L3强制国标来了:拆解10大硬约束,自动驾驶安全底线如何定义.《智能网联汽车 系统安全要求》
《智能网联汽车 自动驾驶系统安全要求》强制性国标征求意见稿 · 深度解读
2026年2月,工信部公开征求一项强制性国标的意见——《智能网联汽车 自动驾驶系统安全要求》。标准的计划号为20256778-Q-339,那个"Q"意味着强制性;它代替的是GB/T 44721-2024,从推荐性升级而来,标题也从"通用技术要求"改成了"安全要求"。三个字的替换,不是文字游戏。"通用"意味着可选参考,"安全"意味着底线门槛。不满足,就无法通过产品准入。建议实施日期定在2027年7月1日。新申请车型实施之日起执行,已获批车型给12个月过渡期。留给行业的时间,不到一年半。多年汽车行业自动驾驶产品经验,不定期分享资讯及技术解析,欢迎关注作者一起交流~一、范式转变:从"跑通测试"到"证明安全"
传统的汽车产品准入,核心逻辑是"跑通测试"——你把车拉到试验场,按法规清单一项项跑,跑过了就合规。这套逻辑对刹车、灯光、碰撞这些成熟系统是够用的,因为失效模式相对确定,测试场景可以穷举。但L3/L4不是成熟系统。它的运行场景是开放的、长尾的,测试永远无法穷举所有风险场景。UN R157(联合国ALKS法规)的思路是规定系统应满足的性能要求,但对如何验证这些要求留了很大灵活空间。结果就是,各车企各显神通,验证的深度和广度参差不齐。中国这部国标做了一个重要的范式转变:不是"跑通测试就行",而是要求车企用结构化论证证明为什么安全。第一层:保障要求检验——审查企业有没有建立安全管理能力(SMS),有没有合格的试验条件。SMS的四大维度——安全方针、风险管理、安全保证、安全提升——覆盖了从组织到技术的完整链条。编制说明明确指出,SMS参考了GB/T 34590.2(功能安全管理)和IATF 16949(质量管理体系),不是另起炉灶,而是与现有体系融合。这是在问:你这家企业,有没有持续产出安全产品的基础能力?第二层:安全档案检验——审查车企提交的结构化论证文档。安全档案采用声明→论据→证据的三层结构:你声明"我的ADS在ODC内不会造成不合理风险",然后提供论据(为什么这个声明成立),再提供证据(仿真/场地/道路试验结果)。附录D给出了安全档案的完整模板——系统描述、安全概念、声明/论据/证据、场景管理、试验证据、评审记录六大模块。这是在问:你能不能自圆其说?第三层:确认性试验——检验人员根据安全档案独立设计并执行验证试验。不是你跑什么我就看什么,而是我根据你的声明来设计试验,验证你的声明是否站得住。检验人员甚至可以要求现场见证试验过程,或者要求额外试验来验证车企声明的真实性。这是在问:你说的,我信不信?三层递进,从"能力"到"论证"到"验证",把"安全"从一句口号变成了可审计的证据链。这套思路借鉴自航空(DO-178C)和核能(IEC 61513)等高安全行业的安全案例(Safety Case)制度,但在汽车行业是首次以强制性国标的形式落地。编制说明中有一段话值得注意:"安全档案不是静态的,应随ADS的变更而更新。"这意味着安全档案是一个活文档,贯穿产品全生命周期——不是准入时交一次就完事,后续OTA升级、功能扩展都要同步更新。这给车企的配置管理和变更管理提出了很高的要求。标准引用的6项规范性文件构成了L3合规的工具箱:GB 21670(乘用车制动系统)是冗余制动的基础;GB 44497(数据记录系统)是DSSAD"黑匣子"的强制要求;GB/T 41798、GB/T 44719、GB/T 47025分别是场地、道路、仿真三种试验方法标准;GB/T 45312(设计运行条件)是ODC/ODD的定义依据。三支柱试验法(仿真+场地+道路)是国际共识,但中国标准的创新在于——明确写死了验证场景清单,而联合国GTR未规定统一场景。二、DDT四层场景架构:为什么是这四种?
