物理基礎設施的控制設備故障會對人員、環(huán)境和其他物理基礎設施造成無法彌補的損害。因此，工程師們開發(fā)了各種針對事故和自然原因的保護，包括安全系統(tǒng)、保護、故障檢測和魯棒性。

安全：控制系統(tǒng)通用安全標準（IEC 61508）推薦的基本原則是從危險和風險分析中獲得要求，包括給定的可能性故障，以及故障的后果，然后設計系統(tǒng)，以便在考慮所有故障原因時滿足安全要求。該通用標準已成為特定行業(yè)中許多其他標準的基礎，例如，過程工業(yè)（煉油廠，化學系統(tǒng)等）。使用IEC 61511標準設計安全儀表系統(tǒng)（SIS）。SIS的目標是防止事故發(fā)生，例如，在高壓傳感器發(fā)出警報時關閉燃油閥。更一般的縱深防御安全分析使用保護層[26]，其中危險通過一組從（1）基本低開始的層來減輕向監(jiān)測站發(fā)送優(yōu)先警報，以（2）激活SIS系統(tǒng)，（3）緩解保障措施，例如實物保護系統(tǒng)（例如，堤壩）和工廠應急響應/疏散的組織響應協(xié)議。圖2說明了這些安全保護層。 

保護：與安全相關的概念是電網(wǎng)中的保護。這些保護系統(tǒng)包括：

?發(fā)電機保護：當系統(tǒng)頻率過低或過高時，發(fā)電機將自動與電網(wǎng)斷開，以防止發(fā)電機永久損壞。

?在頻率減載（UFLS）下：如果電網(wǎng)的頻率太低，將激活受控減載。配電系統(tǒng)部分的斷開以受控方式完成，同時避免醫(yī)院等安全關鍵負載的中斷。UFLS被激活是為了增加電網(wǎng)的頻率，并防止發(fā)電機斷開。

?過流保護：如果線路中的電流過高，將觸發(fā)保護繼電器，打開線路，防止損壞線路兩側的設備。

?過壓/欠壓保護：如果總線電壓過低或過高，將觸發(fā)電壓繼電器。

可靠性：雖然安全和保護系統(tǒng)試圖防止事故發(fā)生，但其他方法即使在系統(tǒng)發(fā)生故障后也試圖保持運行。例如，電氣系統(tǒng)的設計和操作滿足所謂的N-1安全標準，這意味著系統(tǒng)可能會失去其N個組件中的任何一個（例如一臺發(fā)電機、變電站或輸電線路），并繼續(xù)運行，產(chǎn)生的瞬變消失以產(chǎn)生令人滿意的新穩(wěn)態(tài)運行條件，這意味著電力的可靠輸送將繼續(xù)下去。

容錯：一種類似但數(shù)據(jù)驅(qū)動的檢測和預防故障的方法屬于故障檢測、隔離和重新配置（FDIR）[27]。使用基于模型的檢測系統(tǒng)或純數(shù)據(jù)驅(qū)動的系統(tǒng)檢測異常;該過程的這一部分也稱為錯誤數(shù)據(jù)檢測。隔離是確定哪個設備是異常源的過程，重新配置是從故障中恢復的過程，通常是通過移除故障傳感器（如果系統(tǒng)中有足夠的傳感器冗余）。

魯棒控制：另一個相關概念是魯棒控制[28]。魯棒控制處理控制系統(tǒng)運行中的不確定性問題。這些未知操作條件的來源可能來自環(huán)境（例如，飛機運行中的陣風）、傳感器噪聲、工程師未建模的系統(tǒng)動力學或系統(tǒng)組件隨時間推移的退化。魯棒控制系統(tǒng)通常采用最不利的工作條件，然后設計控制算法，使系統(tǒng)即使在最壞的不確定性情況下也能安全運行。

機制不足以提供安全性：在CPS安全成為主流領域之前，對于安全性，保護，容錯和強大的控制是否足以保護CPS免受網(wǎng)絡攻擊存在很多困惑。然而，正如十多年前所爭論的那樣[5]，這些保護系統(tǒng)通常假設獨立的、非惡意的故障，而在安全方面，不正確的模型假設是對手繞過任何保護的最簡單方法。自那時以來，有幾個例子表明為什么這些機制不提供安全。例如劉等人。[29]展示了電網(wǎng)中的故障檢測（不良數(shù)據(jù)檢測）算法如何被發(fā)送與合理一致的錯誤數(shù)據(jù)的對手繞過。電網(wǎng)配置，但同時從實際值到足以給系統(tǒng)帶來問題。動態(tài)系統(tǒng)（具有“時間”組件的系統(tǒng)）的類似示例考慮了隱形攻擊[30]。這些攻擊會在傳感器中注入小的錯誤數(shù)據(jù)，以便故障檢測系統(tǒng)不會將它們識別為異常，而是在很長一段時間內(nèi)時間，這些攻擊可能會將系統(tǒng)推向危險的操作條件。同樣，電網(wǎng)中的N-1安全標準假設如果發(fā)生故障，所有保護設備將按配置做出反應，但是攻擊者可以更改電網(wǎng)中保護設備的配置。在這種情況下，電網(wǎng)N-1故障的結果將是完全出乎意料的，因為設備將以意想不到的方式做出反應。由電網(wǎng)運營商，導致大容量電力系統(tǒng)的潛在級聯(lián)故障。最后，在第1.3.1節(jié)中，我們將描述現(xiàn)實世界的攻擊如何開始針對其中一些針對事故的保護;例如，Triton惡意軟件專門針對過程控制系統(tǒng)中的安全系統(tǒng)。

安全與安全：添加新的安全防御可能會帶來安全問題，例如，發(fā)電廠因計算機在補丁后重新啟動而關閉[31]。軟件更新和修補可能會違反安全認證，防止未經(jīng)授權的用戶訪問CPS也可能阻止急救人員在緊急情況下訪問系統(tǒng)（例如，護理人員可能需要訪問防止未經(jīng)授權的連接的醫(yī)療設備）。安全解決方案在設計和部署新的安全機制時應考慮這些CPS安全問題。