WO2014132373A1

WO2014132373A1 - ストレージシステム及び記憶デバイス障害回復方法

Info

Publication number: WO2014132373A1
Application number: PCT/JP2013/055282
Authority: WO
Inventors: 亮真石坂; 智久小笠原; 幸良高村; 裕介松村
Original assignee: 株式会社日立製作所
Priority date: 2013-02-28
Filing date: 2013-02-28
Publication date: 2014-09-04
Also published as: US20150378858A1

Abstract

　記憶デバイスの障害発生時、データの信頼性を保証しつつ障害からの回復時間を短縮できるストレージシステムを提供することにある。　障害が発生し閉塞した記憶デバイスに対して、障害内容に応じた回復処理を実行する。回復処理の実行で復旧した記憶デバイスに対しストレージシステム稼働状況または復旧した記憶デバイスの障害履歴に応じた検査を実行する。

Description

ストレージシステム及び記憶デバイス障害回復方法

　本発明は、ストレージシステム及び記憶デバイス障害回復方法に関する。

　近年のＩＴの進歩により、記憶装置としてのストレージシステムの高性能化、大容量化、低価格化が図られている。ストレージシステムは、アレイ状に配置された多数のＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）などの記憶デバイスを備えている。この記憶デバイスの論理構成は、ＲＡＩＤ（Ｒｅｄｕｎｄａｎｔ　Ａｒｒａｙ　ｏｆ　Ｉｎｄｅｐｅｎｄｅｎｔ（Ｉｎｅｘｐｅｎｓｉｖｅ）　Ｄｉｓｋｓ）に基づいて構築され、ストレージシステムの信頼性を維持している。また、ホスト計算機は、ストレージシステムに対してライトまたはリードＩ／Ｏアクセスコマンドを発行することで、記憶デバイスに対するデータの読み書きを行うことができる。

　また、ストレージシステムでは、障害の発生からの早い回復が求められている。しかし、ストレージシステム内のＨＤＤに障害が発生し閉塞してしまうと、保守員により障害ＨＤＤを交換するしかなく、障害状態から通常の運用に戻るまでには長時間を要していた。それにも関わらず、一度閉塞したＨＤＤでも一度電源をＯＮ／ＯＦＦすることやハードウェアリセット（ハードリセット）を実行することにより、障害ＨＤＤが正常に動作することがある。

　そこで、特許文献１及び特許文献２の技術では、ＨＤＤの障害発生時に、それぞれＨＤＤの閉塞前または閉塞後に電源をＯＮ／ＯＦＦし、ＨＤＤが復旧すると復旧ＨＤＤを用いた運用を再開することが記載されている。

　特許文献１では、障害の種類に応じてＨＤＤ閉塞後にハードリセットを実行し、回復するとスペアディスクとしてそのディスクの使用を再開することと、閉塞せずにハードリセットする場合は、ライトによる差分をキャッシュに貯めておき、回復後に差分をディスクに反映させることが開示されている。

　特許文献２では、特定障害の場合は閉塞させずにＨＤＤを再起動し、回復しない場合に閉塞させることと、障害ＨＤＤの再起動中のリードは同一ＲＡＩＤグループ内のＨＤＤのデータとパリティを用いることと、障害ＨＤＤの再起動中のライトはスペアディスクに書き、再起動による障害回復後にデータをディスクに書き戻すことが開示されている。

　また、特許文献３には、コレクションコピー処理とコピーバック処理とを併用して、ＨＤＤへのデータ回復の時間を短縮させることが開示されている。

米国公開特許２００６／０２７７４４５号公報米国公開特許２００９／０１０６５８４号公報米国公開特許２００６／０２１２７４７号公報

　障害を発生したＨＤＤなどの記憶デバイスの回復時間を短縮したい要求がある一方で、一度障害が発生した記憶デバイスを再度使用することは、データ及びストレージシステムの信頼性という観点では、信頼性が低下してしまうという可能性がある。

