欧美日智能网联汽车准入管理研究及启示

刘法旺 李艳文 李国俊 李京泰 张微

（工业和信息化部装备工业发展中心，北京100846）

主题词：智能网联汽车 准入管理 软件升级 网络安全

缩略语

ICV Intelligent and Connected Vehicle GRRF Working Party on Braking and Running Gear ITS/AD Intelligent Transportation Systems/Automated Driving GRVA Working Party on Automated/Autonomous and Connected Vehicles ODD Operational Design Domain ODC Operational Design Condition ALKS Automatic Line Keeping System

DSSAD Data Storage System for Automated Driving SOTIF Safety Of The Intended Functionality OTA Over-The-Air Technology

1 前言

汽车产业是我国国民经济的重要支柱产业，据国家统计局数据，2020年我国汽车制造业整体营收8.15万亿元，带来的税收、就业、零售额均占全国相应总量的10%以上[1-2]。在以人工智能、5G通信为代表的科技革命与产业变革的推动下，汽车作为新技术应用的优质载体，正在加速智能化、网联化发展进程。各类前沿技术、新兴业态“交相辉映、彼此赋能”，进一步催生了汽车产业结构、产业价值链、产品形态、消费模式、出行方式等方面的系统性变革，智能网联汽车已经成为全球汽车产业发展的战略方向[3-5]。

当前，智能网联汽车处于技术快速演进、产业加速布局的商业化前期阶段。L2 级辅助驾驶功能已开始规模化应用，L3、L4 级自动驾驶的产业化成为各大企业的瞄准目标。国际上，Waymo、Uber、Lyft 积极推进Robotaxi 测试验证，正在由道路测试向商业化示范运营推进，欧洲、美国干线物流自动驾驶已经进入了商业试运营阶段。国内的港口、矿区等限定场景率先开展试点运营，Robotaxi、干线物流等开放道路测试与示范应用蓬勃发展。

智能网联汽车准入管理是一项复杂的系统工程，安全形势更加严峻，在法规、标准等方面面临着新的挑战。此外，由于产业变革和跨界融合，相关行业主管部门的职能面临进一步协调分工。

本文聚焦研究欧美日智能网联汽车准入管理政策、法规和标准进展，剖析智能网联汽车准入管理面临的问题，提出应对的建议。

2 欧美日智能网联汽车法规标准进展

欧美日等汽车大国、强国纷纷加速制定智能网联汽车政策法规及标准，加强顶层设计。2020年11月，日本在全球第一个正式批准了具有L3级功能的车型本田“里程”。2021年1月，美国发布《自动驾驶汽车综合计划》，拟构建现代化的监管环境，开发以安全为重点的框架和工具，评估自动驾驶技术的安全性。2021年2月，德国通过《“道路交通法”和“强制保险法”修正案—自动驾驶法》，计划年中生效，届时智能网联汽车（L4 级）可在公共道路交通的固定运营区域内行驶。

通过分析欧美日智能网联汽车准入管理的进展及趋势，总结其具有以下4个主要特点。

2.1 积极参与联合国法规研讨，明确管理原则

为协调推进智能网联汽车技术法规体系建设，联合国世界车辆法规协调论坛（WP.29）在制动与行驶系工作组（GRRF）的基础上，整合智能交通/自动驾驶（ITS/AD）非正式工作组，专门成立了智能网联汽车工作组（GRVA）。GRVA工作组负责统筹开展联合国有关智能网联汽车法规的协调任务，重点保障自动化车辆的安全水平，确保智能网联汽车行驶安全，以免遭受任何不可承受的风险；确保在其设计运行范围(ODD)下，智能网联汽车不能导致任何可预见和可预防的伤亡交通事故。

GRVA 首先发布了框架法规文件，提出总体要求。2019年6月，在日内瓦举行的联合国WP.29 第178 次全体会议上，审议通过了中国、欧盟、日本和美国共同提出的《自动驾驶汽车框架文件》(Framework document on automated/autonomous vehicles(level 3 and higher)，旨在确立具备L3及更高级别功能的智能网联汽车的安全性相关原则，并为WP.29附属工作组提供工作指导。框架文件中对系统安全、失效保护响应、人机交互界面/操作者信息、事件数据记录和自动驾驶数据存储、消费者教育培训、碰撞后智能网联汽车行为等13项内容进行了明确和阐述[6]。

