按照《中華人民共和國標(biāo)準(zhǔn)化法》和《強制性國家標(biāo)準(zhǔn)管理辦法》，工業(yè)和信息化部裝備工業(yè)一司組織全國汽車標(biāo)準(zhǔn)化技術(shù)委員會開展了《智能網(wǎng)聯(lián)汽車組合駕駛輔助系統(tǒng)安全要求》強制性國家標(biāo)準(zhǔn)的制定。2025年9月17日開始，公開征求社會各界意見（以下簡稱：征求意見稿）。這份征求意見稿都規(guī)定了啥？對自動駕駛行業(yè)提出了什么要求？會對自動駕駛行業(yè)未來發(fā)展產(chǎn)生什么影響？

把“誰管誰的事”講清楚

這份征求意見稿首先把“組合駕駛輔助系統(tǒng)”定義成在其設(shè)計運行條件（ODD）下，持續(xù)執(zhí)行車輛橫向和縱向運動控制，并具備相應(yīng)目標(biāo)和事件探測與響應(yīng)能力的軟硬件系統(tǒng)。組合駕駛輔助系統(tǒng)主要分成四類，即基礎(chǔ)單車道、基礎(chǔ)多車道、領(lǐng)航類和泊車類，每一類作為獨立系統(tǒng)來規(guī)定要求和試驗方法。標(biāo)準(zhǔn)適用于M、N類車輛（常見的乘用車及商用車）。整體目錄除了功能與安全要求外，還把場地試驗、道路試驗、用戶告知、系統(tǒng)禁用、同一型式判定、實施日期和若干規(guī)范性附錄（例如仿真可信度、功能安全描述、制造商安全保障與數(shù)據(jù)記錄）都系統(tǒng)化列出，形成“規(guī)則+驗證+治理+數(shù)據(jù)”閉環(huán)。

把系統(tǒng)類型、ODD范圍和試驗方法放在同一標(biāo)準(zhǔn)里，對于自動駕駛行業(yè)來說或有兩方面的現(xiàn)實意義。一是可以統(tǒng)一口徑，監(jiān)管與檢測機構(gòu)可以用同一套條目檢查不同廠家的產(chǎn)品是否滿足“能做什么/不能做什么”；二是可以促使廠商在產(chǎn)品設(shè)計階段就把能力聲明（比如在哪些道路、速度、能否換道、能否通過復(fù)雜路段）和對應(yīng)的驗證計劃寫清楚，避免“功能說明模糊、現(xiàn)場使用超范圍”的風(fēng)險。標(biāo)準(zhǔn)通過把試驗方法也規(guī)范化，縮短了“規(guī)則—檢驗—整改”的閉環(huán)時間，有利于從工程端把安全做成可測量、可復(fù)現(xiàn)的工作。

一個組合駕駛輔助系統(tǒng)最容易出問題的環(huán)節(jié)就是“誰在開車”的邊界不清。征求意見稿對駕駛員監(jiān)測（手部和視線）以及在駕駛員不配合時的提示與接管/減災(zāi)流程做了嚴(yán)格規(guī)定，并給出明確的時序要求。當(dāng)車輛速度大于10km/h且駕駛員視線偏離駕駛?cè)蝿?wù)相關(guān)區(qū)域時，系統(tǒng)應(yīng)在最遲5秒內(nèi)發(fā)出EOR（視線回歸提示）；如果視線繼續(xù)偏離，要在發(fā)出EOR后最遲3秒升級EOR；在升級EOR后若視線仍未回歸，系統(tǒng)最遲在5秒內(nèi)發(fā)出DCA（立即控制警告），DCA要顯著提示駕駛員立即恢復(fù)對車輛橫向運動的控制；如果在發(fā)出升級的HOR或DCA后仍無響應(yīng)，系統(tǒng)應(yīng)在最遲10秒內(nèi)觸發(fā)RMF（風(fēng)險減緩功能）。這些時間點和升級順序都有明確的條款約束。

為什么要把這些提示和時間量化成“秒級”的硬指標(biāo)？這背后其實是出于安全的考慮。人類在被提示后恢復(fù)注意力與動作需要時間，但這個時間窗口不能任意放大，太短會造成誤報警、太長會讓車輛進入不可控風(fēng)險區(qū)。把視線/手部檢測與分級提示（HOR、EOR、DCA）做成可測量的時序，便于在實驗場場景復(fù)現(xiàn)人機不配合的極限情形，檢驗系統(tǒng)是否能在可接受風(fēng)險下完成安全控制或及時觸發(fā)RMF。此外，明確“RMF最遲觸發(fā)時間”能給系統(tǒng)設(shè)計一個硬的“最后防線”，在駕駛員明確未響應(yīng)時，系統(tǒng)必須在限定時間內(nèi)把車輛帶入更安全狀態(tài)，不能靠模糊的人機判斷拖延決策，降低因遲緩引發(fā)事故的概率。