　本発明の目的は、データの信頼性を保証しつつ障害からの回復時間を短縮できるストレージシステム及び記憶デバイス障害回復方法を提供することにある。

　上記課題を解決するために、本発明では、障害が発生し閉塞した記憶デバイスに対して、障害内容に応じた回復処理を実行する。そして、回復処理の実行で復旧した記憶デバイスに対しストレージシステム稼働状況または復旧した記憶デバイスの障害履歴に応じた検査を実行する。

　本発明では、一時的な障害が発生した記憶デバイスを自動的に再生させ再利用をすることができるので、ストレージシステムの稼働率向上、保守工数及びコストの削減を図れる。前述以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。

図１は、本発明の概念を示す図である。図２は、ストレージシステムの構成図である。図３は、エラー要因判定テーブルの構成例を示す図である。図４は、リカバリカウント管理テーブルの構成例を示す図である。図５は、回復動作判定テーブルの構成例を示す図である。図６は、実施例１でのリカバリ動作及び検査処理を示すフローチャート図である。図７は、実施例１でのエラー要因確認処理を示すフローチャート図である。図８は、障害ドライブの第１のリカバリ動作を示す図である。図９は、障害ドライブの第２のリカバリ動作を示す図である。図１０は、最大リカバリ数判定テーブルの構成例を示す図である。図１１は、検査内容判定テーブルの構成例を示す図である。図１２は、エラー閾値判定テーブルの構成例を示す図である。図１３は、実施例２でのリカバリ動作及び検査処理を示すフローチャート図である。図１４は、実施例２でのエラー要因確認処理を示すフローチャート図である。図１５は、障害ドライブでのデータ回復領域管理テーブルの構成例を示す図である。図１６は、スペアドライブでのデータ回復領域管理テーブルの構成例を示す図である。図１７は、障害ドライブの第３のリカバリ動作を示す図である。図１８は、障害ドライブの第４のリカバリ動作でのデータ及びパリティ更新動作を示す図である。図１９は、障害ドライブの第４のリカバリ動作でのデータ回復処理を示す図である。図２０は、障害ドライブの第５のリカバリ動作を示す図である。図２１は、復旧ドライブでの障害再発時における第１の冗長度回復動作を示す図である。図２２は、復旧ドライブでの障害再発時における第２の冗長度回復動作を示す図である。図２３は、復旧ドライブでの障害再発時における第３の冗長度回復動作を示す図である。

　以下、図面を参照しながら本発明の実施の形態を説明する。なお、以下の説明では、「管理テーブル」等の表現にて各種情報を説明することがあるが、各種情報は、テーブル以外のデータ構造で表現されていてもよい。また、データ構造に依存しないことを示すために「管理テーブル」を「管理情報」と呼ぶことができる。

　また、「プログラム」を主語として処理を説明する場合がある。そのプログラムは、プロセッサ、例えば、ＭＰ（Ｍｉｃｒｏ　Ｐｒｏｃｅｓｓｏｒ）やＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）によって実行されるもので、定められた処理をするものである。なお、適宜に記憶資源（例えばメモリ）及び通信インターフェース装置（例えば、通信ポート）を用いながら行うため、処理の主語がプロセッサとされてもよい。プロセッサは、ＣＰＵの他に専用ハードウェアを有していても良い。コンピュータプログラムは、プログラムソースから各コンピュータにインストールされても良い。プログラムソースは、例えば、プログラム配布サーバ又は記憶メディアなどで提供されるものであっても良い。

　また、各要素、例えば、記憶デバイスは番号などで識別可能であるが、識別可能な情報であれば、名前など他種の識別情報が用いられても良い。本発明の図及び説明において同一部分には同一符号を付与しているが、本発明が本実施例に制限されることは無く、本発明の思想に合致するあらゆる応用例が本発明の技術的範囲に含まれる。また、特に限定しない限り、各構成要素は複数でも単数でも構わない。

　＜発明概念＞
　図１は、本発明の概念を示す図である。

　ＨＤＤなどのデータドライブ（以下、ドライブ）が障害で閉塞した場合（以下、障害ドライブないし閉塞ドライブと呼ぶ）、従来技術では、まず、コレクションコピー処理でデータを再生しスペアドライブに格納する（Ｓ１０１）。その後、保守員が障害ドライブを正常ドライブに交換する（Ｓ１０３）。