第5章是全标准最核心的章节,DDT执行的要求按场景分为四类:标称场景、风险场景、失效场景、不符合ODC场景。这个分类不是随意切割,背后有一套严密的逻辑——它对应了L3系统在运行中可能遇到的四类"现实",每一类的安全目标和验证标准完全不同。四类场景从"理想"到"最坏"逐层递进,系统在每一层需要做的事情都不一样。标称场景:零碰撞容忍的承诺
标称场景的定义是"ADS在ODC内正常运行,不需要>3m/s²减速度来避免碰撞"的场景。用通俗的话说:一切正常,没什么意外。在这种场景下,标准的要求近乎苛刻——驾驶行为不导致碰撞,避免与安全相关目标碰撞,根据安全风险调整驾驶行为,合理应对无法探测区域,与ORU安全交互,避免不合理扰乱交通流,符合道路通行规定。这是L3对社会的承诺:在正常条件下,我的驾驶安全水平不低于一个合格且专注的人类驾驶员。5.1.2.8"避免不合理扰乱交通流"这条容易被忽略,但它对用户体验有重大影响。编制说明举例:无故低速、长时间等待、起步过慢都算"不合理扰乱"。这意味着L3不能为了"绝对安全"而变成路上的移动路障——安全与效率必须平衡。但L3和L4在这里有一个关键分水岭。5.1.2.10和5.1.2.11规定:遇到优先车辆(救护车/消防车等)或交警指挥时,L3可以让行,也可以发出介入请求让后援用户处理;L4则必须自己搞定。这不是技术能力的区别,而是角色定义的区别。L3的后援用户是一个法定角色,法规承认在某些复杂社交场景中,人类的社会认知能力仍然优于机器。L4没有这个退路,所以它的技术门槛天然更高。风险场景:安全优先,其他可以牺牲
风险场景的定义是"需要>3m/s²减速度才能避免碰撞"的场景。3m/s²这个阈值不是随便定的——它大致对应正常制动的上限,超过这个减速度就意味着"紧急情况"。在风险场景下,标准的态度发生了微妙转变:安全优先,但交规和效率可以牺牲。5.1.3.1要求"尽可能符合标称场景的要求",加了"只要合理可行"的限定——意味着在紧急情况下,压实线、超速、低速等违规行为如果是为了避险,是可以接受的。编制说明特别解释了为什么5.1.3.2要求"碰撞不可避免时执行合理控制降低伤害"而不是"避免碰撞"——因为在某些极端场景下,碰撞确实不可避免(比如被后方高速追尾),此时系统的目标应从"避免碰撞"降级为"降低伤害"。5.1.3.3进一步要求碰撞后应使车辆静止,这对应道交法的"立即停车"要求,也防止了"肇事逃逸"的法律风险。失效场景:一次故障,终身记录
5.1.4.3给出了两条路径:故障导致不安全→执行后援响应+禁止重新激活;故障后仍能安全执行DDT→降级运行(类似"跛行回家"模式)。5.1.4.2要求系统必须"探测影响DDT能力的故障和异常"——故障检测是前提,检测不到故障就谈不上安全响应。"禁止重新激活"是标准中最严厉的条款之一。编制说明解释,这是为了避免用户在已知系统有故障的情况下反复尝试激活——现实中,有些驾驶员对L2系统的警告灯视而不见,继续开启辅助驾驶。L3必须杜绝这种行为,"一次故障锁死"是设计上的强制约束。5.1.1.5要求"ADS应执行合理控制策略应对感知系统性能衰退"——针对传感器老化、脏污、遮挡等渐进式退化,系统不能假装没看见,必须有降级策略。这个条款解决了一个灰色地带:传感器突然坏了算"失效",但慢慢变差算什么?标准要求对渐进式退化也要有感知和应对。不符合ODC:交接的法定触发条件
