余度设计(又称冗余设计)：为了获得高任务可靠性、高安全性和高生存能力的设计方法。

基本思路是以可靠性较低的基础元器或零部件，采用增加多余的资源，来获得较高的任务可靠性。

例如航天里的返回舱降落伞，就有冗余设计。国内目前多为单伞，但它是有备份伞的，一旦这个伞失效，备份伞就会启动。而国外采用多伞互为备份居多，比如下面右边这幅图，有一个降落伞失败了，但是它还有两个降落伞，不影响工作。

哪种方式更好，其实各有优劣。但未来航天器如果越来越大，那应该还是多伞的载重能力大一些。

下面举一些身边的例子来理解下冗余设计的准则。

冗余设计准则：

1、当简化设计、降额设计及选用的高可靠性的零部件、元器件仍然不能满足任务可靠性要求时，则应采用冗余设计。

这个很好理解，其他不能满足时，再多加一道保险去完成。例如我们做软水机，担心一个可能的情况，在完成再生任务的时候，刚好用户家停电了，或者说因为某种原因，电源适配器坏了。这个时候，如果没有备用方案，再生后，由于没电，电机不能走到关闭工位，水一直关不住，最后漏水。所以我们还有个备用的电池。一旦发生了这类情形，电池就派上了用场。

2、在重量、体积、成本允许的条件下，选用冗余设计比其他可靠性设计方法更能满足任务可靠性要求。

这个用概率论就能很好的解释。比如某将领说的导弹命中概率70%，一次发射三颗发命中率是210%，没学好概率论，实际是1-(1-0.7)^3=97.3%。

冗余大大提高了任务可靠性。只要你有钱，无限发射导弹，那可以认为一定会命中。

3、影响任务成功的关键部件如果具有单点故障模式，则应考虑采用冗余设计技术。

举一个UPS电源的例子来理解。

UPS(Uninterruptible Power Supply)是一种含有储能装置的不间断电源，主要用于给部分对电源稳定性要求较高的设备，提供不间断的电源。例如，服务器会考虑备用电源。

为了消除单点故障，高等级数据中心通常采用2N冗余系统。该系统是指由两套或多套UPS系统组成的冗余系统，每套UPS系统N台UPS设备的总容量为系统的基本容量。该系统从交流输入经UPS设备直到双电源输入负载，完全是彼此隔离的两条供电线路，也就是说，在供电的整个路径中的所有环节和设备都是冗余配置的，正常运行时，每套UPS系统仅承担总负荷的一部分。这种多电源系统冗余的供电方式，克服单电源系统存在的单点故障瓶颈，对于少数单电源设备的情况，可通过安装小型STS设备，保证其供电可靠性。采用2N冗余系统可用性得到明显提高。

4、硬件的冗余设计一般在较低层次（设备、部件）使用，功能冗余设计一般在较高层次（分系统、系统）进行。

例如下面这个晶体管模块，就是有冗余的，在部件的层面去实现。

功能冗余，比如说下面这个工业发电机例子。

如果一台发电机出现故障，电力负载会优先在系统中的其他发电机之间重新分配。这就是系统层面上的冗余。

5、冗余设计中应重视冗余切换装置的设计，必须考虑切换装置的故障概率对系统的影响，尽量选择高可靠性的切换装置。

还是回到UPS电源的例子。被动后备式UPS电源，用来并联连接在市电与负载之间，仅简单地作为备用电源使用。构成示意图如下：

在市电正常时，负载完全而且是直接地市电供电，逆变器不做任何电能变换，蓄电池由独立的充电器供电；当市电不正常时，负载就会切换到逆变器上提供电能。

被动后备式UPS具有结构简单、价格最廉等优点，运用于某些非重要的负载使用，如家用计算机等。但市电断电时，继电器将逆变器切换至负载，切换时间较长，一般需几个毫秒的间断，所以稍微重要的计算机设备不应选用被动后备式UPS电源。

这里这个转换开关就很重要了，如果它本身的可靠性不够，那很可能在关键的时候，需要它切换的时候，结果它坏了。

6、冗余设计应考虑对共模/共因故障的影响。

先理解什么是共模故障，什么是共因故障。

共模故障：结构、系统或组件以同样的方式失效。

共因故障：由特定的单一事件或起因导致若干装置或部件功能失效的故障。

理解这两个概念后，我们举个管线机例子。管线机同时有机械浮球和电子浮球去控制水箱水位。这就考虑到了共模，共因的影响。

即使跟电相关的失效出现了（如连接线松了，浮球干簧管坏了等等），机械浮球还是能起到保护作用。