自动驾驶领域仅仅满足功能安全并不能完全满足实际场景中的多样性和未知性需求，预期功能安全可以通过使用新的方法和标准体系来保障自动驾驶汽车安全。

预期功能安全是由未知或不确定的非系统故障或人员误操作引起的，具有未知性和不确定性的特点，其主要的风险来源包括系统功能的局限性、环境因素以及人员误用。

系统功能局限的主要原因是系统功能的定义不完全符合相关市场对系统功能的需求；在系统设计的过程中对相关场景考虑不充分，导致系统对环境要素的识别不够准确；系统的决策逻辑设计不合理，导致运行中系统决策出现问题；执行器对系统决策的响应不足，导致车辆的应对达不到预期要求。

环境因素：道路状况、车辆周围事物和天气情况都会影响到自动驾驶，例如特殊的天气可能会影响到传感器数据的可靠性。

预期功能安全的研究挑战：

（1）自动驾驶汽车系统感知的不充分，主要包括漏检和错检。中国自动驾驶汽车的交通场景更复杂，错检、漏检的问题更为突出。

（2）由场景的随机变化及人工智能算法等因素造成SOTIF度量的不准确。

（3）SOTIF的测试里程长，效率低，不全面。

亟需解决的问题：

（1）一是如何针对SOTIF的未知性，更多更有效的识别出SOTIF相关的隐患和具体危险场景。SOTIF的宗旨是将未知的危险场景逐步转化为已知的危险场景，目前已知的SOTIF危害有限，缺少具体的危险场景进行危害分析工作，所以如何通过数据构建相关高风险场景是进行危害分析和评估的关键。

（2）二是如何针对识别出的SOTIF危害，进行定量的风险评估工作，最终得出风险得分。现有的预期功能安全分析评价方法均来自于“硬件系统”功能安全评价体系，目前尚无公认的预期功能安全分析与评价方法。从场景中识别出SOTIF危害后，需要对其进行风险评估工作，从而判断危害的风险水平是否需要进一步改进。传统的功能安全风险评估方法并不适用于SOTIF，现有的方法中缺少相关定量风险评估算法。

 研究现状：

ISO21448国际标准：定义了预期功能安全(SOTIF)，由于SOTIF 处于刚刚起步阶段，ISO 21448中仅仅介绍了一些SOTIF的基本概念和流程，没有深入去探究SOTIF的危害分析和风险评估发方法，国际上也缺少相关的分析评估方法以满足自动驾驶SOTIF 的安全需要。