不符合ODC是L3发出介入请求的主要法定触发条件。ODC = ODD + 车辆状态 + 人员状态 + 其他条件,比SAE J3016的ODD更广——不只是"在哪开",还包括"车好不好"和"人能不能接管"。5.1.5.4规定了一个容易被忽视但极其重要的要求:"后援响应过程中,DDT要求继续适用。"也就是说,即使系统已经发出了"请接管"的请求,在用户真正接管之前,系统仍然必须安全地执行驾驶任务。不能因为"我要交接了"就乱开车。5.1.5.1还要求系统"预判并安全响应不符合ODC的情况"——比如前方收费站、高速出口,系统需要提前识别这些ODC边界,在到达之前就发出介入请求,而不是到了收费站门口才紧急告警。这与MRM的10秒窗口要求形成闭环:预判越远,留给后援用户的接管时间越充裕。三、MRM:安全兜底的设计哲学
最小风险策略(MRM)是L3安全兜底的最后一道防线。很多人以为MRM就是"紧急刹停"——标准告诉你远不止如此。10秒接管窗口的由来
附录B.1.4.5a规定:从介入请求发出到MRM执行的间隔不得少于10秒。这个10秒是怎么来的?编制说明引用了UN R157的研究基础:人类驾驶员从听到警告到完成接管,平均需要2-5秒的认知和行动时间。但考虑到L3场景下后援用户可能处于"认知脱节"状态(长时间不参与驾驶,对路况缺乏即时感知),标准留了更大的余量。10秒不是上限而是下限——车企可以给更长的接管时间,但不能更短。这意味着L3系统必须具备"至少10秒的安全运行余量"——在发出介入请求的那一刻起,系统必须能在无人接管的情况下再安全运行至少10秒。这个要求对感知预测能力提出了极高要求。如果前方100米处有收费站,系统必须在距离收费站足够远的时候就发出介入请求,确保10秒内车辆可以安全停下。倒推一下:120km/h = 33.3m/s,10秒 = 333米的运行余量。再加上制动距离,系统需要在前方400-500米处就预判到需要交接。这与B.3.2.2要求的120km/h前向探测130m形成了呼应——130m的探测范围保证了系统有足够时间检测到前方的ODC边界,而10秒的接管窗口保证了后援用户有足够时间来接管。"一次MRM锁死"的哲学
5.1.6.1d规定:达到最小风险条件(MRC)后,仅重启动力系统才能再激活ADS。这是"一次故障锁死"的升级版——"一次MRM锁死"。为什么MRM之后也要锁死?因为MRM的触发意味着系统已经遇到了无法独立安全处理的状况。如果允许用户在MRM结束后立即重新激活,等于默认"问题已经解决"——但实际上,导致MRM的原因可能依然存在(比如传感器故障、恶劣天气)。L4没有这个锁死条款,因为L4的MRM结束后,系统自己会评估是否可以恢复运行——它不需要人的判断。但L3依赖人的判断,而人在经历MRM后往往处于紧张状态,判断力可能下降。锁死机制是法规对人性弱点的制度性防御。MRM不只是刹停
5.1.6.1a要求L3的MRM"具备换道能力"。这直接否定了"MRM=在本车道刹停"的简单方案。想想典型的高速场景:L3系统在快车道触发MRM,如果只是在本车道刹停,后方来车可能追尾。标准要求MRM应"将车辆移至不妨碍交通的地方静止"——最好是换到应急车道或硬路肩。这意味着MRM执行过程中,系统仍然需要完整的感知、决策和执行能力,只是不再依赖后援用户。MRM减速度限制为≤4m/s²(严重失效和紧急避撞除外),这是为了平衡安全与舒适——太急的制动可能导致后车追尾或乘客受伤,太慢又无法及时避险。4m/s²是一个在工程上经过验证的折中值。B.1.5.4还要求MRM期间开启并保持危险警告信号(双闪),B.1.5.6要求MRM终止后危险警告信号不因ADS退出而关闭——即使系统退出了,双闪还得闪着,提醒后方来车注意。介入请求的升级机制