欧美日积极参与WP.29研讨，并发布了相应的准入指南。日本发布了《自动驾驶安全技术指南》[7]，欧盟发布了《自动驾驶车辆豁免程序指南》[8]，适用范围均是具备L3和L4级功能的智能网联汽车。针对搭载L3～L5级功能的车辆，美国发布了《自动驾驶系统2.0：安全愿景》[9]，提出了12 项安全要素要求。

2.2 “多支柱”方法获得广泛认可

《自动驾驶汽车框架文件》将安全作为核心关注点，强调“自动/无人驾驶汽车要确保安全水平达到‘自动/无人驾驶汽车不会造成任何不可忍受的风险’，这就意味着在其自动模式下，自动/无人驾驶汽车系统不应造成可以合理预见和预防的伤害或死亡的交通事故发生”。基于此原则，GRVA提出了基于“多支柱法”的自动驾驶安全验证框架，融合审核评估、模拟仿真测试、封闭场地测试、实际道路测试、在线监测报告等措施（图1）[10-11]。“多支柱法”聚焦智能网联汽车安全，由传统的产品测试扩展到过程安全评估、多层级测试等验证方式。

“多支柱法”的核心是构建了安全测评框架，以安全要求为主线，通过过程审核、多层级测试等进行综合评价。传统的手段无法穷尽自动驾驶场景验证，通过多支柱法，在封闭场地测试和实际道路测试场景有限的前提下，综合过程审核和模拟仿真测试，保障自动驾驶安全性。

2.3 采取小步快跑方式加快制定法规

基于框架文件，GRVA发布了3项法规。2020年6月24日，WP.29第181 次全体会议以网络会议形式召开，审议通过了自动车道保持系统（ALKS）、网络安全（Cybersecurity）和软件升级（Software Updates）3 项智能网联汽车领域的法规，生效日期是2021年1月[12-14]。3项法规是该领域首批国际统一和具有约束力的技术法规，对于全球范围内智能网联汽车的技术发展和产业规范具有里程碑式的意义。

图1 UNECE“多支柱法”框架[10]

ALKS 法规是针对L3 级驾驶自动化功能的第一个具有约束力的国际法规，该法规规定ALKS 在具备物理隔离且无行人及两轮车的道路上行驶，运行速度不应高于60 km/h。该法规以联合国《自动驾驶框架文件》为指导，从系统安全、故障安全响应、人机界面、自动驾驶数据存储系统（DSSAD）、网络安全及软件升级等方面对ALKS 提出要求。其中，“系统安全”要求系统在激活后可以执行全部动态驾驶任务；“故障安全响应”要求系统具备驾驶权转换、碰撞应急策略和最小风险策略；“人机界面”规定系统的激活和退出条件，并明确系统的应提示信息及形式；“DSSAD”要求应记录系统的驾驶状态。

ALKS 法规在“多支柱法”框架下提出限定功能、限定场景的技术要求，在法规制定方面迈出了第一小步。其重要意义如下。

（1）限定场景的功能相对简单，测试验证覆盖难度相对较低，风险更为可控；

（2）保留了下一步拓展的空间，通过技术持续迭代和测试，促进法规更新和完善。

2.4 以安全为主线加快推进预期功能安全（SOTIF）、网络安全等标准制定

国际标准化组织道路车辆技术委员会（ISO/TC 22）负责道路车辆的标准化工作，主要包括车辆通讯（SC 31）、车辆电气电子部件及通用系统（SC 32）、车辆动力学及底盘部件（SC 33）等11 个分委会。其中，SC 32 分委会已经发布了ISO 26262:2018 道路车辆功能安全标准[15]，并积极推动ISO 21448 预期功能安全标准[16]以及ISO/SAE 21434 网络安全标准[17]的制定，SC 33分委会在推动自动驾驶测试场景等相关标准的制定。此外，国际标准化组织智能运输系统技术委员会（ISO/TC 204）负责城郊地面运输信息、通信和控制系统的标准制定。

