自动驾驶进入“证据时代”:中国参与制定的联合国ADS全球规则,真正改变了什么

6月24日，在联合国世界车辆法规协调论坛WP.29第199次会议期间，面向自动驾驶系统的两项平行法规文本获表决通过：一项是1958年协定框架下的联合国法规，另一项是1998年协定框架下的全球技术法规，也就是ADS GTR。两项文本建立在同一套技术框架之上，由中国、加拿大、欧盟、日本、英国和美国共同牵头制定。

过去，自动驾驶行业最缺的并不是功能，也不是道路测试，而是一套能够跨企业、跨市场、跨监管体系沟通的安全证明方法。此次法规通过，意味着这块长期缺失的制度基础开始成形。

同一套技术底稿，两条法律路径

为什么同时通过一项联合国法规和一项全球技术法规？

这与WP.29长期存在的两套国际车辆法规机制有关。

1958年协定体系主要服务于车辆型式批准。采用相关联合国法规的缔约方，可以按照统一要求开展认证，并在符合条件的市场之间相互承认型式批准结果。

1998年协定体系则侧重全球技术协调，参与范围包括中国、美国、加拿大等采用不同车辆准入制度的国家。GTR通过后，各缔约方仍需履行本国立法或标准转化程序，它不会自动成为某个国家的国内法，也不直接产生“一次认证、全球销售”的效果。

此次双轨并行的价值，恰恰在这里。

欧洲、日本等市场习惯以型式批准为核心，美国更强调企业自我认证和缺陷监管，中国则正在形成强制标准、产品准入、道路测试和运行监管相衔接的体系。过去，这些制度之间并不完全兼容。现在，同一套ADS安全要求被同时嵌入两条国际法律路径，实际上是在不同监管传统之间搭了一座桥。

它不会马上带来一张全球通用的自动驾驶证书，却可能让车企不再需要为每一个市场重新发明一套“为什么安全”的解释体系。

这次补上的，是自动驾驶监管最缺的一块

联合国此前并非没有智能驾驶法规。

UN R157针对的是自动车道保持系统，最初聚焦高速公路低速拥堵等相对有限的运行场景；UN R171针对驾驶控制辅助系统，驾驶员始终承担车辆控制责任；UN R155和UN R156分别建立了网络安全管理体系和软件升级管理体系。

这些法规解决了自动驾驶监管拼图中的若干局部问题，但仍没有回答一个系统性问题：

新的ADS法规不再围绕某一个具体功能展开，也没有限定必须采用激光雷达、视觉方案、高精地图或者某种算法架构。它关注的是：在企业声明的设计运行域内，系统能否持续完成全部动态驾驶任务；发生故障或者超出能力边界时，能否采取适当的后援响应；制造商是否建立了贯穿研发、生产、升级和在用阶段的安全保障机制。

这使自动驾驶监管发生了一次根本变化。

过去的汽车认证，主要是测试一辆车在规定条件下能不能达到某项性能指标。新的ADS监管不仅要“测车”，还要“审企业”。

评价对象从一次测试中的车辆表现，扩展到了制造商的安全管理体系、研发流程、仿真工具链、测试证据、供应链管理、软件版本控制以及产品投放市场后的持续监测能力。

从规则结构看，这套安全框架有四个相互咬合的支点。

把这四部分连起来看，会发现新规则管的已经不只是一个自动驾驶功能，而是安全能力如何被生产出来、如何被证明，以及如何在产品全生命周期内维持有效。

“不低于合格人类驾驶员”，不是一道简单算术题

此次法规中最受关注的一项原则，是ADS安全水平应当达到或超过“合格且谨慎的人类驾驶员”。

这个表述很容易被简化成一句话：自动驾驶的事故率必须低于人类。

实际没有这么简单。

首先，“人类驾驶员平均事故率”本身就不是一个可以直接套用的全球统一数字。不同国家、道路类型、天气条件、时间段和驾驶任务之间，风险水平存在巨大差异。高速公路白天行驶和城市夜间无保护左转，显然不能用同一个统计基准评价。