B.1.4.4规定了介入请求的升级逻辑:最迟4秒后必须升级,增加触觉提示。这意味着介入请求不是一次性通知,而是一个渐进式的升级过程——先是视觉提示,4秒内加上听觉和触觉提示(方向盘振动或安全带收紧)。编制说明解释了4秒这个数字:人类对视觉信息的响应时间约1-2秒,但L3的后援用户可能注意力不在驾驶上,需要更强的刺激来唤醒。触觉提示是最直接的"打断"方式——你可以忽视一个仪表盘上的灯,但很难忽视方向盘在振动。严重失效场景下,B.1.4.6允许不发介入请求直接执行MRM。但编制说明补充:此时MRM可能不再有能力完全合规(因为系统已经部分失效),系统应"尽力而为"。这是一个务实的设计——在极端情况下,"尽力安全"比"严格遵守流程"更重要。四、人机交互:L3最核心的矛盾
L3最难的不是技术,而是人机交互。它的核心矛盾在于:系统开车,人随时待命。这违背了人类注意力的基本规律——当你不需要做某件事的时候,你的注意力自然会离开。标准的设计哲学是承认这个矛盾,然后用制度和技术手段来缓解,而不是假装它不存在。激活门槛:强制培训
5.2.2.2.3要求"确认用户完成培训+阅读使用说明后才准许激活"。这在L2法规中是没有的——L2被视为"辅助驾驶",不需要专门培训;L3被视为"系统驾驶",用户必须理解自己作为后援用户的角色和义务。5.2.2.2.4进一步要求L3激活时"立即提示后援用户仍需准备接管"。这针对的是市场上广泛存在的"自动驾驶=不用管"的误解。标准要求在每次激活时都进行提醒,目的不仅是告知,更是建立一种"驾驶契约"——你同意激活,就意味着你同意承担后援用户的责任。5.2.2.2.5还有一个容易被忽略的场景:L4降级到L3时,需要获得乘客同意担任后援用户。L4的乘客可能完全放权(后排甚至可以不坐人),但一旦系统降级到L3,就出现了后援用户的角色——这个角色转换必须经过乘客的知情同意。退出保护:防止"裸奔"
5.2.2.3.3要求退出前评估用户是否准备好:手握方向盘+视线注视驾驶区域。双重确认防止"无效交接"——如果用户还没准备好就退出,等于把一个注意力不在路上的驾驶员直接扔进驾驶状态。5.2.2.3.5规定ADS保持激活直至完成退出或达到MRC——不能半途而废。5.2.2.3.7规定"退出不应导致AEB关闭或L1/L2自动激活"。这条规定解决了一个很实际的问题:在某些L3方案中,系统退出后直接进入"无辅助"状态——AEB关闭,LCC关闭,用户从一个"系统开车"的状态突然变成"完全手动驾驶"。如果用户此时注意力还没完全回来,就可能在几秒内处于"无人驾驶"状态。标准要求退出后AEB必须保持激活,且不能自动跳到L1/L2——L1/L2需要用户主动操作,不应该由系统自动激活而用户不知情。干预机制:可以抢,但不鼓励
5.2.2.1.5规定用户对方向盘/踏板的干预超过抑制阈值时,ADS应执行用户输入。但"超过抑制阈值不应是触发退出的主要方式"——这两句话看似矛盾,实则体现了标准的设计哲学:承认现实,但不鼓励。标准承认用户可能本能地抢方向盘,系统不能在这种情况下还"犟"着不走;但同时,标准不希望这成为常态。如果用户需要靠抢方向盘来退出L3,说明人机交互设计本身就有问题。制动干预的规则不同:产生比ADS更大减速度或使车辆静止的用户制动,系统应立即执行——因为更强的制动意味着用户判断有更大的危险,此时不应抑制。加速干预则有限制:被执行时不应导致ADS违规(比如加速到超速)。用户告知:直指行业乱象
5.3.2要求使用说明至少包含:功能/级别/局限性、碰撞控制策略、激活/退出/接管/干预/MRM说明、接管与干预的区别。这一条款直指行业乱象——很多L2/L2+系统被宣传为"自动驾驶",5.3.2要求车企必须明确告知用户功能的级别和局限性。"接管与干预的区别"这个要求尤其值得玩味。接管是后援用户响应介入请求、从ADS手中接过驾驶任务;干预是用户在ADS激活状态下对方向盘/踏板的操作。两者在法律后果上完全不同——接管意味着用户重新成为驾驶员,干预则是用户在ADS仍然负责的情况下施加影响。标准要求车企必须把这个区别说清楚,避免用户混淆。5.3.1还要求除说明书外,还通过官网/车载终端/APP提供使用说明——多渠道触达,确保用户真正能看到这些信息,而不是把说明书扔在手套箱里从不过目。五、接管能力监测:DMS从L2到L3的质变
