6 月 16 日工信部就这份报批稿公示征求意见后,自媒体先吵翻了:"L3 必须双冗余、L4 必须加激光雷达、2027 年 7 月 1 日强制执行"。6 月 19 日晚,小鹏副总裁于涛辟谣,点出文件里"连激光雷达这个词都没提到",标准是结果导向的。

辟谣没错,但它只回答了"标准里没有什么"。对从业者真正有价值的问题是:标准里到底有什么? 谣言之所以能骗人,是因为多数人只盯着"硬件清单"这一个维度,而 GB 44721 干的事恰恰相反——它把 L3/L4 准入从"装够零件、功能跑通"重构成了"拿出一整套可验证的安全证明"。

读懂任何标准,先看它的法律位阶和定位变化。

第一,从 GB/T 变成 GB。旧版 GB/T 44721—2024 是推荐性"通用技术要求",新版直接升格为强制性国家标准,名称也改为"安全要求"。一字之差,意味着它从"建议怎么做"变成了"不达标不能上市"。这是我国首部直接面向 L3 有条件自动驾驶和 L4 高度自动驾驶系统的强制性国标。

第二,适用边界清晰(第 1 章)。它适用于装备 L3 和/或 L4 驾驶自动化系统的 M 类、N 类车辆,明确不适用于自动泊车系统(APS)。也就是说,泊车走另一条线,这份标准管的是"会上路行驶"的 ADS。

第三,相对 2024 版的结构性扩容(前言)。除编辑性改动外,它重写了动态驾驶任务、人机交互、用户告知三大块,新增了缩略语、保障要求检验、安全档案检验、同一型式判定、标准实施五个章节,并新增两个关键附录——附录 B(高速/快速路 L3 具体技术要求)和附录 C(L4 具体技术要求)。换句话说,2024 版只是搭了骨架,这一版才把肉填上。

把全文拆开看,它由四根支柱撑起:第 5 章技术要求(系统做到什么)、第 6 章保障要求/SMS(企业怎么管)、附录 D安全档案(怎么举证)、第 7–10 章检验与判定(怎么准入)。这四根支柱,就是下文的四层。

下面,逐层来拆。

一、第一层·能力要求:系统必须"会开车"到什么程度

1.1 一条贯穿全文的基线

技术要求开篇第一条(5.1.1.1)就给整份标准定了调:ADS 的安全水平应至少达到正在承担驾驶任务的"合格且专注驾驶人"的水平;紧接着 5.1.1.2 要求不对用户和其他道路使用者(ORU)造成不合理风险。

这就是典型的性能/结果导向——它划的是"能力下限"和"行为基线",不是零部件目录。配套引入的"行为能力(behavioral competency)"概念(3.24)进一步明确:ADS 在其设计运行条件(ODC)内操控车辆,要表现出符合预期且可验证的能力。注意"可验证"三个字,它直接通向第四层的安全档案。

能力清单也按场景分级:对非高快速路的 L3,至少要具备车道巡航、换道控制、交叉路口(环岛除外)通行能力(5.1.1.6);对 L4,门槛更高,若 ODD 含高快速路以外道路,还要具备绕障部分驶入相邻车道、倒车和掉头能力(5.1.1.7)。

1.2 DDT 执行的四类场景:责任的精细切分

标准把动态驾驶任务(DDT)的执行拆成四类场景,这是它最体现工程思维的地方:

这套四分法的意义在于:它把"自动驾驶出了事谁负责"的模糊地带,切成了可判定、可取证的具体行为要求。

1.3 最小风险策略(MRM)与附录 B 的可量化硬指标

当 ADS 无法继续安全执行 DDT,要执行 MRM 使车辆达到最小风险状态(MRC)。L3(5.1.6.1)与 L4(5.1.6.2)要求不同:都要具备换道能力、最小化风险、尽量移至不妨碍交通的路侧静止,无法移动时至少在本车道静止,并合理使用危险警告信号;L3 还特别规定,达到 MRC 后只有重启动力系统才能再次激活。

真正"性能导向"的实锤,在附录 B。这里全是可量化、可考核的工程指标,没有一句指定传感器型号:

感知探测范围(B.3),且明确要考虑车辆全寿命周期的性能衰退:

换道后向安全距离(B.1.2.3),这是全文最精细的量化条款之一:常规换道不应导致目标车道后车被迫以 >3 m/s² 减速、纵向时距始终 ≥1 s,临界时间参数 A 取 0.4 或 1.4;MRM 换道阈值放宽到 >3.7 m/s²,时距参数 B 取 0.5 或 1,A 取 0、0.4 或 1.4——取值取决于是否已提前开启转向灯、是否已持续探测到后车全宽。换道执行阶段的额外横向加速度还被限制在 1 m/s² 以内(B.1.2.2.2)。

紧急避撞(B.1.3):ADS 发出高于 5 m/s² 制动减速度指令即视为紧急避撞;跨车道线避撞有严格前置条件(充分探测前/侧/后向、可评估风险、不致相邻车道车辆被迫减速)。

这些数字才是 L3 高快速路功能真正要逐项打靶过线的地方,与"用什么传感器"无关。

二、第二层·角色与人机交互:L3 与 L4 的真正分水岭

很多人以为 L3 和 L4 的差别是"能力强弱",其实标准定义里(3.4、3.5)它们的核心区别只有一个:是否需要后援用户。L3 有 ODD 限制且需要后援用户兜底,L4 有 ODD 限制但不需要。这一个差别,衍生出 L3 最复杂、也最容易合规翻车的一整套人机交互要求。

2.1 接管能力监测:L3 特有的"驾驶员在不在状态"

附录 A 专门规定了对后援用户的三重监测:

这套机制本质上是把"司机有没有在认真盯着"做成了可量化、可记录的工程指标——这正是 L3 区别于 L2 辅助驾驶的关键责任锚点。

2.2 介入请求的升级时序

附录 B 进一步规定了介入请求的节奏(B.1.4、B.2.3):计划接管事件要适时发出,确保即使无人接管 MRM 也能在事件发生前让车静止;非计划接管事件识别到即发;最迟在发出介入请求 4 s 后升级并保持升级,且从发出到因 MRM 终止不少于 10 s,给后援用户充足接管时间;发生严重失效时允许不发介入请求直接 MRM。状态提示还要求用显示双手和方向盘的图标(图 B.2)、多模态(光学+声学/触觉)。

2.3 用户告知:从"卖车"到"教会用户用车"

第 5.3 章把"告知义务"写得很重:除随车说明书外,车企还要通过公开可获取方式提供 ADS 使用说明,内容清单多达十余项(5.3.2 的 a–p),涵盖能力与局限、激活/退出/接管/干预/MRM、角色转换、非驾驶活动风险、事故应急处置等。更硬的是两道确认机制:每次重启动力系统要确认驾驶员完成使用培训(培训确认/生物识别/账号登录,5.3.3);车辆还要提供"已阅读并理解使用说明"的确认方式,仅在静止时、需长按或两次有目的操作,且软件升级致说明变化或最迟 30 天未确认时要再次确认(5.3.5)。

对"不允许行驶中退出"的功能(更接近 L4 无人化),则转向保护乘客:提供安全相关信息、对未系安全带/未就座等风险按安全档案策略响应、防止乘客接触驾驶操纵件(5.2.3)。

这一层是 L3 商业化最难啃的骨头:它要解决的不是技术,而是"机器与人之间的责任如何安全交接"。

三、第三层·过程管理:SMS 全生命周期

如果说前两层管的是"产品做成什么样",第 6 章的安全保障要求(SMS)管的是"企业这个组织有没有能力持续造出安全的产品"。

SMS(3.27)被定义为一套整合组织、人员、技术的系统性安全管理方法。第 6.1 章要求车企建立并实施 SMS,覆盖:安全方针 → 风险管理 → 安全保证 → 安全提升 → 设计与开发管理 → 生产管理 → 部署后安全管理。其中几个要点值得划重点:风险管理要覆盖 ADS 全生命周期(开发/生产/部署后)和参与方风险(6.1.3);安全保证要求定期独立内审外检、供应链 SMS 评估、定义 KPI 衡量有效性(6.1.4);设计开发管理明确要把功能安全与 SOTIF、人为因素管理纳入,并用 FMEA/FTA/STPA 等方法持续评估(6.1.6);部署后还要具备安全监测与管理能力(6.1.8)。

第 6.2 章则给试验条件立了规矩,尤其是仿真试验:车企要证明仿真工具链经过验证(verification)和确认(validation),要量化数据质量带来的不确定性、管理随机模型的方差与可重复性、论证人员能力、做发布管理和关键性分析(6.2.1)。场地试验、道路试验也分别要求设施/路线与预期用途匹配、设备定期校准、试验路线能以足够概率遇到大量 ORU 和非典型条件(6.2.2、6.2.3)。

