据automotiveintel.substack.com报道,2026年3月17日,美国商务部工业与安全局(BIS)《联网车辆规则》(15 CFR Part 791)下关于软件来源的硬性截止日期正式到期。自该日起,任何在远程信息处理、车载互联或车辆数据系统中使用、且由中国或俄罗斯实体开发或维护的受规制软件,若未在此前完成向非受规制实体的正式源代码转移,则将构成2027车型年(MY 2027)车辆的否决性资质缺陷。
BIS合规:从原则到罚则的强制落地
根据规定,供应商须在MY 2027车辆进入美国商业流通前60至90天内向BIS提交《符合性声明》。该窗口期目前已开放。违规将面临每项最高368,136美元的民事罚款,并适用严格责任标准——“不知情”不构成有效抗辩。
通用汽车CEO玛丽·巴拉(Mary Barra)早在2025年1月即指出:“行业必须追踪的不仅是物理部件在哪里组装,更是知识产权究竟在哪里开发。”这一主张现已正式写入联邦法规。
Mobileye在FY 2025年报中明确披露,正“积极构建针对MY 2027软件条款的合规流程”,是迄今最清晰的供应商公开确认。德意志银行本周发布的研究报告指出,沃尔沃汽车(背靠吉利控股)可能自MY 2027起,需就每款在美销售的联网车型向BIS申请个案授权——这正是规则中“实体关联条款”(entity-nexus provision)的实际体现,其影响已远超代码本身,延伸至企业股权结构与控制关系。
从“黑箱”到“白箱”:OEM采购逻辑根本性转向
第二重压力来自整车厂采购模式的结构性转变。汇丰银行2025年3月报告将其概括为从“黑箱”向“白箱”关系演进:Tier 1供应商过去可交付软硬件一体化黑盒产品,而OEM接受其整体功能;如今,随着车企自建软件工厂、整合中央计算架构,其对软件栈各层的审计权、更新权与独立验证权已成为刚性要求。
无法按OEM采购团队指定格式提供完整软件来源追溯路径的供应商,在远程信息处理、中央计算及OTA平台等SDV关键岗位的提名中正持续失分。汽车信息共享与分析中心(Auto-ISAC)2025年2月发布的《SBOM信息报告》已明确将SBOM能力(须采用SPDX或CycloneDX格式,并支持子级供应商追溯)写入主流OEM的供应商协议与招标文件(RFQ),缺失该项能力正日益成为“一票否决”条件。
多辖区验证文档负担同步硬化
第三重压力是跨司法管辖区的验证文档要求同步升级:
- 美国国家公路交通安全管理局(NHTSA)2024年8月新规,将安全相关记录保存期延长至10年,并通过合同逐级向下传导至Tier 1和Tier 2供应商;
- NHTSA自动驾驶安全评估计划(AV STEP)正将“安全案例文档”及第三方评估就绪度,确立为高级驾驶辅助系统(ADS)能力产品的结构性准入预期;
- 福特FY 2025年报提示:中国《智能网联汽车标准》将于2026年7月生效,新ADAS安全标准于2027年1月实施,沙特阿拉伯新一代e-Call互联强制要求则从MY 2027起执行;
- 采埃孚(ZF)2025年报指出,欧盟《网络弹性法案》(Cyber Resilience Act)将于2027年前全面具约束力。
核心判断:风险不在代码本身,而在可证明性
本期核心论断在于:当前连接性与软件定义车辆(SDV)系统的资质风险,并非集中于使用非合规软件的供应商,而是集中于无法证明其软件合规的供应商。这意味着——
- 一家在3月17日前完成正式源代码转移的供应商,即使原软件含中国起源组件,其资质地位反而优于拥有“洁净”代码堆栈但无任何文档痕迹的同行;
- 已依据ISO 21434建立强网络安全实践的供应商,因天然具备底层文档基础设施,已无意间接近BIS合规要求;
- 曾将SBOM生成仅视为网络安全合规检查项、而非供应链治理工具的供应商,无论其实际代码是否合规,均已处于结构性落后位置。
本领域的暴露分界线,已清晰划在“具备可追溯、可审计、跨层级软件来源文档”与“不具备”之间。产品功能质量,不再决定企业位于该分界线的哪一侧。
来源:automotiveintel.substack.com
本文编译自海外媒体报道,由 SCI.AI 编辑团队整理发布。
