推，μ_τ表示第τ个评估指标的后果严重等级隶属度矩阵。

9.根据权利要求4所述的一种列控***风险评估方法，其特征在于，所述步骤S7具体包括以下步骤：

S71、基于故障树的结构，建立贝叶斯网络，根据故障树转化为贝叶斯网络的转化准则，输入中间节点的条件概率，并将风险源发生频率作为贝叶斯网络叶节点的输入；

S72、设置发生顶事件，计算贝叶斯网络各中间节点和叶节点的后验概率，以确定列控***的薄弱环节。