其次，事故率是一项结果指标，但自动驾驶系统在量产初期通常缺少足够大的同质化运营样本。罕见而严重的长尾风险，也很难仅靠总里程统计反映出来。

因此，“合格且谨慎的人类驾驶员”更接近一个顶层安全基准，而不是一条简单的事故率红线。法规要求制造商在系统整体风险、关键场景表现、故障响应和合理可预见误用等多个层面证明，其ADS不会带来不可接受或不合理的安全风险。

这一原则还有另一层含义：企业不能再拿最差的人类驾驶行为为系统开脱。

自动驾驶车辆不能因为现实道路上有人超速、抢行、疲劳驾驶，就把“比一部分人开得好”当作安全结论。监管所设定的参照物，是一个遵守交通规则、保持合理注意并能够谨慎应对风险的驾驶者。

这也解释了为什么设计运行域会成为整套规则的核心。

自动驾驶系统不需要一开始就证明自己能应对地球上所有道路和所有天气，但必须明确：它在哪里能够运行，最高速度是多少，允许哪些道路类型，能够处理哪些天气和交通条件，什么时候必须退出，无法继续执行任务时如何进入风险最小状态。

新增一类道路、开放夜间运行、扩大降雨条件、提高最高速度，或者把功能从几个城市推广到更复杂的交通环境，都可能改变原有安全论证的适用范围。能力边界每扩大一步，相应的场景分析、测试覆盖和安全证据也要跟着扩展，至少需要进行完整的变更影响分析。

因此，行业常说的“开城”，在ADS法规体系下不只是一个产品运营动作，也可能成为一次安全论证边界的变化。

仿真进入监管核心，但不是用电脑替代路测

自动驾驶行业过去很喜欢比较测试里程。

几百万公里、几千万公里，甚至上亿公里，看上去很有说服力。但里程只说明车辆跑了多远，并不能充分说明它覆盖了哪些风险。

如果一种致命场景平均数千万公里才出现一次，仅靠自然道路测试反复等待，不仅成本高，而且在统计上也很难建立充分置信度。更何况，真实道路测试难以安全复现极端碰撞、传感器退化、执行器故障和多种不利条件叠加的情况。

这也是“多支柱法”被写入ADS法规的原因。

真实道路测试负责观察系统在开放交通环境中的综合表现，封闭场地测试负责可控地重现关键场景，仿真则负责扩大参数空间、生成罕见事件和实施大规模回归验证。三者不是替代关系，而是证据拼图。

但仿真进入监管体系，并不意味着企业可以提交一批电脑生成的数据就完成安全证明。

真正进入监管视野的，是仿真工具链本身是否可信：环境模型是否能够反映真实交通，传感器模型的误差是否合理，车辆动力学模型是否经过校准，参数范围是否覆盖目标ODD，数值误差和不确定性是否得到分析，仿真结果与实车试验能否建立稳定相关性，软件和模型版本能否追溯。

我国强制性国标草案在这方面已经提出了较细的要求，包括仿真工具链适用范围、已知局限、数值误差、敏感性分析、校准、实车相关性验证和不确定性表征等。

对产业而言，这会改变自动驾驶测试的价值分配。未来真正稀缺的，不只是场景数量，而是场景来源是否可靠、参数分布是否具有代表性、测试结果能否复现、工具链是否经过验证，以及每一项证据能否与具体软硬件版本对应。