附录A是L3专属的接管能力监测要求,也是L3与L2在DMS上的核心区分。L2的DMS逻辑很简单:手在不在方向盘上?扭矩传感器检测到就OK,检测不到就报警。这是一种"二元判断"——在或不在。L3的DMS需要回答一个更复杂的问题:后援用户有没有能力接管?手在方向盘上不等于有能力接管——他可能在看手机、闭眼休息、甚至睡着了。三层监测体系
标准构建了三层递进的监测体系,每一层的安全逻辑不同:安全带监测是最底层的——安全带没系,后援用户都不在正确的位置上,根本谈不上接管能力。未系安全带→立即触发介入请求,没有商量余地。在位监测是第二层——离座超过1秒就触发介入请求。监测手段包括座椅压力传感器、摄像头、安全带开关信号的组合。编制说明解释,1秒足以排除短暂的坐姿调整(如拿水杯、调空调),但又能及时捕捉到真正的离座行为。DDT执行能力监测是最复杂的——它要求系统评估后援用户是否"真正具备接管能力",而不仅仅是"坐在座位上"。标准要求至少两种独立指标,且明确禁止仅靠方向盘扭矩。可接受的指标包括眼部(视线方向/闭眼时长/眨眼频率)、头部(是否频繁转头看手机)、身体(坐姿稳定性)、交互(手接触方向盘/响应语音指令)。当检测到后援用户不具备接管能力时,系统的响应是分步的:先执行控制策略使其恢复(比如语音提醒、方向盘振动),不能恢复则执行后援响应,后援响应无效则执行MRM。不是一上来就MRM,而是先尝试"唤醒"后援用户。注意力集中的判定
附录B.2.2.2给出了注意力集中的判定条件:注视前方道路、注视后视镜、头部运动主要朝向驾驶任务区域。只有这些条件全部不满足时,才判定为注意力不集中。换句话说,只要你在做任何与驾驶相关的事情(看前方、看后视镜、头部朝向驾驶区域),都算注意力集中。标准给了后援用户一定的自由度,但底线是:你必须保持对驾驶情境的基本感知。编制说明还提到,安全档案中可以定义"同等安全的替代"——比如通过语音交互系统确认用户对路况的认知,也可以作为注意力集中的判断依据。六、附录B量化参数:每个数字背后的工程逻辑
附录B是整个标准对L3最具体、最量化的章节,直接参考UN R157 ALKS法规。每一个数字都不是拍脑袋定的,背后都有工程计算和实验验证支撑。当切入车辆的TTC大于本车和切入车辆共同制动至相同速度所需的时间加上系统响应时间时,本车应能通过制动避免碰撞。6m/s²的减速度选择也不是随意的——这是干燥路面上大多数乘用车能够稳定实现的制动减速度,留有余量但不至于过于保守。切入车辆横向移动至少0.72秒的可识别时间,对应的是车辆从相邻车道开始横向侵入到完全进入本车道的时间——低于0.72秒的切入,物理上就很难避免碰撞,标准不要求系统做到不可能的事。变道安全距离的双轨制
标准对变道安全距离设置了"常规变道"和"MRM变道"两套标准——MRM场景下的参数普遍比常规场景宽松(减速≤4m/s² vs ≤2m/s²,后车制动≤3.7m/s² vs ≤3m/s²,纵向时距≥0.5-1秒 vs ≥1秒)。这不是对MRM场景降低要求,而是承认一个现实:MRM场景下,系统的首要目标是安全停车,而不是维持交通效率。在MRM中,车辆可能需要从快车道换到应急车道,此时要求与常规变道一样保守的距离条件是不现实的——你可能永远等不到那样的机会。但标准给MRM变道设了上限:后车制动≤3.7m/s²。编制说明解释,3.7m/s²是大多数驾驶员在紧急情况下的舒适制动上限——超过这个值,后车驾驶员可能因惊吓而导致操作失误。MRM变道虽然比常规变道更激进,但仍然不能对后车造成不可控的风险。转向灯提前≥3秒的要求在两种场景下一致(MRM如条件满足的话),这是给后车留出反应时间。变道执行阶段定义为"前轮接触目标车道边线→后轮完全跨越",精确定义了变道的"关键窗口"——这个窗口内的安全性是标准最关注的。感知探测范围与车速绑定
