【专家解读】智驾大变局！从功能演示到证据闭环，智能驾驶正式迈入”安全论证”时代

近期CICV 2026第十三届智能网联汽车技术年会上，中国工程院李骏院士提出重要警示：自动驾驶清单式合规的应试时代已经结束，Safety Case（安全论证）成为行业新核心门槛，叠加2027年即将落地的ISMR在役监控要求，行业淘汰赛全面开启。

针对这一行业重大变革，IAE智行众维资深首席安全专家方成熏（PANG SUNG HOON / Mr.Pang） 结合二十余年自动驾驶系统研发、功能安全与预期功能安全开发和评测的资深经验，深度解读行业发展趋势，并基于IAE X-IN-LOOP闭环技术体系指出：智能驾驶的竞争早已从“功能比拼”转向安全证据竞争，VaHIL与VTHILS 不只是研发测试关键装备，更是智能驾驶准入前、支撑”安全论证”（Safety Case）的必要基础设施。

一、行业巨变：智能驾驶，从“道路偶遇”全面转向“证据闭环”

过去智能驾驶行业的竞争，大多停留在功能演示、道路里程和用户体验层面。但如今整个行业进入了更冷静、更严格的新阶段：企业不能只证明“系统可以工作”，更必须严谨证明系统在边界条件和故障条件下仍然安全。

安全论证不是多写几页材料，也不是把测试报告简单装订成册。它要求企业把安全目标、危险场景、功能不足、故障反应、验证结果和残余风险用一条清晰的证据链连接起来。

随着国内准入试点、组合驾驶辅助强制性标准、预期功能安全、在用监测相关要求持续加码，所有主机厂、零部件供应商、测试机构都面临同一个核心问题：我的智能驾驶系统，凭什么被信任？

传统道路试验有其固有价值，但无法独立支撑高标准安全论证：暴雨、浓雾、低照度、异形目标、驾驶员接管、通信异常、电源波动、传感器偏移、执行器反馈异常等风险场景，不会按照研发计划准时出现；即便偶然复现，也无法保证下一次以完全相同的条件再次重现。

基于此，行业三大转变已经不可逆：

1. 从功能演示，转向证据闭环；

2. 从道路偶遇，转向可重复验证；

3. 从单一试验报告，转向标准化安全证据包。

正如图示逻辑：安全论证的根基是安全目标，依托明确的ODD与应用场景，设置故障/触发条件，观测系统响应并建立时序判定标准，最终形成完整证据包。没有可复现、可审计、可追溯的证据，所有安全主张都无法站住脚。

二、事故复盘：从公开案例，看懂安全论证必须补齐的核心证据

结合多起公开事故案例分析可以看出，智能驾驶安全风险从来不是单点问题，而是感知、分类、预测、控制、告警、接管、数据记录多环节共同作用的结果。事故案例不是用来制造恐慌，而是用来反推哪些安全证据必须提前准备。

 

结合行业典型问题，目前主要存在三大高频风险点，同时也明确了对应的证据补齐要求：

01 交叉目标/白色目标误识别

感知系统在特殊角度、强光、低对比条件下易出现目标识别不足。

所需证据：目标检测边界、误检/漏检率、触发条件、系统降级策略，以及夜间、遮挡类场景的完整验证数据。

02 非标准目标分类、反应延迟

目标分类、轨迹预测与制动决策链路响应过慢，会直接放大碰撞风险。

所需证据：感知-规划-制动全链路时序数据、最小风险策略、全场景验证记录。

03 驾驶员接管与告警争议

L2/L3级智能驾驶的功能边界、接管请求、驾驶员监控、HMI警告，是事故责任判定的核心。

所需证据：接管请求时机、告警强度、驾驶员反应假设、完整的数据记录。

中国市场的关键不是“谁的功能更炫”，而是谁能把边界条件、接管逻辑、降级策略和数据记录讲清楚、证据化。

结合两类核心在环平台，不同问题可针对性补强证据：

三、VaHIL：面向故障安全，打造全链路证据生成平台

VaHIL 的核心不是“把车辆放到设备上跑一跑”，而是把真实车辆、真实控制链路、虚拟道路负载、故障注入和同步记录打通，形成从故障触发到安全状态的完整证据链。

在安全论证体系中，VaHIL 是面向故障安全的核心证据生成平台，尤其适配线控底盘、制动线控、转向线控、域控制器等对故障处理时序高度敏感的系统。1. VaHIL 核心实效能力