道路数据只有经过清洗、分类、场景抽象、参数化和可追溯管理，才能从企业内部的研发资源变成监管可以接受的安全证据。

端到端之后，安全论证反而更难

新规则采用了性能导向和技术中立原则，并没有规定自动驾驶必须使用哪一种算法路线。规则既不排斥模块化方案，也不排斥端到端模型。

但技术中立不等于降低证明要求。

模块化系统至少可以按照感知、预测、规划和控制拆解风险；端到端模型可能在体验和泛化能力上表现更好，却会让传统的需求分解、故障归因和边界说明变得更困难。

监管并不一定要求企业把神经网络内部每一个参数都解释清楚，但会要求另一种更工程化的“可解释性”：

从这个意义上说，每一次重要模型升级，都可能形成一项“安全档案增量”，而不只是一次普通的功能OTA。

值得注意的是，ADS法规通过文本的起草说明明确提出，当前要求是在车辆软件不会通过在线车载学习自行改变系统行为这一前提下制定的。

这划出了首版规则的一条重要边界。

它并不禁止企业在研发阶段使用机器学习，也不排斥端到端模型上车；但量产车辆上的行为版本必须是可识别、可验证和可追溯的。一个系统不能一边通过某个版本的安全评价，一边在道路运行中自行改变驾驶策略，使原有测试证据失去对应对象。

真正能够在车辆运行中持续学习、自主改变决策逻辑的系统，仍将是下一阶段法规需要解决的问题。

中国强标不是简单“翻译”，而是把国际框架变成准入条款

此次国际法规通过前后，中国国内的自动驾驶强制性国家标准也在加快推进。

《智能网联汽车 自动驾驶系统安全要求》强制性国家标准报批稿已经完成编制并公示。目前，全国标准信息公共服务平台显示该项目处于“正在批准”状态，拟实施日期为2027年7月1日。这里必须注意：这是拟实施日期，并不等于标准已经正式发布生效。

从现有材料看，国内强标与联合国ADS法规的技术框架保持了较高程度的协调，都涉及动态驾驶任务、人机交互、安全管理能力、安全档案、仿真及场地和道路试验、审核评估等内容。国内标准主要适用于装备L3级和L4级自动驾驶系统的M类、N类车辆，不包括自动泊车系统。

但它并不是对国际文本的简单翻译。

GTR需要兼顾各国不同监管制度，因而更侧重建立共同技术原则；中国强制性国标要进入具体的产品准入和检验体系，就必须把这些原则转化为能够审核、能够测试、能够执行的条款。

国内标准对不同自动化等级的系统行为、人机交接、用户告知和培训、防止误用、标准化试验场景等问题进行了进一步细化。这种设计与中国市场的现实高度相关。

中国智能驾驶功能普及速度快、用户规模大，系统命名和营销表达又容易造成能力误解。高阶自动驾驶真正投入私人消费市场以后，风险不仅来自算法失效，也来自用户不知道什么时候可以放手、什么时候必须接管，以及把限定条件下的自动驾驶误认为“全场景自动驾驶”。

因此，使用说明、培训确认和防误用机制并不是体验层面的附属功能，而是L3系统安全设计的一部分。

同时也要明确，这项强制性国标是一项车辆产品安全和准入标准，并不直接解决所有道路运行问题，更不会单独完成交通事故民事责任、刑事责任、保险赔偿和运营许可的划分。

安全档案、DSSAD和运行数据可以为事故还原、缺陷调查和责任认定提供依据，但最终法律责任仍需由道路交通、产品质量、侵权、保险以及地方自动驾驶运营管理制度共同处理。

产业竞争要换一套指标

过去几年，智能驾驶竞争的主要指标是开城数量、接管次数、硬件配置和功能演示。

ADS法规体系建立后，这些指标不会消失，但很难再单独构成高阶自动驾驶的准入能力。

未来真正的门槛，是企业能否持续生产可信的安全证据。

对于整车企业，安全档案不可能完全外包。整车厂需要掌握系统级安全目标，知道各个供应商模块承担什么安全责任，能够解释接口假设、失效传播路径和整车风险控制逻辑，并对最终证据链负责。

这会改变整车厂和供应商的关系。

算法、传感器、芯片、线控底盘和仿真工具供应商，不能只交付一个性能达标的“黑盒”。它们还要提供相应的边界条件、故障模式、验证材料、版本记录和变更影响信息，否则整车企业很难把这些模块纳入完整的安全论证。