ISO 26262:2018《道路车辆功能安全》标准涵盖功能安全方面的整体开发过程（包括需求规划、设计、实施、集成、验证、确认和配置），为智能网联汽车功能安全开发提供了指导方针。ISO/SAE 21434《道路车辆网络安全工程》标准参考V 模型开发流程，主要从风险评估管理、产品开发、运行/维护、流程审核等4个方面来保障汽车网络安全工程实施。ISO 21448预期功能安全标准是对ISO 26262 功能安全的补充，旨在避免因智能网联汽车整车及系统的预期功能局限所引起的不合理风险。通过基于对已知不安全场景和未知不安全场景的预期功能安全验证和确认，探测和发现整车及系统组件中的功能不足并进行改进，使智能网联汽车达到合理安全水平。

3 智能网联汽车准入管理面临的挑战

在研究欧美日智能网联汽车政策法规、标准进展的基础上，进一步分析智能网联汽车准入管理面临的难题。

如图2所示，智能网联汽车面临2个主要变化。

图2 智能网联汽车准入管理挑战

（1）L3 级及以上功能，驾驶任务部分或全部由驾驶自动化系统承担，用户（驾驶员）提供必要的协助和辅助，责任主体会发生变化，汽车产品安全相关的基本特征、技术参数尚不明确。

（2）软件升级则有可能会影响智能网联汽车产品一致性管理。

自动驾驶安全问题更加复杂，驾驶权转移引发责任主体变化，产生了责任判定问题；软件升级加剧了网络安全和产品一致性管理难题；标准支撑则是影响智能网联汽车行业管理的共性难题。从智能网联汽车准入管理的视角，共识别出自动驾驶安全、责任判定、软件升级、网络安全和标准支撑等5个挑战。

5 个挑战之间又相互关联，如软件升级也涉及自动驾驶安全和网络安全问题，网络安全也会引发自动驾驶安全等问题，标准支撑则与其他4个挑战难题直接相关。

3.1 自动驾驶安全的内涵和外延在发生演变

自动驾驶强化了功能安全和网络安全的管理需求，并提出了预期功能安全管理需求[18]。人机共驾等应用场景的复杂性和功能的多样性，增加了功能安全设计和验证确认的工作量，提高了对自动驾驶残余风险可接受水平的判定难度。网联化需要建立具备纵深防御、长期监控的网络安全防护体系，延伸到车边界网络防护、车内处理器全栈防护、内外网传输保护、车辆安全服务生态等诸多方面[19]。针对自动驾驶由于预期功能的设计或其实现过程的不充分而导致危害、产生不合理的风险，提出了对预期功能安全的要求。

内涵和外延的演变，对如何评价自动驾驶达到完全安全提出了挑战。德国伦理委员会建议，自动驾驶应实现“与人类驾驶水平相比的正风险平衡”的目标[20]；《自动驾驶汽车框架文件》则要求自动驾驶应避免不合理的安全风险。这些都是原则要求，如何测试、验证并进行有效的统计分析，是面临的难题。

对搭载L3 级及以上功能的智能网联汽车，驾驶权发生转移，安全风险更加突出，测试、验证、评价自动驾驶的安全性更加困难，主要表现在以下3个方面。

（1）驾驶自动化系统及应用场景复杂，为确保驾驶自动化系统本身具有安全执行驾驶功能的能力，需要进行大量的应用场景测试，尤其是要考虑未知场景验证。

（2）自动驾驶高度依赖人工智能和深度学习，存在不可解释性，面临“黑箱”难题，需要开展大规模试验验证。据美国兰德公司（RAND）分析，证明自动驾驶安全性，需要安全驾驶110 亿英里（176 亿km），同时保证场景的多样性和覆盖度[21-21]；实际道路测试通常可以积累到几百万公里，但也只能验证部分场景，大量剩余的长尾场景无法完全通过实际道路测试实现。