　なお、閉塞とは、故障と判断した場合に障害ドライブへのアクセスを禁止し使用不可状態にすることである。また、コレクションコピー処理とは、ＲＡＩＤグループを構成している他の正常な複数のドライブから障害ドライブのデータを生成し他の正常ドライブに格納することで、正常なＲＡＩＤ構成を復活させる処理のことである。

　ドライブ交換が完了した後、コピーバック処理によりスペアドライブから交換した正常ドライブへのデータ回復を行う（Ｓ１０４）。コピーバック処理とは、障害ドライブの回復ないし交換後にスペアドライブのデータを交換した正常ドライブにコピーし、通常ドライブのみで正常なＲＡＩＤ構成を復活させる処理のことである。

　最後に、通常ドライブのみで正常なＲＡＩＤグループを再稼働させる（Ｓ１０５）。以上の障害によるドライブ閉塞から正常稼働への復帰までの所要時間は、例えば、３ＴＢ（Ｔｅｒａ　Ｂｙｔｅｓ）の記憶容量を持つＳＡＴＡ（Ｓｅｒｉａｌ　ＡＴＡ）ドライブの場合、コレクションコピー処理に１２から１３時間程度、コピーバック処理に１２時間程度の計２４時間以上のコピー時間が必要となる。そのため、丸１日中、保守員がストレージシステム近傍に常駐していなければならないため、保守性が悪かった。ちなみに、コピーバック処理は単純なリード／ライトによるコピーで、コレクションコピー処理のようにリード／パリティ生成／ライトというパリティ生成動作が不必要な分、コピー時間が短くできる。

　そこで、本発明では、Ｓ１０２に示すようにリカバリ動作及び検査処理により障害ドライブを自動的に正常ドライブとして復旧させるものである。リカバリ動作とは、障害ドライブでのエラー要因に対して適切な回復動作を１つないし複数組み合わせて実行することで、障害を取り除く動作である。また、検査処理とは、復旧させたドライブに対して、ＲＡＩＤ構成の冗長度、データコピー時間などに応じて行う書き込みまたは読み出しの検査で、この検査結果で復旧ドライブを再利用するかを決定する。詳細については後述する。

　Ｓ１０２のリカバリ動作及び検査処理で、一時的な障害が発生したドライブを自動的に再生させて再利用をすることができる。そのため、Ｓ１０５の保守員によるドライブ交換が不必要になり、ストレージシステムの稼働率向上、保守工数及びコストの削減を図れる。

　＜ストレージシステム構成＞
　図２は、ストレージシステムの構成図である。

　本発明のストレージシステム１は、ホスト端末（以下、ホスト）２とＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）３経由で接続され、ディスクコントローラ部１３とディスクドライブ部１４から構成される。ディスクコントローラ部１３とディスクドライブ部１４で構成するものを基本筐体と、ディスクドライブ部１４単体を増設筐体と呼ぶことがある。

　ユーザやシステム管理者は用途に応じて基本筐体に１つ以上の増設筐体を接続することで、ストレージシステム１全体の総記憶容量を増やすことができる。基本筐体及び増設筐体を総称して筐体と呼ぶことがある。また、ストレージシステム１には保守端末１５が接続され、保守端末１５は、図示はしていないがＣＰＵ、メモリ、ストレージシステム１及びドライブの稼働状況や障害情報を表示する出力装置、判定テーブルへの設定値や閾値を受け付ける入力装置などを有する。

　ディスクコントローラ部１３は、１つ以上のコントローラパッケージ１３１を有する。コントローラパッケージ１３１は、ストレージシステム１の信頼性や処理性能を高めるため、図２のように２つ設けているが、３つ以上設けてもよい。

　また、コントローラパッケージ１３１は、チャネル制御部１３２、キャッシュメモリ１３３、データコントローラ１３４、ＣＰＵ１３５、共有メモリ１３６、ディスク制御部１３７、ローカルメモリ１３８を有する。