对于测试认证机构，业务也会从执行固定工况试验，逐渐扩展到安全管理体系审核、安全档案评估、仿真工具链可信度审查、场景覆盖分析和在用数据评价。

这要求检测机构既懂汽车工程，也懂软件、人工智能、数据和系统安全。未来决定检测能力的，可能不再只是试验场面积和设备数量，而是能否判断一套复杂证据链是否完整、是否自洽、是否真正对应被批准的车辆版本。

对于各地智能网联汽车示范区，竞争重点同样会变化。

开放了多少公里测试道路、发放了多少张牌照，仍然重要；但更有价值的能力，是能否将真实道路中的施工、混行、极端天气和异常交通参与者转化为高质量场景数据，能否支持仿真、封闭场地和开放道路之间的交叉验证，能否建立事故、风险事件和软件版本之间的监管闭环。

从行业结构看，这也会抬高自动驾驶的固定投入。

安全工程、场景体系、仿真平台、数据治理、版本追溯和在用监测，都不是一款车型发布前临时增加的测试成本，而是需要长期维持的组织能力。企业规模固然重要，但更重要的是工程纪律：功能迭代再快，如果证据链跟不上，速度反而可能成为合规负担。

中国的机会，不只是数据多，而是能否把数据变成国际证据

中国参与牵头制定此次法规，说明我国在全球智能网联汽车规则中的角色正在发生变化。

但从“参与规则制定”到真正形成全球规则影响力，中间仍有一段距离。

中国拥有规模庞大的智能汽车保有量、复杂的混合交通环境、快速的软件迭代能力和完整的产业链，这些都为自动驾驶安全研究提供了独特基础。

不过，数据多不等于证据强。

未来中国企业出海，真正可复制的未必只是某套算法或硬件配置，而是围绕ODD定义、场景库、仿真工具链、安全档案和在用监测建立起来的整套安全工程体系。

如果国内强标与国际法规能够保持核心框架协调，中国车企进入海外市场时，就有机会复用相当一部分研发和验证证据，再根据当地道路规则、交通行为和监管要求进行补充，而不是为每个市场从头建立一套安全论证。

这才是国际法规协调对中国汽车出海最现实的价值。

全球监管在趋同，但还远不是“一套规则管全球”

联合国ADS法规建立以后，全球监管将逐渐形成一套共同词汇：

这些概念一旦成为主要汽车市场的共同底稿，企业跨市场沟通和监管机构相互理解的成本都会下降。

但仍不能把“共同底稿”写成“全球统一监管”。

GTR需要各国通过本国程序转化；联合国法规的型式批准和相互承认，也只适用于采用相关法规的1958年协定缔约方。自动驾驶车辆能否在某个城市运营，还要受到当地道路交通规则、测试与示范许可、保险制度和运营管理要求约束。

数据跨境、地图测绘、个人信息保护、远程协助、事故责任和人工智能持续学习等问题，也不可能由一项车辆技术法规一次解决。

所以，全球自动驾驶监管正在趋同，但这种趋同更像是统一了“如何讨论和证明安全”，而不是已经实现“一个标准、一次测试、全球上路”。

它解决的是产业规模化之前最关键的一层地基，而不是整栋大楼。

自动驾驶真正进入的，是“证据时代”

此次联合国ADS法规通过，最大的变化并不是给自动驾驶增加了多少项测试，而是重新定义了行业的证明义务。

一家企业不能再只用演示视频、测试里程或者少量运营数据证明系统安全。它需要说明系统的能力边界，建立覆盖研发和在用阶段的安全管理体系，用多种测试方法形成相互印证的证据，并确保每一项证据都能对应具体的软件、硬件和ODD版本。

这会让高阶自动驾驶的竞争变得更慢、更重，也更接近汽车工业的本质。

下一阶段真正拉开企业差距的，不是谁最早宣布进入L3或L4，也不只是哪个系统能够处理更复杂的路口，而是谁能把每一次能力扩张都转化为可审查的证据，把每一次软件升级都纳入可追溯的安全闭环。

联合国ADS全球规则没有替无人车宣布技术成熟。