物理基礎(chǔ)設(shè)施的控制設(shè)備故障會(huì)對(duì)人員、環(huán)境和其他物理基礎(chǔ)設(shè)施造成無(wú)法彌補(bǔ)的損害。因此，工程師們開發(fā)了各種針對(duì)事故和自然原因的保護(hù)，包括安全系統(tǒng)、保護(hù)、故障檢測(cè)和魯棒性。

安全：控制系統(tǒng)通用安全標(biāo)準(zhǔn)（IEC 61508）推薦的基本原則是從危險(xiǎn)和風(fēng)險(xiǎn)分析中獲得要求，包括給定的可能性故障，以及故障的后果，然后設(shè)計(jì)系統(tǒng)，以便在考慮所有故障原因時(shí)滿足安全要求。該通用標(biāo)準(zhǔn)已成為特定行業(yè)中許多其他標(biāo)準(zhǔn)的基礎(chǔ)，例如，過(guò)程工業(yè)（煉油廠，化學(xué)系統(tǒng)等）。使用IEC 61511標(biāo)準(zhǔn)設(shè)計(jì)安全儀表系統(tǒng)（SIS）。SIS的目標(biāo)是防止事故發(fā)生，例如，在高壓傳感器發(fā)出警報(bào)時(shí)關(guān)閉燃油閥。更一般的縱深防御安全分析使用保護(hù)層[26]，其中危險(xiǎn)通過(guò)一組從（1）基本低開始的層來(lái)減輕向監(jiān)測(cè)站發(fā)送優(yōu)先警報(bào)，以（2）激活SIS系統(tǒng)，（3）緩解保障措施，例如實(shí)物保護(hù)系統(tǒng)（例如，堤壩）和工廠應(yīng)急響應(yīng)/疏散的組織響應(yīng)協(xié)議。圖2說(shuō)明了這些安全保護(hù)層。 

保護(hù)：與安全相關(guān)的概念是電網(wǎng)中的保護(hù)。這些保護(hù)系統(tǒng)包括：

?發(fā)電機(jī)保護(hù)：當(dāng)系統(tǒng)頻率過(guò)低或過(guò)高時(shí)，發(fā)電機(jī)將自動(dòng)與電網(wǎng)斷開，以防止發(fā)電機(jī)永久損壞。

?在頻率減載（UFLS）下：如果電網(wǎng)的頻率太低，將激活受控減載。配電系統(tǒng)部分的斷開以受控方式完成，同時(shí)避免醫(yī)院等安全關(guān)鍵負(fù)載的中斷。UFLS被激活是為了增加電網(wǎng)的頻率，并防止發(fā)電機(jī)斷開。

?過(guò)流保護(hù)：如果線路中的電流過(guò)高，將觸發(fā)保護(hù)繼電器，打開線路，防止損壞線路兩側(cè)的設(shè)備。

?過(guò)壓/欠壓保護(hù)：如果總線電壓過(guò)低或過(guò)高，將觸發(fā)電壓繼電器。

可靠性：雖然安全和保護(hù)系統(tǒng)試圖防止事故發(fā)生，但其他方法即使在系統(tǒng)發(fā)生故障后也試圖保持運(yùn)行。例如，電氣系統(tǒng)的設(shè)計(jì)和操作滿足所謂的N-1安全標(biāo)準(zhǔn)，這意味著系統(tǒng)可能會(huì)失去其N個(gè)組件中的任何一個(gè)（例如一臺(tái)發(fā)電機(jī)、變電站或輸電線路），并繼續(xù)運(yùn)行，產(chǎn)生的瞬變消失以產(chǎn)生令人滿意的新穩(wěn)態(tài)運(yùn)行條件，這意味著電力的可靠輸送將繼續(xù)下去。

容錯(cuò)：一種類似但數(shù)據(jù)驅(qū)動(dòng)的檢測(cè)和預(yù)防故障的方法屬于故障檢測(cè)、隔離和重新配置（FDIR）[27]。使用基于模型的檢測(cè)系統(tǒng)或純數(shù)據(jù)驅(qū)動(dòng)的系統(tǒng)檢測(cè)異常;該過(guò)程的這一部分也稱為錯(cuò)誤數(shù)據(jù)檢測(cè)。隔離是確定哪個(gè)設(shè)備是異常源的過(guò)程，重新配置是從故障中恢復(fù)的過(guò)程，通常是通過(guò)移除故障傳感器（如果系統(tǒng)中有足夠的傳感器冗余）。

