Argumentacja przez eliminację (Eliminative Argumentation) jest alternatywnym podejściem do budowy assurance case. Zwykle argumentacja jest budowa w sposób pozytywny i koncentruje się na zapewnieniu dlaczego uważamy, że cel został osiągnięty. Argumentacja przez eliminację polega na stałym zadaniu pytania „a jeżeli?”. Struktura argumentacji może być całkiem podobna do zwykłej argumentacji pozytywnej, ale chodzi tu o nastawienie podczas prac na szukanie słabych punktów argumentacji, które stanowią przeszkodę w wykazaniu celu argumentacji. Osiąga się to przez jawne wskazywanie możliwych słabych punktów i następnie jawne wykazywanie, że podane słabości nie występują. Siłą podejścia jest właśnie jawne pokazywanie wszystkich znanych przeszkód. Pozwala to na uniknięcie błędu nadmiernego optymizmu i naginania faktów do planowanego celu.
Proces budowy argumentacji przez eliminację też jest trochę inny. Dla każdego kroku wnioskowania, rozpoczynając od wnioskowania dla głównego postulatu (claim’a), wykonywana jest analiza dla identyfikacji wszystkich możliwych przyczyn, że dany cel nie może zostać osiągnięty. Każda przeszkoda (defeater) zostaje jawnie opisana w argumentacji. W kolejnym kroku dla każdej przeszkody należy znaleźć argumentację popartą dowodami, że dana przeszkoda nie jest skuteczna. Dla tej argumentacji też należy sprawdzić, jakie są możliwe kolejne przeszkody, które mogą sprawić, że nie będzie skuteczna. Budowa argumentacji trwa tak długo, aż nie można już zidentyfikować więcej przeszkód, oraz wszystkie przeszkody są skutecznie odrzucone.
Prześledzimy stosowanie podejścia budowy argumentacji przez eliminację na prostym przykładzie, zaczerpniętym z pierwszej publikacji o tym podejściu, raportu SEI „Eliminative Argumentation: A Basis for Arguing Confidence in System Properties” z roku 2015. Celem argumentacji jest wykazanie, że działa światło w pokoju.
Zaczniemy od tradycyjnego podejścia do budowy argumentacji, to znaczy definiujemy główny postulat, a dla niego strategię bazującą na dekompozycji na cele szczegółowe takie jak dostępność energii elektrycznej, podłączenie włącznika oraz sprawność żarówki. Dla każdego z nich należy podać dowody na spełnienie wymagań. Przykładowa argumentacja jest pokazana na diagramie poniżej.
A teraz spojrzymy na to stosując podejście argumentacji przez eliminację. Główny cel będzie taki sam, ale nie tworzymy pod nim strategii nastawionej pozytywnie, ale szukamy warunków, które mogą spowodować, że żarówka nie zaświeci. Warunki dodajemy jako zastrzeżenia „chyba, że…”. Zaczynamy od tego, że żarówka zaświeci, chyba, że nie będzie zasilania. Następnie możemy powiedzieć, że żarówka zaświeci, chyba że włącznik nie będzie podłączony. Gdy skończy się lista znanych problemów, to na końcu możemy dodać „chyba, że wystąpi inny, nieznany jeszcze problem”.
Warunkiem zakończenia tego etapu budowy argumentacji jest brak wiedzy o innych możliwych przeszkodach. Jeżeli dowiemy się o jakiejś innej możliwe przyczynie mogącej spowodować brak spełnienia warunków dla wnioskowanego postulatu, to należy ją dodać jako kolejną przeszkodę.
Dla każdej przeszkody określonej w argumentacji należy teraz wskazać argumentację, że dla naszego systemu dana przeszkoda nie wystąpi. Może to być opisane przez jeden lub więcej postulatów, albo strategia wspierana przez argumentację. Ważne jest przedstawienie przekonujących dowodów, że dana przeszkoda nie stanowi problemu lub jej ryzyko jest wystarczająco niskie. Dla nieznanych przeszkód należy wykazać, że wykonaliśmy tyle działań ich identyfikacji i odpowiednia ich liczba została zidentyfikowana, że kontynuacja nie przyniesie już korzyści z redukcji poziomu ryzyka.
Powstała argumentacja ma podobną strukturę jak przy tradycyjnym podejściu, ale zawiera jawnie podane przeszkody dla osiągania celu danego assurance case. W naszym przykładzie lista dowodów jest prawie taka sama. Jedyna różnica wynika z faktu, że uzasadnienie J1 w pierwszym diagramie nie jest wspierane przez żaden dowód.
Argumentacja budowane przez eliminację przeszkód wymagają trochę więcej pracy, ale jawna prezentacja przeszkód ułatwia weryfikację argumentacji. Pozwala to potencjalnie osiągać wyższy poziom wiarygodności i jakości argumentacji.
Obecnie można już stosować podejście budowy argumentacji przez eliminację w PREMIS. Sposób prezentacji argumentacji oraz funkcje oceniania zostały rozszerzone o nowy typ elementów argumentacji, przeszkody (defeaters).