《智能网联汽车自动驾驶系统安全要求》强制国标浅析

· 当下看，自动驾驶已然成为趋势

· 普通人尽量理性看待，技术的进步永远需要代价

· 技术的本质依旧是文化，是人心

一、标准基础核心信息

1. 标准编号与属性
GB ×××××（强制国标，替代推荐国标GB/T 44721-2024），国内首部专门约束L3有条件、L4高度自动驾驶强制性安全标准；L2组合驾驶辅助不适用本标准，执行另一套L2强标。

2. 时间节点

• 2026年2月：首轮征求意见；2026年6月：报批稿公示收集意见

• 2027年7月1日强制实施

• 实施约束：2027.7.1后新申报工信部产品公告、新上市L3/L4车型必须全项达标，不满足不予准入、禁止销售；存量车型设置过渡期整改窗口。

3. 适用范围
M1类乘用车、N类商用车的L3/L4 ADS自动驾驶系统；仅覆盖道路动态驾驶任务，自动泊车、低速无人接驳不属于本标准管控范围。

4. 核心监管逻辑
从传统“条款符合性检测”升级为Safety Case安全档案论证制，兼顾硬件冗余、人机权责、数据取证、OTA全生命周期管控，统一全国L3/L4上市准入底线，厘清车企、驾驶员事故责任边界。

5. 配套关联标准
强制引用GB 44495（CSMS网络安全）、GB 44496（SUMS软件升级）、GB 44497（DSSAD自动驾驶记录仪）、ISO 26262功能安全、GB/T 40429自动化分级、UN R157/R171等。

二、国标核心内容与关键知识点（分八大强制模块）

模块1：术语、适用边界与同一型式判定（认证核心）

1. 分级法定权责定义

• L3：系统可在限定ODD内完整执行动态驾驶任务；超出边界/故障会发起TOR接管请求，接管窗口期驾驶员为兜底责任人；系统正常运行区间车企承担安全主体责任。

• L4：无需人类持续接管，不依赖远程辅助完成动态驾驶；整车厂商对全场景安全负全责，可取消常规方向盘/踏板配置。

2. ODD（设计运行范围）强制透明要求
车企必须在车机、说明书、宣传材料完整标注可运行路段、天气、车速、车流限制；禁止虚标场景，系统识别出ODD外环境必须立刻降级/发起接管。

3. 同一型式判定规则（公告扩项/OTA变更核心）
判定统一依据：感知硬件（雷达/摄像头/激光雷达）、域控制器算力冗余、线控底盘架构、MRS最小风险策略、DSSAD记录逻辑、Safety Case安全档案。

• 变更属于重大形式变动：传感器增减、底盘线控硬件改动、ODD范围扩大、MRS策略修改、核心算法迭代 → 必须重新型式试验、更新全套安全档案；

• 仅UI界面、非安全类参数微调属于一般变更，仅备案无需重测。

模块2：感知、定位硬件冗余硬性强制条款

1. 前向感知最低冗余底线
L3/L4标配多传感器融合（77GHz毫米波雷达+主摄像头为基础配置）；纯视觉无雷达方案无法满足雨雾、隧道定位指标，无法通过型式试验；高车速场景前向探测距离≥130m。

2. 摄像头配套强制功能
主前视、环视摄像头必须搭载自动除雾、雨刮清洁机构；镜头遮挡、脏污多级声光报警，同步降级ADS权限。

3. 车道级定位量化指标
全程横向定位误差≤0.5m；隧道、暴雨、无标线施工路段定位精度不得大幅衰减；两条合规路线：
① 主流落地：GNSS+IMU+高精地图融合（易通过验证）；
② 纯感知无图路线：理论允许，但极限场景验证成本极高，暂无量产车型达标。

4. 高精地图管理要求
静态要素季度更新，动态路况实时推送；地图失效路段系统立刻退出ADS；地图数据加密防篡改，纳入CSMS网络安全管控。

模块3：线控底盘与最小风险策略MRS（安全兜底红线）

1. 执行系统冗余（ASIL D强制）
线控制动、线控转向、供电、通信总线全部双冗余设计；单点故障不得丧失转向/制动能力，禁止单点失效直接失控。

2. MRS最小风险策略时序规则（一票否决项）
L3接管请求TOR发出后，驾驶员10秒未有效接管，系统自动执行完整兜底流程：
① 多级声光+安全带预紧告警；② 平稳线性减速，禁止急刹；③ 开启双闪；④ 识别应急车道/路肩平稳靠边停稳；⑤ 车辆完全静止后方可退出ADS权限。