（3）功能、部件安全并不代表整车系统安全，测试验证评价自动驾驶的安全性是一项复杂的系统工程，尚有不少理论和技术问题有待进一步深入研究。

3.2 驾驶权转移带来的责任判定问题

具备L3 和L4 级功能的智能网联汽车，涉及到驾驶权转移，应用场景更加复杂。L3 级驾驶自动化又称为有条件自动驾驶，是指驾驶自动化系统在其设计运行条件（ODC）内持续地执行全部动态驾驶任务；对于L3 级驾驶自动化，动态驾驶任务接管用户应以适当的方式执行动态驾驶任务接管。L4 级驾驶自动化又称为高度自动驾驶，是指驾驶自动化系统在其ODC内持续地执行全部动态驾驶任务和执行动态驾驶任务接管；对于L4 级驾驶自动化，系统发出接管请求时，若乘客无响应，系统应具备自动达到最小风险状态的能力。

在涉及驾驶权转移的应用场景下[23]，如何进行事故责任判定成为一个重要课题。国内外自动驾驶数据存储系统(DSSAD)法规和标准还处于研究阶段，自动驾驶数据记录的触发条件、数据记录类型、数据传输等成为焦点讨论问题。数据记录、自动驾驶复杂应用场景以及驾驶权频繁转移都对责任判定提出了挑战。

3.3 软件升级对智能网联汽车一致性产生影响

2020年5月，特斯拉针对Model3 推出付费加速升级服务。2020年12月，宝马对全球75万辆汽车OTA 升级，涉及底盘、动力等模块。软件升级广泛应用且升级频次日益频繁，车辆功能持续迭代更新，产品一致性管理面临挑战，亟需完善准入审查及监督管理方式。

在软件定义汽车的大趋势下，软件质量审核、测试验证、发布流程等要求的规范性将成为影响汽车产品质量、安全性、可靠性的重要因素。软件升级技术加速普及和应用，对准入审查、监督管理方式提出新的挑战。

（1）软件升级可能带来产品一致性问题。软件升级后导致实际生产销售的智能网联汽车产品有关技术参数、配置和性能指标，与型式批准的车辆产品相关技术参数、配置和性能指标不一致，对一致性监督管理造成冲击。

（2）软件升级可能改变产品安全、环保、节能、防盗等性能，出现升级后车辆不符合现有法规、标准及技术要求等问题，造成产品重大安全隐患，引发产品合规性风险。

3.4 网络安全管理难题

随着车载系统的数量和复杂性不断增加，对网络安全的需求正在迅速增长。汽车与制造商之间的通信（如OTA，监测等），车车通信（V2V），汽车与基础设施之间的通信（V2I），以及与第三方供应商的智能手机和设备进行通信，新的业务服务模式将对智能网联汽车的网络安全管理提出新要求。

随着V2X 技术的普及应用，周边车辆、基础设施等协同工作，甚至参与感知、决策和控制，网络安全风险更加凸显。周边终端、云端等可能参与感知、决策、甚至控制，也将面临责任划分问题。

同时，智能网汽车可以采集车辆数据、用户数据、地图数据、位置数据、路况数据、业务数据等数据信息，并能够将海量数据发送到云端，也会产生数据安全、个人信息保护等问题。

3.5 管理支撑标准相对滞后

自动驾驶技术的快速演进，给标准制定造成了2个难题。

（1）制定具体的功能标准变得更加困难，功能边界更加多变，安全要求更高；

（2）缺乏足够的试验数据，难以量化参数要求和支撑制定相关的性能标准。智能网联汽车产业蓬勃发展，安全隐患也进一步增大，行业管理需求更加迫切，而支撑行业管理的标准制定相对滞后，对智能网联汽车准入管理也会带来困扰。

目前，以功能安全、预期功能安全、网络安全为代表的系统工程标准[24]被广泛引用到GRVA法规。

（1）提出了安全生命周期的概念，涉及到产品过程审核要求，对传统准入管理提出了修订需求；

（2）界定了框架安全，对智能网联汽车产品提出了系统安全的评价概念，确保了安全的充分性，但缺乏智能网联汽车量化技术参数，对行业管理提出了难题。

4 应对思考

参照联合国以及欧美日智能网联汽车准入管理的进展，结合我国国情，对智能网联汽车准入面临的挑战提出如下应对思考和建议。

4.1 加强顶层设计与工作协同

智能网联汽车发展需要国家顶层政策的指导和规划设计。

（1）智能网联汽车涉及驾驶权转移问题，引发一系列法规、标准、保险、商业模式、伦理道德等领域的挑战，需要国家层面的整体布局。

（2）智能网联汽车产业覆盖面广、技术交叉强，涉及与能源、环境、通信、交通等领域的协同，具备本地属性和跨领域、跨部门监管的特点，也需要国家层面进行顶层规划和工作协同。