　チャネル制御部１３２は、ホスト２との通信を行うためのコントローラで、ホスト２からのＩＯ要求コマンドや、データドライブ（以下、ドライブ）１４３などへの書き込みデータまたはドライブ１４３などからの読み出しデータの送受信を行う。

　キャッシュメモリ１３３は、揮発性メモリやフラッシュメモリなどの不揮発性メモリで、各種プログラムや管理テーブルなどのシステム制御情報の他に、ホスト２などからのユーザデータまたはドライブ１４３などに格納したユーザデータを一時的に保持するメモリである。

　データコントローラ１３４は、ＩＯ要求コマンドのＣＰＵ１３５への転送や書き込みデータのキャッシュメモリ１３３への転送などを行うコントローラである。

　ＣＰＵ１３５は、ストレージシステム１全体を制御するプロセッサである。

　共有メモリ１３６は、揮発性メモリやフラッシュメモリなどの不揮発性メモリで、各種コントローラやプロセッサなどで共有されるメモリで、システム制御情報、各種プログラムや管理テーブルなどの制御情報などが格納される。

　ディスク制御部１３７は、ディスクコントローラ部１３とディスクドライブ部１４との間を通信するコントローラである。

　ローカルメモリ１３８は、ＣＰＵ１３５がストレージシステムの制御情報や管理情報、演算結果などのデータなどを高速にアクセスするためのメモリで、揮発性メモリやフラッシュメモリなどの不揮発性メモリでなどで構成する。後述する本発明でのプログラム類及びテーブル類はローカルメモリ１３８へ格納され、適宜ＣＰＵ１３５により読み出される。なお、本発明でのプログラム類及びテーブル類はローカルメモリ１３８だけでなく、ドライブ１４３の記憶領域の一部または、他のメモリに格納してもよい。

　ドライブ部１４は、複数のエキスパンダ１４１と、複数のドライブ（符号１４３から符号１４６）と、１つ以上のスペアドライブ１４７を有する。ドライブは２つ以上で、例えば３Ｄ＋１Ｐ構成のＲＡＩＤ５や３Ｄ＋２Ｐ構成のＲＡＩＤ６などのＲＡＩＤグループ１４２を構成する。

　エキスパンダ１４１は、規格で定められた個数以上のドライブを接続するためのコントローラである。

　ドライブ１４３からドライブ１４６とスペアドライブ１４７は、エキスパンダ１４１を介しディスクコントローラ部１３のディスク制御部１３７に接続し、データやコマンドの遣り取りを行う。

　スペアドライブ１４７は、ＲＡＩＤグループ１４２を構成するドライブ１４３からドライブ１４６の故障時や交換時に使用される予備的なドライブである。ドライブ１４３からドライブ１４６とスペアドライブ１４７は、ＦＣ（Ｆｉｂｒｅ　Ｃｈａｎｎｅｌ）、ＳＡＳ（Ｓｅｒｉａｌ　Ａｔｔａｃｈｅｄ　ＳＣＳＩ）、ＳＡＴＡタイプＨＤＤやＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）などである。

　＜テーブル＞
　図３は、エラー要因判定テーブルの構成例を示す図である。

　エラー要因判定テーブル３０は、Ｓｅｎｓｅｋｅｙ／Ｓｅｎｓｅｃｏｄｅ３０１からエラー要因３０２を判定するためのテーブルである。Ｓｅｎｓｅｋｅｙ／Ｓｅｎｓｅｃｏｄｅとは、ドライブがエラーを検出した際にコントローラやホストに対して報告するエラー情報であり、規格に従い生成される。

　エラー要因３０２には、Ｎｏｔ＿Ｒｅａｄｙ３１１、メディアエラー３１２、シークエラー３１３、ハードエラー３１４、Ｉ／Ｆエラー３１５、その他３１６がある。

　Ｎｏｔ＿Ｒｅａｄｙ３１１は、ドライブが起動されていない状態を示すエラーである。

　メディアエラー３１２は、メディアに対する書き込み及び読み出しでのエラーで、書き込み不良や読み出し不良に起因するＣＲＣ（Ｃｙｃｌｉｃ　Ｒｅｄｕｎｄａｎｃｙ　Ｃｈｅｃｋ）エラーやコンペアエラーなどである

