物理基礎設施的控制設備故障會對人員、環境和其他物理基礎設施造成無法彌補的損害。因此，工程師們開發了各種針對事故和自然原因的保護，包括安全系統、保護、故障檢測和魯棒性。

安全：控制系統通用安全標準（IEC 61508）推薦的基本原則是從危險和風險分析中獲得要求，包括給定的可能性故障，以及故障的后果，然后設計系統，以便在考慮所有故障原因時滿足安全要求。該通用標準已成為特定行業中許多其他標準的基礎，例如，過程工業（煉油廠，化學系統等）。使用IEC 61511標準設計安全儀表系統（SIS）。SIS的目標是防止事故發生，例如，在高壓傳感器發出警報時關閉燃油閥。更一般的縱深防御安全分析使用保護層[26]，其中危險通過一組從（1）基本低開始的層來減輕向監測站發送優先警報，以（2）激活SIS系統，（3）緩解保障措施，例如實物保護系統（例如，堤壩）和工廠應急響應/疏散的組織響應協議。圖2說明了這些安全保護層。 

保護：與安全相關的概念是電網中的保護。這些保護系統包括：

?發電機保護：當系統頻率過低或過高時，發電機將自動與電網斷開，以防止發電機永久損壞。

?在頻率減載（UFLS）下：如果電網的頻率太低，將激活受控減載。配電系統部分的斷開以受控方式完成，同時避免醫院等安全關鍵負載的中斷。UFLS被激活是為了增加電網的頻率，并防止發電機斷開。

?過流保護：如果線路中的電流過高，將觸發保護繼電器，打開線路，防止損壞線路兩側的設備。

?過壓/欠壓保護：如果總線電壓過低或過高，將觸發電壓繼電器。

可靠性：雖然安全和保護系統試圖防止事故發生，但其他方法即使在系統發生故障后也試圖保持運行。例如，電氣系統的設計和操作滿足所謂的N-1安全標準，這意味著系統可能會失去其N個組件中的任何一個（例如一臺發電機、變電站或輸電線路），并繼續運行，產生的瞬變消失以產生令人滿意的新穩態運行條件，這意味著電力的可靠輸送將繼續下去。

容錯：一種類似但數據驅動的檢測和預防故障的方法屬于故障檢測、隔離和重新配置（FDIR）[27]。使用基于模型的檢測系統或純數據驅動的系統檢測異常;該過程的這一部分也稱為錯誤數據檢測。隔離是確定哪個設備是異常源的過程，重新配置是從故障中恢復的過程，通常是通過移除故障傳感器（如果系統中有足夠的傳感器冗余）。

魯棒控制：另一個相關概念是魯棒控制[28]。魯棒控制處理控制系統運行中的不確定性問題。這些未知操作條件的來源可能來自環境（例如，飛機運行中的陣風）、傳感器噪聲、工程師未建模的系統動力學或系統組件隨時間推移的退化。魯棒控制系統通常采用最不利的工作條件，然后設計控制算法，使系統即使在最壞的不確定性情況下也能安全運行。

機制不足以提供安全性：在CPS安全成為主流領域之前，對于安全性，保護，容錯和強大的控制是否足以保護CPS免受網絡攻擊存在很多困惑。然而，正如十多年前所爭論的那樣[5]，這些保護系統通常假設獨立的、非惡意的故障，而在安全方面，不正確的模型假設是對手繞過任何保護的最簡單方法。自那時以來，有幾個例子表明為什么這些機制不提供安全。例如劉等人。[29]展示了電網中的故障檢測（不良數據檢測）算法如何被發送與合理一致的錯誤數據的對手繞過。電網配置，但同時從實際值到足以給系統帶來問題。動態系統（具有“時間”組件的系統）的類似示例考慮了隱形攻擊[30]。這些攻擊會在傳感器中注入小的錯誤數據，以便故障檢測系統不會將它們識別為異常，而是在很長一段時間內時間，這些攻擊可能會將系統推向危險的操作條件。同樣，電網中的N-1安全標準假設如果發生故障，所有保護設備將按配置做出反應，但是攻擊者可以更改電網中保護設備的配置。在這種情況下，電網N-1故障的結果將是完全出乎意料的，因為設備將以意想不到的方式做出反應。由電網運營商，導致大容量電力系統的潛在級聯故障。最后，在第1.3.1節中，我們將描述現實世界的攻擊如何開始針對其中一些針對事故的保護;例如，Triton惡意軟件專門針對過程控制系統中的安全系統。

安全與安全：添加新的安全防御可能會帶來安全問題，例如，發電廠因計算機在補丁后重新啟動而關閉[31]。軟件更新和修補可能會違反安全認證，防止未經授權的用戶訪問CPS也可能阻止急救人員在緊急情況下訪問系統（例如，護理人員可能需要訪問防止未經授權的連接的醫療設備）。安全解決方案在設計和部署新的安全機制時應考慮這些CPS安全問題。