3. L4无驾驶员车辆：无需等待人工接管，识别风险自动执行靠边、断电锁止全流程。

模块4：DMS驾驶员监测与人机交互HMI（L3专属核心）

1. DMS监测硬性要求
禁止仅依靠方向盘力矩判断接管能力；必须双维度实时监测驾驶员是否落座、睁眼、视线路面、无分心玩手机；闭眼/离岗/重度分心1秒内触发一级预警，逐级升级接管请求。

2. 三级接管提醒分层机制
一级：弹窗声光预警，提示准备接管；
二级：震动+高频语音倒计时，明确剩余接管时长；
三级：持续强告警、车辆缓慢减速，进入MRS倒计时。

3. 车机可视化强制要求
仪表/HUD必须实时展示ADS激活状态、ODD边界、故障代码、接管倒计时、传感器健康度，禁止隐藏系统风险提示。

模块5：DSS自动驾驶数据记录仪（取证核心，配套GB44497）

1. 全称DSSAD自动驾驶事件记录系统，属于扩展EDR，L3/L4车型强制标配。

2. 记录内容：系统激活/退出、TOR接管请求、MRS执行全过程、感知目标列表、车辆动力学、DMS驾驶员状态、故障码、地图定位、OTA版本号。

3. 存储规则：事故数据永久不可篡改、本地加密存储，监管/交警可通过统一OBD接口完整调取，解决事故车企垄断数据、消费者举证难痛点。

4. 保存时长：车辆全生命周期+停产10年留存。

模块6：Safety Case安全档案（国标最大制度创新，准入前置）

1. 定义：结构化全生命周期安全论证文件，采用声明Claim→论据Argument→证据Evidence三层逻辑，是型式认证强制提交核心材料，无完整安全档案不予公告受理。

2. 强制归档核心内容（附录D规范性附录）
① 整车ADS软硬件完整架构、冗余设计说明；
② 全场景危害分析HARA、FMEA、SOTIF预期功能风险评估报告；
③ 仿真、封闭场地、公共道路全部原始测试数据；
④ MRS、DMS、人机交互全套验证试验记录；
⑤ OTA全流程变更评估、每次升级配套补充安全论证；
⑥ 残余风险管控、供应商安全核查记录。

3. 管理规则：每一款车型独立建立档案，每次OTA重大算法升级必须同步更新全套安全档案，监管机构可随时调取复核。

模块7：全生命周期安全保障（联动CSMS/SUMS）

1. 研发阶段：强制SDL安全开发流程，TARA网络风险全覆盖；

2. 生产阶段：产线硬件一致性管控，禁止下线删减感知冗余硬件；

3. OTA软件升级（SUMS联动）：
任何ADS控制算法、MRS、感知策略升级属于重大变更，升级前完成全套风险复测、更新安全档案，禁止无评估直接远程推送；升级包国密签名、断电自动回滚；

4. 售后运维：建立7×24安全运营SOC，安全事件24小时内向工信部报备，每年至少一次应急演练。

模块8：量化安全事故红线（硬性准入指标）

系统整体安全水平不得低于合格专注人类驾驶员；量化事故阈值：
致命事故率＜10⁻⁷/运行小时；重伤事故率＜10⁻⁶/运行小时，未达标车型禁止上市。

三、国标出台深层背景与核心原因

（一）产业乱象亟需统一强制安全底线

1. 行业概念模糊：此前仅GB/T 44721推荐标准，无强制约束，车企大量使用“L2.99、准L3、高阶辅助”模糊宣传，混淆消费者，无统一硬件、人机、应急处置门槛。

2. 事故责任界定空白：多起NOA/L3试点事故（青岛理想剐蹭、Uber行人碰撞、Cruise事故）暴露三大痛点：
① 车企后台数据不向车主开放，维权举证困难；
② 人机接管、系统兜底策略无统一标准，出事权责拉扯；
③ 感知冗余、故障降级无强制要求，部分车型硬件配置缩水，安全余量不足。

（二）国内L3商业化落地需要法定准入规则

2026年已有极狐、深蓝、岚图、广汽华为等多款车型获批地方高速L3试点，但全国无统一国家级强制标准，各地试点规则不统一，无法规模化全国上市；本国标打通全国统一公告准入通道，实现L3车型跨区域合法商业化运营。

（三）补齐智能网联法规闭环，衔接现有体系

1. 配套CSMS（GB44495）网络安全、SUMS（GB44496）OTA管理、DSSAD（GB44497）数据记录三大2026年实施强标，形成“网络安全-软件升级-数据取证-自动驾驶专项安全”完整强制法规链条；