• 高风险故障可安全复现：可精准触发传感器偏移、开路、短路、信号延迟、数据丢帧、电源波动、执行器反馈异常等各类高危故障，全程在实验室完成，规避道路测试风险。
• 故障反应可量化：精准记录故障触发时间、检测时间、报警时间、降级时间、安全状态转移时间，所有数据量化可查。
• 证据链可审计：总线记录、故障码、信号波形、车辆动态响应、试验报告统一归档，完全满足第三方审计、安全评审要求。

2. VaHIL标准交付物(直接支撑Safety Case)

• 故障注入矩阵：明确故障类型、注入位置、持续时间、系统期望响应；
• 时序判定报告：统计检测时长、反应时长、降级时长，判定是否符合安全准则；
• 安全状态证据：报警记录、功能降级、功能退出、最小风险策略、故障码与总线原始数据。

3. 四层故障注入设计

为覆盖从物理失效到功能不足的全风险链，我们将VaHIL故障注入分为四大层级，这也是安全论证中故障部分的核心依据：

VaHIL 的判定不能只看“是否报警”，完整时序链路才是安全论证的核心。必须全程记录故障触发、诊断确认、告警、策略切换、执行器响应、车辆稳定、安全状态到达全流程时间戳。

四、VTHILS：面向场景安全，筑牢预期功能安全验证底座

VTHILS 的核心价值是将道路上难以等待、难以控制、难以复现的长尾场景，转化为实验室内可稳定运行的标准化场景。它特别适合验证ODD边界、恶劣天气、低照度、隧道、湿滑路面、混合交通和V2X条件下的系统鲁棒性。

如果说VaHIL 聚焦硬件与通信故障，那么VTHILS 则主攻复杂环境、长尾场景、预期功能安全（SOTIF），解决大量道路试验无法覆盖的边界工况。

1. VTHILS 核心实效能力

• 环境条件全可控：雨、雾、光照、湿滑路面、隧道等工况全部参数化设置，降雨强度、能见度、照度等指标精准可调。
• 同一场景可无限重复：同一车辆、同一算法版本、同一环境参数反复运行，方便版本对比、回归测试、问题追溯。
• 真实传感器参与：区别于纯仿真平台，沿用实车感知链路，测试结果无限贴近真实上路状态。
• 全面支撑预期功能安全：验证已知不安全场景，同时通过数据闭环持续挖掘全新风险触发条件。

2. 三层场景设计体系

为满足安全论证中场景可追溯、可复用要求，VTHILS场景分为功能场景、逻辑场景、具体场景三大层级：

VTHILS需要完整记录传感器原始数据、感知融合、目标分类、轨迹预测、规划决策、控制指令、车辆动态、HMI人机交互全链路信息，这是支撑预期功能安全论证、接管逻辑论证的核心素材。

五、时序判定：安全论证的核心标尺，从“有无故障”到“是否及时安全”

在安全论证中，单纯说明“系统检测到了故障”并不够。真正关键的问题是：系统是否在允许时间内检测？是否及时告警？是否完成降级？是否进入安全状态？这些问题必须通过统一时间戳的证据回答。

一套合格的时序证据，必须完整包含五大维度：

1.触发条件出现的精确时间；

2.系统检测到异常的时间；

3.报警、接管请求、功能退出的时间；

4.执行器响应与车辆动态变化数据；

5.系统进入安全状态/最小风险策略的时间。

时序数据是Safety Case中最具说服力的量化依据，也是国内外法规、第三方评审重点核查内容。

六、多类验证手段实效对比：VaHIL+VTHILS 补齐证据全缺口

道路试验、纯仿真、传统台架、VaHIL、VTHILS 各有价值，行业发展方向不是用单一手段替代所有测试，而是建立组合式证据体系。

• VaHIL 聚焦高风险故障链、真实执行机构响应，补齐硬件失效、通信异常类证据；
• VTHILS 聚焦复杂环境、交通参与者、ODD边界复现，补齐长尾场景、预期功能安全类证据。

两者深度结合，才能完整补齐安全论证所需的全部证据链条。

七、核心交付物：客户最终采购的，是一整套安全证据包

客户真正购买的不是一台设备，而是一套能够支撑安全论证的证据生成能力。每一个安全目标，都需要对应的场景、触发条件、判定准则、同步日志和报告结论。每一次故障注入，都应当留下检测时间、反应时间、故障码、总线记录、车辆响应和安全状态证据。

