出品 ｜ 搜狐汽车·汽车咖啡馆

作者 ｜ 胡耀丹

智能网联汽车自动驾驶系统的安全监管迎来关键节点。6月16日，《智能网联汽车自动驾驶系统安全要求》（下称《安全要求》）强制性国家标准（报批稿）编制工作全部完成，并于6月17日至6月24日面向社会公开征求意见。

综合而言，该文件既为自动驾驶产品功能划出“红线”，又对主机厂包括生产、开发等在内的的安全体系能力作出规范。标准拟于2027年7月1日起实施，并设置1年过渡期：新申请车辆型式批准的车型，自实施之日起开始执行；已获得车辆型式批准的车型，在实施之日起第13个月开始执行。

《安全要求》（报批稿）代替的是GB/T 44721—2024 《智能网联汽车 自动驾驶系统通用技术要求》。与GB/T 44721—2024相比，除结构调整及编辑性改动外，更改了标准名称（明确安全要求），增加了保障要求检验、安全档案检验等。

其中，较为关键的是，其从法规层面首次清晰界定了L3与L4自动驾驶功能的技术“红线”。

《安全要求》（报批稿）增加了应用于高速公路和/或城市快速路的3级自动驾驶功能具体技术要求，和4级自动驾驶功能具体技术要求。这也意味着，其首次在法规层面系统性地回应了一个关键问题：L3和L4自动驾驶要真正上路，安全上到底需要满足哪些硬性国标？

在此之外，标准的另一大亮点是，其跳出了产品功能本身，将企业的安全管理能力等一并纳入强制管理。其构建起一套覆盖全生命周期的监管框架，完善了对企业的开发过程、试验能力和举证责任等能力考查。

产品功能“红线”与企业安全体系规范“双管齐下”，将为自动驾驶的大规模安全落地打牢基础。

01 L3、L4各自划定法规红线

在自动驾驶的分级体系中，L3与L4虽然同属高阶自动驾驶，但限定条件的不同，决定了法规着力点的根本差异。

《安全要求》（报批稿）规定，L3级自动驾驶为有设计运行范围限制且需要后援用户的自动驾驶功能。其引入了“后援用户”的概念，即系统在特定条件下可以完全自主驾驶，但必须有一位用户随时准备响应系统请求接管车辆，安全逻辑的核心是“人机共驾”。

对于应用于高速公路和/或城市快速路的3级自动驾驶功能，《安全要求》（报批稿）在接管时间、系统退出条件和最小风险策略等维度，设定了具体的技术指标。

首先，接管时间是不可压缩的底线。《安全要求》（报批稿）规定，介入请求从发出到系统启动最小风险策略之间，至少预留10秒，以确保后援用户有充足的时间从非驾驶状态切换到驾驶状态。

同时，《安全要求》（报批稿）要求，请求发出后4秒内，提示方式必须升级，从声学信号，升级到增加持续或间歇的触觉提示。这一规定或将起到防止用户因注意力分散而错过提醒的作用。

虽然对接管时间做出规范，但并不意味着系统可以在满足接管时间的情况下，任意选择退出对车辆的控制，让用户接管。

《安全要求》（报批稿）指出，在四种情况下，ADS可能退出，而这四种情况均需要用户主动操作。除了这四种情况和安全档案中的其他安全退出控制策略，ADS不应退出。

附录B 《应用于高速公路和/或城市快速路的 3 级自动驾驶功能具体技术要求》

尤其是存在紧急碰撞风险的情况下，急迫的碰撞风险未消失、用户未退出ADS时，紧急避撞控制将始终运行。

《安全要求》（报批稿）要求，当存在急迫的碰撞风险时，ADS须执行紧急避撞控制。标准将“发出高于5 m/s²制动减速度指令”视为紧急避撞控制，为技术判定提供了量化依据。

文件进一步要求，除急迫的碰撞风险已消失或ADS被后援用户退出外，紧急避撞控制不应被终止。由于急迫的碰撞风险消失导致紧急避撞控制终止后，ADS仍保持激活状态。若因执行紧急避撞控制造成车辆静止，须开启危险警告信号。

附录B 《应用于高速公路和/或城市快速路的 3 级自动驾驶功能具体技术要求》

此外，《安全要求》（报批稿）对用户干预与系统控制的优先级，也建立了明确的界限。根据规定，用户转动方向盘或踩刹车，只要力度超过系统为防止误用而设计的“合理阈值”，用户输入的转向、制动控制应被执行。但在急迫的碰撞风险等情况下，ADS可能执行安全档案中的其他控制策略。用户若进行加速，不能导致ADS 违反文件的其他安全要求。