2. 对标UN R157、SAE、ISO国际规则，实现国内标准与全球自动驾驶法规接轨，支撑国产智能车出口。

（四）解决存量监管与司法取证难题

1. 引入DSSAD不可篡改记录仪、Safety Case档案制度，实现事故可追溯、风险可论证，从司法层面划分车企与驾驶员法定责任；

2. 改变过往“重销售、弱安全验证”行业模式，倒逼车企加大仿真、道路场景验证投入，淘汰低安全冗余的低成本擦边方案。

（五）国家产业与安全战略需求

1. 规范高阶自动驾驶产业良性竞争，驱逐无安全验证、硬件缩水的劣币企业，头部自研/全栈方案企业形成合规优势；

2. 建立全域车辆风险管控体系，兼顾道路交通安全、地理数据安全、网络数据安全，防范ADS算法、地图数据泄密风险；

3. 支撑车路协同、Robotaxi、高速领航等新业态合规发展，释放智能网联增量市场。

四、OEM车企分阶段落地应对措施（法规认证实操视角）

阶段一：短期前置筹备（2026年底发布前完成）

1. 架构硬件合规整改
① 梳理现有L3/L4车型感知方案，淘汰纯视觉无雷达低成本路线，补齐毫米波雷达、激光雷达、摄像头清洁除雾硬件；
② 线控转向、制动升级双冗余架构，完成ASIL D功能安全评估；
③ 搭载合规DMS双维度驾驶员监测系统，取消单一方向盘力矩监测逻辑。

2. 搭建Safety Case标准化编制团队
成立专职安全论证小组，联动功能安全、SOTIF、网安、测试部门，搭建“声明-论据-证据”标准化档案模板；梳理存量车型全场景HARA、仿真/道路测试原始数据，提前归档。

3. 完善DSSAD记录仪开发适配
同步匹配GB44497要求，统一OBD读取接口，完成全事件记录逻辑开发，确保接管、MRS、故障数据完整留存防篡改。

4. 梳理OTA变更管控流程
联动SUMS体系，明确ADS算法、MRS、感知策略属于重大型式变更，建立升级前复测、安全档案更新闭环流程。

阶段二：标准发布—2027.7.1实施过渡期（核心攻坚）

1. 全车型确认性试验
按照标准附录A/B/C开展场地+道路确认试验，覆盖接管时序、MRS靠边、恶劣天气定位、传感器失效降级、事故率量化验证；补齐国内施工、非机动车、隧道等本土化极限场景库。

2. 全套Safety Case档案闭环编制
每款L3车型独立完成完整安全档案，涵盖硬件架构、风险评估、百万公里路测证据、OTA变更记录，提前提交第三方预审核，规避型式评审驳回。

3. 型式认证前置准备
梳理同一型式判定边界，划分高低配车型硬件基线，禁止低配删减安全冗余；提前对接中汽研等CNAS资质试验室完成预试验。

4. 用户端材料整改
重写说明书、车机提示、宣传文案，清晰公示ODD边界、驾驶员接管义务、系统风险，删除模糊“自动驾驶”营销话术，规避宣传合规处罚。

阶段三：2027.7.1强制实施后常态化管控

1. 量产生产一致性管控
产线下线增加ADS硬件、DMS、冗余功能全检，建立零部件批次追溯，杜绝简配车型流入市场；年度工信部飞行抽查同步核查Safety Case档案。

2. OTA全生命周期动态管理
任何ADS算法迭代先完成风险复评、补充测试、更新安全档案，再推送升级，留存全套变更证据备查。

3. 售后安全运营常态化
维持7×24安全监控SOC，按月汇总市场接管、故障、未遂事故数据，定期更新风险库与Safety Case残余风险章节；每年开展MRS、人机接管应急演练。

4. 新品研发前置合规嵌入
新项目概念阶段同步引入国标全部强制要求，将冗余硬件、DMS、Safety Case、MRS策略纳入设计输入，避免后期大规模改造成本。

阶段四：企业差异化竞争应对策略

1. 全栈自研头部车企（比亚迪、小鹏、理想）
依托自有仿真平台、海量路测数据，完善完整安全论证证据链，提前完成多车型合规认证，抢占2027年合规L3市场窗口期；构建标准化Safety Case模板降低多车型重复编制成本。

2. 外购智驾方案中小车企
优先选择符合国标冗余、MRS、DMS要求的成熟全栈方案（华为ADS等），要求供应商提供完整安全论证基础材料，车企完成整车层面整合验证与档案汇总，大幅降低研发整改投入。

3. 仅布局L2、暂不开发L3车型车企
明确产品路线区分，L2车型执行另一套组合驾驶辅助强标，不对外宣传L3能力，规避虚假宣传与合规整改投入。