前向探测范围的要求从60km/h的50m到120km/h的130m,不是线性增长——80km/h只需60m,100km/h跳到100m,120km/h是130m。这个非线性关系对应的是制动距离的非线性增长:速度翻倍,制动距离翻四倍。前提条件是车辆具备≥5m/s²的减速能力。如果你的车在满载情况下减速能力只有4m/s²,标准要求你降低最高车速——这不是建议,是强制要求。探测范围和减速能力必须匹配,不能出现"看得到但刹不住"的情况。横向探测≥9m的要求对应的是变道安全评估的需要——一条标准车道宽3.75m,相邻两条车道约7.5m,9m的探测范围可以覆盖目标车道并留有安全余量。后向探测则须满足变道安全距离评估要求,具备变道能力时同样要求中心线向变道侧延伸≥9m。紧急避撞控制的边界
B.1.3定义了紧急避撞控制——当系统执行>5m/s²的制动时视为紧急避撞。5m/s²的阈值与风险场景的3m/s²形成梯度:3m/s²以下是"正常",3-5m/s²是"紧急",5m/s²以上是"极端紧急"。紧急避撞有几个特殊规则:除跨车道避撞外,横向控制不跨越车道线(优先在本车道内减速);紧急避撞不可终止(除非碰撞风险消失或用户退出);跨车道避撞需要充分探测前后向并评估安全风险。这些规则的核心逻辑是:紧急避撞时系统已经"全力以赴",不能轻易中断,也不能盲目跨越车道。七、确认性试验:7类场景的中国特色
第9章列出了确认性试验必须覆盖的7类场景,这是相比联合国GTR的核心创新——GTR只说"要多支柱验证",但没有规定具体验证什么。失效场景
(a):系统故障是最大风险源,必须验证
弱势道路使用者
(b):行人/骑行者的保护是全球共识
复杂交通场景
(c):中国特色——中国道路的复杂度远高于欧洲
用户交互
(d):L3独有的交接流程验证
交通规则符合性
(e):遵守交规是底线
碰撞避免和缓解
(f):紧急避撞能力
ODC边界过渡
(g):从"符合ODC"到"不符合ODC"的过渡是最容易出问题的环节
其中c类"复杂交通场景"最值得关注。编制说明列举了"大量ORU""交通扰动""罕见基础设施""非典型道路和天气"等子项——这些是中国道路环境的真实写照:电动自行车穿插、施工路段临时改道、雨雾天气……欧洲法规不需要考虑的场景,在中国是日常。三支柱试验(仿真→场地→道路)的递进逻辑是:仿真验证覆盖度和一致性,场地验证可控场景下的实际表现,道路验证真实环境中的综合能力。标准要求三支柱的结果必须一致——如果仿真通过了但场地没通过,说明仿真模型有问题;如果场地通过了但道路没通过,说明场景覆盖有盲区。9.2-9.4对每种试验方法的关键要求也做了规定:仿真试验需验证工具链可信度(不是什么仿真结果都能用);场地试验需覆盖符合ODC、ODC边界过渡、不符合ODC下被激活三种状态;道路试验则是在真实交通环境中的综合验证。八、L3 vs L4:不只是"有没有人接管"