附录B 《应用于高速公路和/或城市快速路的 3 级自动驾驶功能具体技术要求》

最小风险策略则是最后的安全兜底。在用户始终未接管的情况下，系统须执行最小风险策略，将车辆移至道路边侧安全静止，或至少要让车辆在本车道内静止。

L4级自动驾驶为有设计运行范围限制，且不需要后援用户的自动驾驶功能。这也意味着，系统须对运行全程的安全负责。与应用于高速公路和/或城市快速路的3级自动驾驶功能相比，4 级自动驾驶功能具体技术要求明显更高。

比如，《安全要求》（报批稿）指出，车辆要具备采取合理控制策略应对道路因施工、交通管制等情况发生临时变更的能力。而对应用于高速公路和/或城市快速路的3级自动驾驶功能并不存在这一强制规范。

同时，L4功能并不“配备”后援用户，而是引入了“远程协助”。当ADS（自动驾驶系统）处于激活状态且遇到难以处置的情况时，ADS接收由远程方式发送的协助信息，以继续完成行程。同时，《安全要求》（报批稿）指出，ADS 不应依赖远程协助执行动态驾驶任务。

但最大的权利、责任仍然在ADS本身。

《安全要求》（报批稿）要求，在远程协助介入时，ADS应独立执行全部动态驾驶任务，且不对车内用户和ORU 造成不合理的安全风险。而当远程平台服务器故障时，ADS有安全策略保障车辆安全运行。

值得一提的是，《安全要求》（报批稿）还还防范了L4级别车辆“趴窝”风险。其规定，当通信状态不符合需求导致 ADS 触发远程协助失败时， ADS 应执行合理的控制策略（例如，执行最小风险策略等），最小化对车内用户和其他道路使用者的安全风险。

在紧急避撞控制上，L4功能的规范与应用于高速公路和/或城市快速路的L3功能几乎一致。但在退出机制上，L4功能更加严苛。

《安全要求》（报批稿）规定，针对允许行驶中退出至人工驾驶的自动驾驶功能，非静止状态下，除了用户接管、切换至L3功能、切换至自动泊车功能这三种情况之外，4级自动驾驶功能不应退出。

附录C 4 级自动驾驶功能具体技术要求

针对不允许行驶中退出至人工驾驶的自动驾驶功能，除安全切换至 4 级自动泊车功能外，若车辆未处于静止状态，4 级自动驾驶功能（非自动泊车功能）不应退出。

02 企业安全能力同步立规

在车辆具体安全功能之外，《安全要求》（报批稿）还有一大亮点，那就是对主机厂的安全能力做出规范。其核心思路是：在最终产品检测之外，还要考察企业的开发过程、试验能力和举证责任等能力。

《安全要求》（报批稿）规定，企业必须建立“安全保障要求”体系，这包括安全方针、风险管理、安全保证、安全提升、设计与开发管理等多个方面。

其中，企业需要定义关键绩效指标来衡量安全管理体系的有效性、定期开展独立内审和外部检验……这一体系框架，将安全管理从“项目级”提升到“组织级”，要求企业具备制度化的安全治理能力。

安全档案是举证的重中之重。《安全要求》（报批稿）要求，车辆制造商在安全档案中应提供系统描述，包括ADS 的配置和运行特性、自动驾驶功能的退出条件等功能描述。此外，安全档案还须涵盖危害分析与风险评估、接受准则与确认目标等。

同时，安全档案还要涵盖一系列声明，通过“声明—论据—证据”三级逻辑，证明ADS 不会造成不合理的风险，符合文件的各类要求。

《安全要求》（报批稿）规定，检验人员要对车辆制造商提供的安全档案进行检验，并进行确认性试验，根据安全档案使用多种试验方法确认自动驾驶功能的表现。

综合来看，这份标准标志着国内L3、L4自动驾驶将进入“有标可依、有据可查”的合规管理新阶段。

从接管窗口到退出机制，从安全管理体系到安全档案，一系列量化指标和制度安排将推动行业从技术竞赛转向安全竞赛。对于消费者而言，未来上路的高阶自动驾驶汽车，将有一套完整的国标兜底保障，而非企业单方面的功能宣传。L3、L4自动驾驶时代，将加速向着大规模落地走来。