魯棒控制：另一個(gè)相關(guān)概念是魯棒控制[28]。魯棒控制處理控制系統(tǒng)運(yùn)行中的不確定性問(wèn)題。這些未知操作條件的來(lái)源可能來(lái)自環(huán)境（例如，飛機(jī)運(yùn)行中的陣風(fēng)）、傳感器噪聲、工程師未建模的系統(tǒng)動(dòng)力學(xué)或系統(tǒng)組件隨時(shí)間推移的退化。魯棒控制系統(tǒng)通常采用最不利的工作條件，然后設(shè)計(jì)控制算法，使系統(tǒng)即使在最壞的不確定性情況下也能安全運(yùn)行。

機(jī)制不足以提供安全性：在CPS安全成為主流領(lǐng)域之前，對(duì)于安全性，保護(hù)，容錯(cuò)和強(qiáng)大的控制是否足以保護(hù)CPS免受網(wǎng)絡(luò)攻擊存在很多困惑。然而，正如十多年前所爭(zhēng)論的那樣[5]，這些保護(hù)系統(tǒng)通常假設(shè)獨(dú)立的、非惡意的故障，而在安全方面，不正確的模型假設(shè)是對(duì)手繞過(guò)任何保護(hù)的最簡(jiǎn)單方法。自那時(shí)以來(lái)，有幾個(gè)例子表明為什么這些機(jī)制不提供安全。例如劉等人。[29]展示了電網(wǎng)中的故障檢測(cè)（不良數(shù)據(jù)檢測(cè)）算法如何被發(fā)送與合理一致的錯(cuò)誤數(shù)據(jù)的對(duì)手繞過(guò)。電網(wǎng)配置，但同時(shí)從實(shí)際值到足以給系統(tǒng)帶來(lái)問(wèn)題。動(dòng)態(tài)系統(tǒng)（具有“時(shí)間”組件的系統(tǒng)）的類似示例考慮了隱形攻擊[30]。這些攻擊會(huì)在傳感器中注入小的錯(cuò)誤數(shù)據(jù)，以便故障檢測(cè)系統(tǒng)不會(huì)將它們識(shí)別為異常，而是在很長(zhǎng)一段時(shí)間內(nèi)時(shí)間，這些攻擊可能會(huì)將系統(tǒng)推向危險(xiǎn)的操作條件。同樣，電網(wǎng)中的N-1安全標(biāo)準(zhǔn)假設(shè)如果發(fā)生故障，所有保護(hù)設(shè)備將按配置做出反應(yīng)，但是攻擊者可以更改電網(wǎng)中保護(hù)設(shè)備的配置。在這種情況下，電網(wǎng)N-1故障的結(jié)果將是完全出乎意料的，因?yàn)樵O(shè)備將以意想不到的方式做出反應(yīng)。由電網(wǎng)運(yùn)營(yíng)商，導(dǎo)致大容量電力系統(tǒng)的潛在級(jí)聯(lián)故障。最后，在第1.3.1節(jié)中，我們將描述現(xiàn)實(shí)世界的攻擊如何開始針對(duì)其中一些針對(duì)事故的保護(hù);例如，Triton惡意軟件專門針對(duì)過(guò)程控制系統(tǒng)中的安全系統(tǒng)。

安全與安全：添加新的安全防御可能會(huì)帶來(lái)安全問(wèn)題，例如，發(fā)電廠因計(jì)算機(jī)在補(bǔ)丁后重新啟動(dòng)而關(guān)閉[31]。軟件更新和修補(bǔ)可能會(huì)違反安全認(rèn)證，防止未經(jīng)授權(quán)的用戶訪問(wèn)CPS也可能阻止急救人員在緊急情況下訪問(wèn)系統(tǒng)（例如，護(hù)理人員可能需要訪問(wèn)防止未經(jīng)授權(quán)的連接的醫(yī)療設(shè)備）。安全解決方案在設(shè)計(jì)和部署新的安全機(jī)制時(shí)應(yīng)考慮這些CPS安全問(wèn)題。