熟悉 UN R171 的同行会立刻发现:这套 SMS 与联合国法规里的安全管理体系同源。对有出海合规需求的车企而言,这是把国内功夫直接迁移到海外型式批准的接口。

四、第四层·安全证明:Safety Case 安全档案(附录 D)

这是整份标准的"灵魂",也是真正"过不了的关"。

安全档案(3.30)是用充分、有说服力且易理解的方式,证明 ADS 符合技术要求、不构成不合理风险的结构化文档。它的骨架是国际通用的声明(claim)—论据(argument)—证据(evidence)三段式(3.31–3.33):每项声明至少有一项论据支撑,每项论据至少有一项证据支撑,且全程唯一标识、可从要求追溯到证据(D.3.1)。标准明确要求:技术要求里的每一条都要至少对应一项声明(D.3.1.2)。这意味着安全档案不是 PPT,而是一张覆盖全标准、可被检验人员逐条核查的论证网。

附录 D 的内容密度极高,几个最该关注的:

整车危害表 D.1——它列出 11 类整车危害及对应安全目标、ASIL 等级、安全度量,包括非预期侧向运动(ASIL D)、非预期失去侧向控制(D)、非预期减速(B/C)、非预期丢失/不足的减速能力(D)、非预期加速(D)、非预期纵向移动(B/D)、非预期激活(B)、丢失/错误 MRM(B/D)、不响应干预(D 或不分配)、人机提醒丢失(B)、可见性丢失(A 或不分配)。注意:这是功能安全的"目标设定",不是硬件强制——谣言里"必须双冗余"的误读正源于此,文末专题详解。

残余风险接受准则(D.2.3.1.3 注)——这是量化的安全底线:参考国家统计与事故年报,设定碰撞等事故率低于 10⁻⁴/h,轻伤低于 10⁻⁵/h、重伤低于 10⁻⁶/h、致命低于 10⁻⁷/h;并据此推导确认目标(注:参考 GB/T 43267—2023,如 10⁻⁴/h 对应约 16000 小时无安全相关事件、80% 置信度)。这把"够不够安全"从口号变成了可论证的数字。

预期功能安全(SOTIF)双线——除功能安全外,D.2.4.3、D.2.5、D.2.6 用大量篇幅处理"系统没坏但能力不足"的风险:触发条件表 D.2 列出环境(雨雪雾沙尘、逆光强光)、道路(弯道匝道隧道、无车道线、施工)、目标物(异形车、低对比度目标、撑伞行人)、多目标交互(遮挡、横穿、切入)、用户误用等可合理预见的触发条件,要求逐类做已知/未知危害场景的残余风险确认,用仿真+场地+道路试验组合取证。安全分析要求自上而下与自下而上并用(FMEA/FTA/HAZOP/STPA)。

最后还有内审(D.4):型式批准前要由保持独立性的内审员评审安全档案并记录整改。

一句话:编不出一份扎实、可追溯、能扛住逐条核查的安全档案,才是真正过不了的关——这跟你车上有几颗激光雷达毫无关系。

五、闭环:检验、同一型式判定与实施节奏

四层内容要落到准入,靠第 7–11 章闭环。

检验(第 7、8 章):检验人员要核查 SMS 的鲁棒性(第 7 章),并对安全档案做完整性 + 鲁棒性双重检验(第 8 章)——完整性看声明/论据/证据是否齐备可追溯,鲁棒性看残余风险是否低于不合理阈值、证据是否可复现、是否合理覆盖 ODD 内外可预见条件。确认性试验(第 9 章)则按 GB/T 41798(场地)、GB/T 44719(道路)、GB/T 47025(仿真)开展。

同一型式判定(第 10 章)对车企迭代节奏影响极大,这点常被忽略:

实施节奏(第 11 章):新申请型式批准的车型自实施之日起执行;已获型式批准的车型自实施之日起第 13 个月执行。预计生效日期为"2027 年 7 月 1 日强制"。

六、专题·系统冗余:谣言里"半真半假、最难辟"的一条

"L3 必须双冗余"为什么比"L4 必须加激光雷达"更难辟?因为后者纯属捏造,前者却是把一个"工程上常常需要冗余"的事实,偷换成了"标准明文强制双冗余"的条款。要讲清楚,得把报批稿里所有与冗余、容错相关的条款摊开看。