征求意見稿還提到允許“跳過階段直接發(fā)出DCA或RMF”，并對不同警示之間的抑制邏輯做了說明（例如在發(fā)出升級的HOR時可以抑制EOR等），這是在用戶體驗與報警之間的折中選擇。在某些緊迫情形，系統(tǒng)不必按嚴(yán)苛流程逐級提示，而是直接進入高優(yōu)先級警示或RMF；但為何允許這種跳步？因為實際路況具有突發(fā)性，標(biāo)準(zhǔn)既要保證用戶有充分的糾正機會，也要允許系統(tǒng)在不可逆風(fēng)險面前采取果斷策略。

征求意見稿還要求DCA要持續(xù)到系統(tǒng)檢測到駕駛員已恢復(fù)橫向控制或系統(tǒng)觸發(fā)RMF，并規(guī)定DCA應(yīng)包括持續(xù)的光學(xué)、聲學(xué)和觸覺信號。這充分體現(xiàn)了一個原則，即報警設(shè)計需要“可感知且可信”。單一通道（比如只閃燈）在真實車內(nèi)很容易被忽略或誤判，把多種感官通道組合起來能提高駕駛員對緊急提示的響應(yīng)概率，從而降低因信號不可見或不可聞導(dǎo)致的事故風(fēng)險。

為什么要嚴(yán)格告知“在哪兒能干活”？

征求意見稿對系統(tǒng)的ODD要求與能力聲明非常重視。廠商必須明確系統(tǒng)能在哪些道路類型、車速范圍、車道寬度、天氣光照等條件下運行，并且要有辦法探測是否即將超出ODD，一旦檢測到超出應(yīng)提示駕駛員并可控地終止自動控制。這一條的意義在于把“能力聲明”變成可執(zhí)行的安全約束，若沒有明確的ODD定義，用戶容易把系統(tǒng)能力過度泛化（例如在匝道、交叉口或施工區(qū)誤用），導(dǎo)致事故風(fēng)險上升，現(xiàn)階段就有很多智駕車主會過渡使用組合輔助駕駛功能，并給其他人造成錯誤的引導(dǎo)。明確ODD有助于從產(chǎn)品發(fā)布到用戶使用形成一致預(yù)期，便于監(jiān)管核查與事故責(zé)任認(rèn)定。

換道等復(fù)雜動作在征求意見稿中被單獨列了出來，其中要求對換道的觸發(fā)條件、后向交通評估以及換道執(zhí)行期間的可預(yù)期性提出限制（換道在不同觸發(fā)模式下要滿足更高的感知與決策要求）。換道會帶來對周邊車輛的影響，錯誤的時機或過激的橫向動作可能觸發(fā)后車緊急制動或碰撞。征求意見稿通過對換道行為設(shè)置更嚴(yán)格的感知與決策門檻，防止“系統(tǒng)主動換道引發(fā)連鎖風(fēng)險”的情形。雖然征求意見稿中把許多細(xì)則放在技術(shù)要求和試驗方法里，但其核心邏輯是，越是影響周邊交通參與者的動作，越要高置信度的感知與更保守的決策策略。

后向距離示意圖

另外，征求意見稿中還要求系統(tǒng)在與AEB（自動緊急制動）等安全系統(tǒng)交互時不得抑制正在執(zhí)行的緊急動作，并要明確控制優(yōu)先級的轉(zhuǎn)換策略。這說明自動駕駛并非孤立模塊，它需要與車身控制、安全系統(tǒng)緊密協(xié)作，任何優(yōu)先級沖突都可能帶來災(zāi)難性后果。把這些交互寫進標(biāo)準(zhǔn)，可以迫使設(shè)計者在早期就處理好模塊間的接口與異常場景。

為什么要同時要求“場地+道路+仿真+數(shù)據(jù)”四管齊下？

征求意見稿把驗證體系分成場地試驗、道路試驗和仿真試驗，并在附錄中專門對仿真試驗的可信度評估提出規(guī)范（包括工具鏈管理、模型不確定性量化、驗證與確認(rèn)流程）。這是對當(dāng)前產(chǎn)業(yè)實踐的直接回應(yīng)，隨著仿真替代實車測試的比重上升，必須有統(tǒng)一的可信度評估辦法，避免“仿真結(jié)果與現(xiàn)實脫節(jié)”的風(fēng)險。要求仿真工具鏈可溯源、模型不確定性有量化說明，能促使廠商提升仿真平臺的工程能力。

