问题——L3上路,“谁来负责”要求系统必须具备自救能力。 按照国际通行的分级标准,L2级由驾驶员承担主要责任,系统提供辅助;L3级则在限定场景下由系统承担动态驾驶任务,驾驶员处于待命状态。责任边界一旦变化,启用L3功能后,车辆就不能再默认依赖驾驶员随时接管。现实中,分心、疲劳、突发疾病等都可能导致“接管不可得”。当关键部件故障或环境骤变时,风险会被更放大。因此,故障发生时如何保持车辆可控、完成风险降级处置,是L3落地必须回答的核心问题。 原因——长尾场景难以穷尽,单点失效不可接受。 道路交通中充满低概率但高后果事件:暴雨与逆光导致感知退化、前车遗落异物触发紧急避让、施工改道造成标识混乱、传感器被污损或遮挡等。即便算法迭代和数据训练持续加强,也很难把所有意外都“提前写入题库”。,电动化与智能化让车辆对传感器、线控底盘、计算平台以及供电与通信等关键链路的依赖更强。一旦出现单点失效,系统主责可能在最需要稳定的时刻丧失能力。由此,硬件冗余与故障安全机制,成为L3从“能开”走向“可用、可信”的必要条件。 影响——冗余能力决定风险下限,也影响监管与消费者信心。 在L3语境下,安全不仅体现在正常工况下的表现,更关键的是异常工况下是否守得住底线。冗余架构的意义在于:当部分能力下降时,系统仍能保持基本操控,完成减速、变道或靠边停车等最小风险动作,把事故概率与严重度控制在可接受范围。对消费者而言,是否愿意相信“系统担责”,取决于极端情况下车辆是否仍有“第二套办法”;对监管而言,车辆是否具备清晰的故障诊断、降级策略以及可验证的安全证据,是准入与运营的重要考量。换言之,冗余不仅是工程取舍,也直接关联产业秩序、市场节奏与社会接受度。 对策——以多维冗余构建“最后防线”,并用可验证测试形成安全证据链。 从业内公开测试与产品实践看,冗余设计正走向系统化,覆盖感知、执行、能源与信息传输等关键环节。以有关车型测试为例:在感知层面,通过多传感器融合与补盲配置,使主传感器受限时仍能尽快恢复有效感知,尽量降低对决策与控制的影响;在执行层面,转向与制动采用双电机或双控制器等方案,避免单点失效导致车辆失控,并通过可控的制动性能退化为安全停车争取时间;在基础保障层面,双供电网络可在短时间内切换,确保关键控制链路不断电,双通信链路则降低信息中断风险。 更重要的是,冗余并非简单“堆配置”,还需要与故障诊断、功能安全策略、最小风险状态(如安全靠边停车)形成闭环。在传感器遮挡、风挡被覆盖等极端条件下,车辆应能执行减速、提示、控制雨刮等措施并完成安全处置。 同时,L3从演示走向落地离不开“证据”。实路里程、仿真验证、场景覆盖度、失效模式与影响分析等,需要形成可追溯、可复核的安全证明。通过公开测试、第三方评估与持续迭代,才能把“看起来很强”变成“用起来放心”。 前景——冗余将成为L3规模化的基础工程,政策与标准或进一步细化。 展望未来,L3商业化推进可能呈现几项趋势:一是从单一功能宣传转向系统安全能力的综合比拼,冗余、故障降级与最小风险动作将成为核心指标;二是与法规标准的耦合度提高,围绕系统主责的取证、审查与运行边界更清晰,推动企业在设计阶段就对“可验证安全”负责;三是成本与安全的平衡将随着规模化与供应链成熟逐步改善,但安全底线不会因成本压力而退让。可以预期,随着更多城市与场景有序开放,具备完善冗余与验证体系的产品更可能率先获得市场与监管的双重通行证。
自动驾驶技术的演进不仅是性能提升,更是安全理念的更新;冗余系统的价值不在于增加配置,而在于建立技术可靠性的底层逻辑:车辆在关键时刻能够自主化解风险,才能真正实现从“辅助驾驶”到“自动驾驶”的跨越,并为未来智慧交通打下基础。此进程既需要技术创新,也需要更完善的行业标准与监管体系。