6.1 标准的真实立场:只写目标,不写架构

报批稿从头到尾没有"双冗余"三个字。它写的是目标:D.2.4.2.5 要求,在 ADS 运行过程中,避免因电气/电子系统的单点故障导致完全失去主动转向、主动制动和主动驻车能力。配套两条注解很关键:注 1 要求根据"是否需要后援用户接管、故障潜在可能性"合理定义故障诊断覆盖率;注 2 才提到"采用容错架构方案,适度提高 MRM 能力的冗余度,如采用冗余组件或通过其他系统实现替代功能"——注意是"如",是举例,不是唯一解。标准要的是"单点失效不至于彻底失控"这个结果,至于用几套系统、怎么搭架构,留给企业。

6.2 达成目标的四条路径,冗余只是其一

D.2.4.2.4 明确:发生安全相关故障时,安全概念应采用以下一种或多种安全措施(含外部措施):(a) 用 ADS 的部分系统实现后援响应;(b) 用独立系统实现冗余设计;(c) 执行相同功能的多样性系统设计;(d) 限制部分或全部自动驾驶功能(功能降级)。

冗余(b)只是四选项之一,与多样性设计、功能降级并列,每一种都要说明切换机制、逻辑架构和局限性。企业完全可以用"多样性 + 降级"而非"双套冗余硬件"达成目标,只要安全档案能证明残余风险达标。

6.3 L3 特有的一重冗余:别让系统"叫不醒司机"

有一条冗余要求是 L3 专属的——D.2.4.2.7:对 3 级自动驾驶功能,要避免因电气/电子系统的单点故障导致完全失去提醒能力(声学、触觉、光学三类)。逻辑很直白:L3 的安全网是后援用户接管,系统若"叫不醒司机",本身就是致命失效,所以提醒通道也要防单点失效。这正是 L3 比 L4 在冗余上"多背一层"的地方,也间接说明谣言把冗余笼统安在"L3"头上有多外行——按标准内在逻辑,提醒冗余恰恰是 L3 才有的负担。

6.4 MRM 可用性:冗余的最后一道防线

标准对"最小风险策略(MRM)还能不能用"格外较真:D.2.4.2.8 要求,可能导致丢失 MRM 的严重故障或极端情况,其残余风险应控制在合理水平;D.2.4.2.9 进一步规定,若存在导致系统无法执行 MRM 的严重故障,车企必须声明,非电气/电子故障(如爆胎、底盘损坏)导致的丢失 MRM,作为外部交互纳入总体残余风险评估;D.2.4.2.6 还要求 ADS 故障不应直接导致车辆应急辅助功能关闭(共用组件严重故障除外)。

再叠加技术要求里的"剩余能力"逻辑:故障使其无法安全执行 DDT 时执行后援响应、仍能安全执行时按严重程度调整能力(5.1.4.3);紧急避撞要考虑制动/转向的剩余能力(B.1.3.1.2)。这套要求本质上要求系统在"部分失效"下仍保有可控的降级路径——而这正是容错/冗余架构要解决的核心命题。

6.5 为什么实践中"绕不开"冗余:ASIL D 才是真正的推手

把目标量化后,真正逼出冗余的是功能安全等级。表 D.1 把非预期侧向运动、非预期失去侧向控制、非预期丢失减速能力等危害定为 ASIL D——这是功能安全最高等级,要求把随机硬件失效概率(PMHF)、单点故障诊断覆盖率压到极高水平。单套架构在工程上几乎不可能独立达成 ASIL D,冗余/容错于是成为达成目标的事实路径,而非标准的明文强制。

所以准确的结论是:标准没有"必须双冗余"的条款;但"避免单点失效彻底失控 + ASIL D + MRM 可用性"三者叠加,使得安全攸关路径(转向、制动、供电、MRM)的冗余或容错在工程上几近必然;区别在于——标准给的是可验证的安全目标,架构由企业自证:你可以用冗余,也可以用多样性或降级,只要证据链能证明残余风险达标。

谣言的狡猾,正在于把这条"由目标推导出的工程结果",包装成了"凭空捏造的条款强制"。看懂"目标"与"架构"的分野,才不会两头被带节奏。

本文依据《GB 44721—XXXX(报批稿)》原文撰写,所有条款编号均可对照核验;事件信息来源于公开报道,截至 2026 年 6 月 20 日。报批稿尚在征求意见阶段,最终条款、ASIL 分配及生效日期以正式发布稿为准。