仿真測試可信度評估框架

場地和道路試驗把關(guān)鍵情景和通過準(zhǔn)則在征求意見稿中更加具體化，例如觸發(fā)駕駛員脫離檢測的試驗方法、碰撞事件觸發(fā)的要求以及對記錄數(shù)據(jù)的讀取與核驗方式。這些試驗流程的規(guī)范化會給自動駕駛行業(yè)帶來兩個好處，一是幫助檢測方在有限的試驗資源下復(fù)現(xiàn)關(guān)鍵失效場景；二是讓產(chǎn)品設(shè)計方有明確的驗證清單，從而把安全需求映射成可測試的工程任務(wù)。

關(guān)于數(shù)據(jù)記錄，征求意見稿提出要把記錄系統(tǒng)分為I型和II型，并對時間段事件與時間戳事件、記錄字段、鎖定與不可覆蓋原則等做了規(guī)范。把記錄要求寫清楚目的其實非常直接，那就是一旦發(fā)生事故，完整且保真（不可覆蓋）的時間序列數(shù)據(jù)是判定事實、回放決策鏈與改進算法的基礎(chǔ)。沒有可用數(shù)據(jù)，既無法做出技術(shù)上的責(zé)任判定，也不利于行業(yè)吸取教訓(xùn)。

制造商責(zé)任、用戶告知與系統(tǒng)禁用的規(guī)范

征求意見稿不僅規(guī)范了具體技術(shù)，還要求制造商建立覆蓋車生命周期的安全保障體系，其中包括安全方針、風(fēng)險管理、設(shè)計開發(fā)流程、生產(chǎn)管理、供應(yīng)商管理與持續(xù)改進機制等。這部分其實強調(diào)的是組織能力，自動駕駛系統(tǒng)的安全不是單一算法或單個模塊的事，而是涵蓋供應(yīng)鏈、軟件迭代、上線后監(jiān)測與事件處置的體系工程。要求制造商在制度層面負(fù)責(zé)，是為了把技術(shù)安全上升為企業(yè)治理的核心任務(wù)，而非工程團隊的孤立工作。

 用戶告知和確認(rèn)機制也有硬性條款，例如要求車輛在靜止時提供用戶確認(rèn)已閱讀并理解使用說明的操作（可以通過賬號登錄與兩步確認(rèn)動作），并要求在最長30天未再次確認(rèn)時提示用戶更新。這樣的規(guī)定既考慮到合規(guī)性，也考慮到用戶理解能力與設(shè)備轉(zhuǎn)手后的使用安全。與之配套的系統(tǒng)禁用規(guī)則也很嚴(yán)格，在當(dāng)前點火周期內(nèi)若發(fā)生觸發(fā)RMF、或連續(xù)升級報警多次等情況，系統(tǒng)應(yīng)被禁用至少30分鐘，并提示用戶重新閱讀使用說明。這些條款是對“多次逃避人機責(zé)任或頻繁誤報”的直接治理手段，目的在于防止駕駛員過度依賴或?qū)ο到y(tǒng)失去信任，同時強制回到人工控制與學(xué)習(xí)環(huán)節(jié)。

最后的話

把以上條款綜合起來看，這份征求意見稿的方向和邏輯很清晰，把組合駕駛輔助系統(tǒng)的能力、邊界、人機交互時序、關(guān)鍵安全行為與驗證流程都從“工程模糊區(qū)”拉回到“可聲明、可測量、可復(fù)核”的范疇。對于廠商而言，短期要求他們在感知、駕駛員監(jiān)測、仿真驗證與數(shù)據(jù)記錄上有更多的技術(shù)投入；長期卻能帶來市場競爭的秩序化，讓那些能把安全治理做扎實的企業(yè)在合規(guī)/信任上取得更多的優(yōu)勢。對用戶而言，標(biāo)準(zhǔn)能帶來更明確的使用說明和事故可溯源性，減少“功能過度宣傳—現(xiàn)場誤用—責(zé)任不清”的灰色地帶。

-- END --

       原文標(biāo)題 : 《組合駕駛輔助系統(tǒng)安全要求》對自動駕駛行業(yè)提出了什么要求？