建议部门间形成合力，积极推动形成跨部门协同管理机制，明确包容审慎监管原则，坚持依法监管、底线监管、创新监管的理念。处理好发展与安全之间的关系，尽快推动适用于智能网联汽车的法律法规制修订工作。

建议延续企业准入、产品准入、产品生产一致性监督管理等管理框架，参考国际经验，进一步强化企业主体责任，针对智能网联，尤其是自动驾驶，有针对性地加强企业安全保障、产品过程保障、产品测试验证等要求，逐步探索建立适用于我国的智能网联汽车准入管理办法。

4.2 推进测试与试点应用

我国智能网联汽车道路测试和示范应用已具备一定基础，但对行业管理和产业发展的支撑作用并未充分发挥出来。对于高等级自动驾驶功能而言，其主要技术特征是基于场景和人工智能（AI），需要针对其设计运行范围（ODD）持续进行训练和优化；对于高等级自动驾驶管理而言，其难点在于相关产品和技术仍在迭代，管理经验和数据积累不足，安全责任边界难以界定，管理尺度难以拿捏。基于此提出如下3点建议。

（1）进一步扩大范围，开展规模化智能网联汽车测试验证及示范应用，支撑准入管理政策法规和标准规范编制，探索商业模式。

（2）推动基于数据平台认可的测试结果互认和数据共享，推动不同地区测试相关标准和管理办法统一。

（3）研究建立符合中国特色的智能网联汽车测试评价体系。

4.3 基于“多支柱法”的安全证明

联合国自动驾驶法规、欧美日智能网联汽车管理政策均是以L3级为限界，制定或出台相关法规、指南或框架要求。其本质原因在于L3级及以上功能的智能网联汽车涉及到驾驶权转移，安全要求更高，应用场景更加复杂。

参照联合国自动驾驶法规要求，基于“多支柱法”进行测试验证和统计证明。通过模拟仿真测试、封闭场地测试、实际道路测试等验证系统安全，对系统运行安全性进行全面监测，量化并评估以前未考虑的情景，提高验证的置信度。

4.4 推进研究软件升级管理要求

加快推动汽车软件升级相关标准与规范制定，明确软件升级相关功能要求、安全要求及测试规范，保障软件升级质量。加快软件升级分类体系与判定技术条件研制，完善软件升级安全评估与测试体系。

开展软件升级安全监管技术研究和安全监管平台试点。支持企业稳步发展，保护消费者权益，引导企业从框架性、整体性的角度来考虑，包括基础设施安全、流程上的规范等方面，探索建立软件升级监管数据平台，组织开展监管技术研究，细化企业保障能力要求和软件升级功能测试要求，加强软件升级监督管理工作。

4.5 推进网络安全管理政策及标准研究制定

网络安全涉及面宽、相关管理机构多，建议进一步梳理明确政府、行业、企业职责定位和责任划分。对车端的网络安全，从企业网络安全保障、产品网络安全过程保障、产品网络安全测试验证3个方面提出要求。

数据安全方面，建议研究制定智能网联汽车数据安全相关的管理、技术、测评等标准规范。开展数据安全标准框架研究，加快数据分类、数据脱敏、数据防泄漏等标准研制。持续推动完善智能网联汽车数据安全和用户个人信息保护标准体系。

5 结束语

在产业变革的大背景下，智能网联汽车的技术特征、生产组织方式及服务体系等都在发生改变，行业管理更加复杂。智能化对车辆行驶安全、责任判定等提出更高要求，网联化对网络安全、数据保护和个人信息保护、软件升级等提出了新的行业管理难点。

本文聚焦智能网联汽车准入管理政策研究，梳理联合国自动驾驶法规进展及欧美日的准入管理经验，分析智能网联汽车驾驶权发生转移和网联化增强后面临的各种行业管理挑战，研究提出加强顶层设计与战略协同、推进试点应用与测试、基于“多支柱法”进行安全证明、推进软件升级管理要求、推进数据安全管理政策标准制定这5个方面的应对建议。