　シークエラー３１３は、ヘッドのシークエラーで、ヘッド位置不正やヘッド移動不可などに起因するエラーである。

　ハードエラー３１４は、Ｎｏｔ＿Ｒｅａｄｙ３１１からシークエラー３１３及びＩ／Ｆエラー３１５以外のハードウェアエラーに分類されるエラーである。

　Ｉ／Ｆエラー３１５は、データ転送または通信上のエラーでパリティエラーなどである。

　その他３１６は、Ｎｏｔ＿Ｒｅａｄｙ３１１からＩ／Ｆエラー３１５までのエラー以外のエラーである。

　図４は、リカバリカウント管理テーブルの構成例を示す図である。

　リカバリカウント管理テーブル４０は、各ドライブのリカバリカウント値を管理するもので、ドライブのストレージシステム内部の位置情報であるドライブロケーション４０１と、各ドライブで実行されたリカバリ動作及び検査処理の回数であるリカバリカウント４０２から構成される。ドライブロケーション４０１は、格納されている筐体の番号情報である筐体番号と、筐体での挿入位置の情報であるドライブ番号から成る。

　このリカバリカウント管理テーブル４０では、各ドライブでの障害に対するリカバリ動作の回数をカウントし、後述するリカバリ動作＆検査処理でリカバリを実行できる回数（以下、リカバリ回数）を制限している。これは、リカバリ回数が多いドライブは高い頻度で障害が発生し、重大障害を発生する確率も高く使用不可となる可能性が高い。そこで、本発明では、リカバリ回数に制限を加えることで不必要なリカバリ動作＆検査処理を無くし致命的な障害発生を回避するためである。

　図５は、回復動作判定テーブルの構成例を示す図である。

　回復動作判定テーブル５０は、エラー要因５０１から障害ドライブに対して行う回復動作５０２を判定するためのテーブルである。エラー要因５０１は、前述のＮｏｔ＿Ｒｅａｄｙ３１１からその他３１６までである。

　回復動作５０２の種類は、ドライブ本体の電源をＯＦＦしてその後ＯＮする電源ＯＦＦ／ＯＮ５１１、ドライブ本体の電子回路を構成する半導体チップ（ＣＰＵ、ドライブインタフェースコントローラ等）の一部ないし全部をハードウェア的に初期化するハードリセット５１２、メディアないしヘッドを駆動するモータの停止及び再始動を行うメディア／ヘッドモータ停止／始動５１２、メディアを初期化するフォーマット５１４、ヘッドを最内周から最外周へ、または最外周から最内周へ移動させる最内周／最外周シーク５１５、ランダムにデータ書き込み及びデータ読み出しを行うランダムライト／リード５１６である。

　例えば、エラー要因５０１がＩ／Ｆエラーであれば、電源ＯＮ／ＯＦＦ５１１とハードリセット５１２を実行するが、その他のフォーマット５１４や最内周／最外周シーク５１５は実行しない。これは障害発生部位に関係しない部位での回復動作を省き回復時間を短縮するためである。

　エラー要因５０１の各エラーに対し丸印（○）が付いている回復動作５０２を上から順に、障害ドライブに対し実施する。これは、上の回復動作ほど、障害からの回復が図れるので、回復動作を上から順に実施する。但し、途中の回復動作、例えばメディアエラー３１２の場合、電源ＯＮ／ＯＦＦ５１１ではなく、ハードリセット５１２から実行してもよい。

　また、障害ドライブの回復（正常動作）が確認された場合、以降の回復動作を行わなくてもよい。また、ランダムライト／リード５１６でメディアエラー３１２が発生した場合、書き込み及び読み出しを再度実行してもよいし、エラーが発生したアドレス（ＬＢＡ：Ｌｏｇｉｃａｌ　Ｂｌｏｃｋ　Ａｄｄｒｅｓｓ）の交替処理をしてもよい。

