《智能网联汽车 自动驾驶系统安全》征求意见稿的个人解读
2026年2月12日,中华人民共和国工业和信息化部公开征求《智能网联汽车 自动驾驶系统安全要求》的意见。在仔细阅读完征求意见稿后,有几点思考,分享给大家。阅读过意见稿的朋友可以直接跳到第二部分。
一、草案主要内容总结
1.1 定位与地位
这是中国自动驾驶安全领域的顶层强制性技术标准,在"GB/T 40429驾驶自动化分级"之下,第一次系统性地为L3和L4级ADS建立了完整的安全技术要求体系。
1.2 核心框架:三大轴线
轴线一:ADS技术要求(第5章)
DDT执行: 感知、预测、决策、控制全链路要求,区分标称场景/风险场景/失效场景/不符合ODC场景四类运行状态
人机交互: 激活/退出机制、驾驶员监测、接管协议、状态提示
用户告知: 除使用说明书外的公开可获取的方式向用户提供使用说明,含ADS局限性、接管说明、应急处置等
MRM最小风险策略: L3/L4均须具备靠边停车能力
轴线二:安全保障体系SMS(第6章)
要求企业建立覆盖开发-生产-部署后全生命周期的安全保障要求体系
仿真工具链须经过严格的验证(Verification)和确认(Validation)
引入功能安全、预期功能安全SOTIF和网络安全等的系统化管理
轴线三:安全档案与型式认证(第8-10章)
安全档案采用**"声明→论据→证据"三层结构**,类似航空航天安全案例(Safety Case)方法论
确认性试验采用实车试验+仿真试验形式
明确的残余风险定量指标:按事故率 - 碰撞率 < 10⁻⁴/h;按伤害程度 - 轻伤事故率< 10⁻5/h,重伤事故率< 10⁻6/h,致命事故率 < 10⁻⁷/h
同一型式判定规则:硬件配置、ODC、功能等级等等须完全一致。不影响ADS表现的软件升级可以被认为是同一型式。
1.3 L3与L4能力分级对比
维度 | L3级 ADS | L4级 ADS |
|---|
核心定义 | 需要接管的ADS功能 | 有ODD限制、不需要接管的ADS功能 |
逆向行驶应对 | 以减轻碰撞后果为目的(被动) | 识别碰撞风险,主动最小化风险(主动) |
驾驶员监测 | 强制要求(附录A) | 不需要 |
MRM触发 | 后援用户不接管时强制执行 | 有预设条件时执行 |
远程协助 | 不涉及 | 允许(ADS仍执行全部DDT) |
运营场景 | 当前法规版本:仅限高快速路(附录B) | 高快速路,也可以是高快速路以外道路 |
二、核心推论整理
推论一:L3与L4的本质能力分界——"被动减轻" vs "主动预防"
原文措辞差异揭示了核心区别:
L3(B.1.1.11): 当车辆所在车道内存在前向逆向行驶的其他车辆时,ADS应以减轻潜在碰撞后果为目的采取合理的控制策略进行响应。
L4(附录C): ADS应识别逆向行驶车辆,执行合理的控制策略,旨在最小化对车内用户和ORU的安全风险。
L4要求真正做到"预测逆行车辆并主动规避",L3只需"撞不上最好,撞上了尽量减少伤亡"。L4的感知-预测链路必须更早、更准,传感器配置和算法要求差距显著。
推论二:L4将进入运营Bus场景——站立乘客豁免与加速度限值
附录C对L4有如下专门规定:
若车辆允许乘客站立或不佩戴乘客约束系统,除安全档案中描述的特殊情况外,ADS发出的水平方向加速度和减速度指令应不大于 2.4 m/s²,水平方向加速度和减速度变化率均应不大于 5.0 m/s³。
地铁的加速度一般小于1.2 m/s²,2.4 m/s²是否在人体站立时可以维持平衡待观察。不过这一条款明确承认了Robotaxi/无人小巴"站立无安全带"运营场景的合法性,是L4商业化落地的关键政策铺垫。
推论三:L4将进入乘用车
5.2.2.2.5条规定:
ADS在从L4级ADS功能向L3级ADS功能切换前,ADS应获得可承担后援用户角色的乘客同意其担任后援用户的确认。
这条规定反推出两个重要事实:① L4车辆可以有驾驶位(否则无法切换到L3让"乘客"当后援用户);② 同一辆车可以同时具备L4和L3能力,在不同ODC下分级运行。
L4进入乘用车将给高速L3带来巨大挑战。对于高速场景,L3和L4的实现难度差异不是太大的情况下,L4对于用户来说收益更大(L3启动后,用户视线要时刻关注驾驶任务区域,不能睡觉!!!)
推论四:线控化是L3量产车的必然选择
这是整个草案中对汽车行业工程实践影响最深远的推论。
5.2.2.3.3条规定:
ADS 应在退出完成前评估后援用户或承担驾驶员角色的乘客是否做好充分准备以恢复执行 DDT。至少应符合以下条件,才认为车内用户做好充分准备以恢复执行 DDT: a) 手握转向盘; b) 视线注视驾驶任务相关的区域,且持续时长足以支持安全恢复执行 DDT。
5.2.3.3条规定:
若装备 ADS 的车辆配备有为人工驾驶提供的操纵件(例如,转向、行车制动、驻车制动、加速和照明等),其操纵件相关设计应能防止在 ADS 执行 DDT 时对 DDT 产生任何影响,或应采取合理的防 护措施防止为人工驾驶提供的操纵件被接触。
核心逻辑链如下:
结论:SBW(Steer-by-Wire)+ BBW(Brake-by-Wire)+ 失效安全冗余将成为L3量产车的标准配置。线控底盘从"高端选配"变为"合规必需"。
推论五:接管能力监测——DMS赛道加速
附录A.4.1条要求:
ADS应至少通过2种有效的指标单独确认后援用户在上一个30秒时间周期内具备执行DDT的能力,否则视为不具备接管能力。
指标类型:人机交互动作、眼部运动、头部运动、身体运动、语音输出、生理特征等。
DMS(驾驶员监测系统)从L2的"建议安装"升级为L3的强制标配,且要求同时满足2种独立指标。当前等已量产DMS的车企将面临标准升级的合规压力,DMS算法供应商将迎来市场扩容。
推论六:重塑Robotaxi竞争格局
当前,L4 无人车载客运营期间发生事故,属于车辆一方责任的,由运营主体(平台)先行赔偿,运营主体可依法向制造商或 ADS 供应商追偿。而强标则将 ADS 安全合规的主体压在汽车制造商身上,要求其自证系统满足全部条款。
对百度萝卜快跑、小马智行这类兼具运营方与技术方案提供方双重身份的公司而言,其与 OEM 之间的角色边界本就模糊——谁是"制造商"、谁负责安全档案的建立与自证,目前存在大量模糊地带。强标正式实施后,这一边界必须明确界定,对这类科技公司的合规架构提出了更高要求。
与此同时,一旦 OEM 完成合规安全档案的建立,其合规成本将被摊薄,反而更易于以整车厂商的身份切入 Robotaxi 运营市场——届时,OEM 与运营平台之间的竞争格局也将随之重构。