安全论证核心公式：安全主张+论证逻辑+可追溯证据= 可审计的安全论证

一套标准安全证据包，包含六大模块：需求追溯、场景定义、故障/触发配置、同步记录、时序判定、结论报告。所有内容围绕安全目标统一归档，可直接用于准入申报、内部评审、第三方检测等。

结合不同业务场景，IAE X-IN-LOOP 方案可输出对应标准化证据：

八、SOTIF闭环：覆盖已知与未知风险，实现全维度安全验证

面向预期功能安全（SOTIF），验证工作不能仅停留在已知场景。VaHIL与VTHILS组合，可搭建从已知不安全场景到未知不安全场景的完整闭环：

九、落地路线图：从设备采购，升级为安全证据能力建设

VaHIL / VTHILS 的导入不应被包装成一次性设备采购，而应被设计成安全证据能力建设项目。结合国内车企、检测机构、供应商的实际落地需求，我们规划五阶段导入路线，循序渐进搭建安全论证能力：

阶段1：需求梳理

梳理安全目标、ODD范围、系统架构、接口要求与准入关注点，输出需求-场景-证据追溯模板，明确测试方向。

阶段2：场景与故障库建设

搭建典型场景、边界场景库、故障注入矩阵与统一判定规则，实现测试体系化。

阶段3：VaHIL/VTHILS正式执行

开展故障注入、环境在环、交通在环测试，生成日志、波形、视频、故障码等原始证据。

阶段4：证据包与安全论证落地

将测试结果按安全目标整合归档，输出标准化证据包，支撑评审与准入。

阶段5：持续更新迭代

结合道路数据、事故案例、软件版本、法规变化更新场景库与故障库，匹配ISMR在役监控要求。

这套路线将硬件采购升级为长期安全资产建设，从根源上降低了开发风险、准入风险以及责任解释风险等。

十、总结：VaHIL+VTHILS，智驾安全论证时代的核心基建

结合李骏院士提出的行业变革，以及国内法规持续收紧的大背景，不难看出行业发展的核心趋势：

智能驾驶行业已经彻底从功能竞争，转向安全证据竞争。谁能更早建立可复现、可审计、可追溯的验证能力，谁就能更快完成准入、从容应对安全评审。

VaHIL 解决“故障发生后，系统是否依然可控”，守住故障安全底线；VTHILS 解决“复杂环境与长尾场景下，系统是否依然可靠”，拓宽场景安全边界。

两大平台结合，把危险场景留在实验室，把验证数据转化为合规证据包，全方位支撑Safety Case安全论证、功能安全、预期功能安全三大核心要求。简单概括其价值：把危险场景留在实验室，把验证结果变成证据包，把证据包支撑安全论证。

合规表达提醒（行业宣传准则）

在对外传播中，我们坚持严谨表述：

-推荐：支撑安全论证证据、ODD内安全性验证、高风险场景可重复验证、降低准入评审风险。

-规避：绝对安全、全场景通吃、完全替代道路试验、保证认证通过。

安全是智能驾驶行业的终身课题。在Safety Case全面落地的新时代，IAE智行众维将持续依托X-IN-LOOP、VaHIL、VTHILS系列解决方案，携手全行业伙伴，以扎实的技术、完整的证据链，助力中国智能驾驶产业合规、稳健前行。

专家介绍

方成熏(PANG Sung Hoon)，IAE智行众维 资深首席安全专家，拥有25年自动驾驶系统、16年ISO 26262功能安全、8年ISO 21448预期功能安全（SOTIF）开发和测评的资深经验，深度参与国际权威安全标准制定工作，是ISO 26262第二版工作组成员、SOTIF工作组、UL 4600工作组成员，对全球智能驾驶安全法规、标准体系具备深刻理解与落地实践能力。

方老师先后任职于通用汽车、日本TAKATA、雷诺日产、现代汽车、红旗等全球知名企业，曾任华为2012实验室 功能安全/预期功能安全副首席专家，主导及参与众多重量级量产与预研项目，包括红旗H9（ADS Level 2+）量产项目、中国SOTIF政府课题、华为L3级自动驾驶预研项目、华为SOTIF安全措施项目、华为基于场景的L4级自动驾驶验证项目等，覆盖自动驾驶域、底盘域、车身域、新能源电控等全领域产品。

参考阅读：中国工程院 | 李骏院士：自动驾驶安全进入Safety Case时代