　＜リカバリ動作・検査１＞
　図６は、実施例１でのリカバリ動作及び検査処理を示すフローチャート図である。図７は、実施例１でのエラー要因確認処理を示すフローチャート図である。処理の主体をＣＰＵ１３５とし、障害ドライブをドライブ１４６として説明する。

　図６及び図７で実施例１でのリカバリ動作及び検査処理の全体動作を説明する。図６及び図７の処理が図１のＳ１０２に相当し、Ｓ１０１のようにドライブが障害で閉塞するとＣＰＵ１３５により、リカバリ動作及び検査処理が開始される。

　Ｓ６０１で、ＣＰＵ１３５は、図７のエラー要因確認処理を実行しドライブ閉塞の原因を確認する。

　Ｓ７０１で、ＣＰＵ１３５は、ＲＡＩＤグループ１４２を構成するドライブで、閉塞と判定した際のエラー情報をメモリ１３８から取得する。

　Ｓ７０２で、ＣＰＵ１３５は、取得したエラー情報にＳｅｎｓｅｋｅｙ／Ｓｅｎｓｅｃｏｄｅが有るかを判断する。Ｓｅｎｓｅｋｅｙ／Ｓｅｎｓｅｃｏｄｅが有る場合には、ＣＰＵ１３５は、Ｓ７０３を実行し、Ｓｅｎｓｅｋｅｙ／Ｓｅｎｓｅｃｏｄｅの内容が無い場合はＳ７０４を実行する。

　Ｓ７０３で、ＣＰＵ１３５は、図３のエラー要因判定テーブル３０でエラー要因を判定する。例えば、Ｓｅｎｓｅｋｅｙ／Ｓｅｎｓｅｃｏｄｅが“０４Ｈ／０２Ｈ”（ＨはＨｅｘａｄｅｃｉｍａｌの略、以下の説明では“Ｈ”を省略することがある）であれば、エラー要因判定結果をシークエラー３１３とする。

　Ｓ７０４で、ＣＰＵ１３５は、エラー要因判定結果を“その他”と設定する。エラー要因判定後に、ＣＰＵ１３５は、処理をＳ６０１に戻し、次のＳ６０２以降の処理を実行する。なお、エラー要因の判定は、閉塞として判定した際のエラー情報だけではなく、閉塞にいたるまでのエラー統計情報を用いて判定してもよい。例えば、閉塞として判定した際のエラー情報がシークエラー３１３でも、エラー統計情報ではＩ／Ｆエラー３１５も発生している場合には、エラー要因判定結果をシークエラー３１３とＩ／Ｆエラー３１５の両方とする。

　Ｓ６０２で、ＣＰＵ１３５は、障害ドライブ１４６のリカバリカウントをリカバリカウント管理テーブル４０で確認し、リカバリカウントが予め設定された閾値ｎ１以上であるかを判定する。例えば、ドライブロケーション４０１が“００／０１”のリカバリカウント４０２は“２”であり、これが閾値ｎ１以上か否かを判断する。以上であれば（Ｓ６０２のＹｅｓ）、ＣＰＵ１３５は、リカバリ動作及び検査処理を実行できない（“ＮＧ”）と判断する。

　この場合、図１に示すように、ドライブ交換（Ｓ１０３）を行う。リカバリカウントは閾値ｎ１未満であれば（“Ｙｅｓ”）、ＣＰＵ１３５は、リカバリ動作及び検査処理の実行が可能と判断する。

　Ｓ６０３で、ＣＰＵ１３５は、エラー要因に基づく回復動作を実施する。つまり、エラー要因を回復動作判定テーブル５０に照し合せて、適切な回復動作５０２を選び出す。例えば、シークエラー３１３であれば、ＣＰＵ１５３は、回復動作５０２として、ハードリセット５１２、メディア／ヘッドモータ停止／始動５１３、最内周／最外周シーク５１４のいずれか１つ以上を障害ドライブに対して実行し、回復するか否かを判断する。もし、エラー要因確認処理でのエラー要因判定結果が前述のようにシークエラー３１３とＩ／Ｆエラー３１５の両方であれば、両方のエラーにおける回復動作５０２から１つ以上の回復動作ないしは２つ以上を組み合わせた回復動作を実行する。