标准在多处区分L3和L4的要求,表面上看起来就是"有没有后援用户"的区别,但实际上差异更深。社会认知维度:L3遇到优先车辆可以"甩锅",L4不行。这不是技术差距,而是角色差距——L3承认在某些社会交互场景中,人的判断力仍然必要。恢复维度:L3的MRC后必须重启动力系统才能再激活,L4确认原因消除后可自行恢复。L3依赖人的判断来决定"问题是否解决",但人对系统状态的理解可能不完整;L4自己掌握全局信息,恢复判断更可靠。远程协助维度:L4允许远程协助但不依赖——远程协助是"锦上添花",ADS本身必须能独立完成DDT和MRM。L3不涉及远程协助,因为L3有人类在车内作为后援。减速度约束:L3和L4的乘客减速度约束相同(≤2.4m/s²,变化率≤5.0m/s³),但实现方式不同。L3可以通过介入请求让后援用户接管后人工驾驶来控制减速度;L4必须靠系统自身的能力来满足约束。这意味着L4的规划控制算法需要更精细的速度曲线规划。角色转换:5.2.2.2.5提出了一个有趣的问题——L4降级到L3时的角色转换。如果一辆L4出租车正在以无人驾驶模式运行,突然系统降级到L3,此时车内可能没有合格的"后援用户"(乘客可能不会开车)。标准要求降级前需获得乘客同意担任后援用户——但如果乘客不同意或无法担任怎么办?这意味着L4系统在降级到L3时,可能需要直接执行MRM而不是先尝试L3模式。九、法规联动:L3合规不是单点突破
L3合规不是只看这一部标准。当前已形成多法联动的体系:GA/T 2388-2026(自动驾驶汽车道路通行规范)将于2026年7月1日实施。它规定了L3在公共道路上的通行行为规则——跟车距离、变道规则、路口通行等。本标准5.1.2.9直接引用它,意思是L3的驾驶行为不仅要满足安全要求,还要满足通行规范。两部标准形成互补:安全要求回答"怎么不撞",通行规范回答"怎么开才对"。GB 44497-2024(数据记录系统)已于2026年1月1日实施。它要求L3车辆必须装备DSSAD(自动驾驶数据记录系统),记录激活/退出/接管/MRM等关键事件。DSSAD是事故后分析的"黑匣子"——出了事,数据说话。本标准5.2.2.2.2d要求激活条件之一是"DSSAD处于可记录状态"——如果黑匣子坏了,L3都不准激活。准入试点通知(工信部联通装〔2023〕217号)已经产生了首批L3准入车型:长安深蓝SL03(重庆,≤50km/h)和北汽极狐阿尔法S(北京,≤80km/h),2025年12月15日获批。注意这两款车的速度限制远低于120km/h——首批试点非常谨慎,而本标准为更高速度的L3铺平了法规道路。功能安全(GB/T 34590)+ SOTIF(GB/T 43267)+ 网络安全(GB 44495)是三大基础安全标准。它们不直接规定L3的性能要求,但支撑了安全档案的编制——功能安全保证随机硬件故障受控(PMHF等量化指标),SOTIF保证非预期功能的风险受控(场景库的完整性),网络安全保证系统不被恶意攻击。十、10大硬约束:L3产品的设计边界
以下是标准中最不可妥协的10条量化要求,它们直接定义了L3产品的设计边界,也是后续准入测试的核心检查项。每一条都值得车企在架构设计阶段就纳入考量——事后改,代价很大。结语
这部强制性国标的核心逻辑,不是给L3设一个"及格线",而是构建一套可审计的安全证据体系。安全档案要求你论证"为什么安全",确认性试验要求你证明"你说的我验证",三支柱试验要求你"从虚拟到真实逐层验证"。三道防线,每一道都不是走过场。对中国L3产业来说,这部标准的意义不仅在于划定了技术底线,更在于统一了验证语言——以后所有L3产品,用同一套逻辑来证明自己的安全性。这降低了监管的不确定性,也降低了行业的合规成本。从全球视角看,中国在验证场景清单上的明确化,是对UN R157框架的重要补充——GTR说"要多支柱验证",中国标准说"验证这7类场景"。这种"原则+清单"的模式,可能成为国际法规演进的方向。参考来源:工信部征求意见稿全文 + 编制说明 | 标准计划号:20256778-Q-339 | 建议实施日期:2027年7月1日