　回復すれば、ＣＰＵ１３５はＳ６０４を実行し、回復しなければリカバリ不可（“ＮＧ”）と判断し、リカバリ動作及び検査処理を終了しドライブ交換（Ｓ１０３）の要求を実施する。

　Ｓ６０４で、ＣＰＵ１３５は、ドライブのメディア全面に対してライト／リードによる検査を実施する。このライト／リードによる検査では、前述のＣＲＣチェックか、書き込みデータと読み出しデータとのコンペアチェックなどがある。

　Ｓ６０５で、ＣＰＵ１３５は、検査時のエラー発生数がエラー閾値ｍ１以下であるかを判断する。このエラー閾値ｍ１は、通常のシステム動作時の閾値と同等かそれ以下とする。その理由は、障害から復旧したドライブは再度故障する可能性が高いので通常検査以上の厳密な検査を実行し、復旧ドライブの信頼性を確認するためである。検査時のエラー発生数がエラー閾値ｍ１を超える場合、ＣＰＵ１３５は、リカバリ不可（“ＮＧ”）と判断する。また、エラー閾値ｍ１以下であれば、ＣＰＵ１３５は、障害ドライブの復旧成功（“Ｐａｓｓ”）と判断する。

　最後に、Ｓ６０６で、ＣＰＵ１３５は、障害から復旧させたドライブのリカバリカウントを１つ増やし、リカバリカウント管理テーブル４０を更新する。そして、ＣＰＵ１３５は、処理を図１のＳ１０２に戻す。そして、ＣＰＵ１３５は、Ｓ１０４以降の処理を実行し、ストレージシステム１を通常稼働状態とする。

　以上述べたように、一時的な障害が発生したドライブを自動的に回復・復旧させて再利用をすることができる。そのため、保守員によるドライブ交換が不必要になり、ストレージシステムの稼働率向上、保守工数及びコストの削減を図れる。

＜第１のリカバリ動作＞
　図８は、障害ドライブの第１のリカバリ動作を示す図である。第１のリカバリ動作は、ドライブ閉塞前にダイナミックスペアリングが成功した場合に実行する動作であり、障害ドライブの復旧が成功した後またはドライブ交換後にスペアドライブからコピーバック処理にてデータを回復するものである。このダイナミックスペアリング機能とは、各ドライブにおける内部のリトライ回数の閾値管理により、劣化したドライブ（致命的な障害を発生する可能性が高いドライブ）のデータをオンラインで自動的にスペアドライブに退避させる機能である。

　（１）データ退避（ドライブ閉塞前）
　ＣＰＵ１３５は、ダイナミックスペアリング８１で、劣化したドライブ１４６のデータをスペアドライブ１４７にコピーし退避させる。

　（２）ドライブ閉塞
　ＣＰＵ１３５は、ダイナミックスペアリング８１での全データ退避完了後に、ドライブ１４６を閉塞させる。

　（３）リカバリ動作＆検査処理
　ＣＰＵ１３５は、閉塞したドライブ１４６に対してリカバリ動作及び検査処理を実行しドライブ１４６を回復させる。

　（４）データ回復
　ＣＰＵ１３５は、閉塞したドライブ１４６の復旧が成功した後、コピーバック処理８２でスペアドライブ１４７からドライブ１４６へデータをコピーし回復させる。

　（５）ドライブ復旧完了
　ＣＰＵ１３５は、コピーバック処理によるスペアドライブ１４７からドライブ１４６へのデータ回復の完了後に、ドライブ１４３からドライブ１４６でのＲＡＩＤグループ１４２を復活させ、ストレージシステム１を通常稼働状態に復帰させる。

　以上のように、図６及び図７のフローチャートに示すリカバリ動作及び検査処理を実行して障害ディスクを自動的に回復させることができる。そのため、ストレージシステム１の稼働率の向上、保守工数の削減が図れる。

＜第２のリカバリ動作＞
　図９は、障害ドライブの第２のリカバリ動作を示す図である。第２のリカバリ動作は、ドライブ閉塞前にダイナミックスペアリングによるスペアドライブ１４７へのデータ構築が全て完了できなかった場合に実行する動作である。この動作では、コレクションコピー処理８３にてスペアドライブ１４７にデータ構築を実行し、障害ドライブ１４６の復旧が成功し、なおかつスペアドライブ１４７にデータの構築が完了したら、コピーバック処理８２にてデータを回復するものである。

　（１）ドライブ閉塞
　障害が発生したドライブ１４６が閉塞したら、ＣＰＵ１３５は、コレクションコピー処理８３にてスペアドライブ１４７にデータを退避する。

　（２）リカバリ動作＆検査処理
　ＣＰＵ１３５は、閉塞したドライブ１４６に対してリカバリ動作及び検査処理を実行しドライブ１４６を回復させる。

　（３）待機
　ＣＰＵ１３５は、コレクションコピー処理８３によるスペアドライブ１４７へのデータ構築が終わるまで待機する。

　（４）データ回復
　ＣＰＵ１３５は、スペアドライブ１４７へのデータ構築完了後、コピーバック処理８２にてスペアドライブ１４７から（２）で復旧させたドライブ１４６にデータをコピーし、ドライブ１４６でのデータの回復を実行する。

　（５）ドライブ復旧完了
　ＣＰＵ１３５は、コピーバック処理によるスペアドライブ１４７からドライブ１４６へデータ回復の完了後に、ドライブ１４３からドライブ１４６でのＲＡＩＤグループ１４２を復活させ、ストレージシステム１を通常稼働状態に復帰させる。

　以上述べたように、第２のリカバリ動作も第１のリカバリ動作と同様、一時的な障害が発生したドライブを自動的に再生させて再利用をすることができ、ストレージシステムの稼働率向上、保守工数及びコストの削減を図れる。

　ストレージシステム１の利用環境やＲＡＩＤグループ構成などの使用状況によって、要求される検査の厳密さや交換せずに復旧を図ることの重要度は異なる。例えば、ドライブ１台が閉塞した時にも冗長性が維持されているか否かで、検査内容や検査時間などを変更する必要がある。例えば、冗長構成が３Ｄ＋１ＰのようなＲＡＩＤ５構成であればドライブ１台が障害を発生すると冗長性は失われる。そのため、スペアドライブへのコレクションコピー処理によるデータ構築と冗長性の回復を早急に行う必要がある。そこで、発生エラーに対する回復動作の種類の限定、簡便な検査の選択や早期のドライブ交換を実施する。

　一方、３Ｄ＋２ＰのようなＲＡＩＤ６構成であれば、ドライブ１台が閉塞しても冗長性は失われない。このような場合では、発生エラーに対する全回復動作の実施と、詳細かつ厳密な検査の実施により、顕在化していない障害発生要因の抽出やＬＢＡの交替処理などによる信頼性の向上を図ることができる。

　そこで、実施例２では、冗長性、コピー時間、実行済リカバリ回数により、検査内容や検査時間を可変にできる例について説明する。

　＜判定テーブル＞
　図１０は、最大リカバリ数判定テーブルの構成例を示す図である。最大リカバリ数判定テーブル１００は、冗長性及びコピー時間によりリカバリ動作を実行できる最大回数を判定するものである。

　最大リカバリ数判定テーブル１００は、冗長性１００１、コピー時間１００２、符号１００３の閾値ｎ２を有する。

　冗長性１００１は、障害発生時のＲＡＩＤ構成で冗長性が有るか無いかを示す。つまり、前述のように、ＲＡＩＤグループを構成する記憶デバイスが１台閉塞した場合、ＲＡＩＤ５（３Ｄ＋１Ｐ）では冗長性１００１は“無”となるが、ＲＡＩＤ６（３Ｄ＋２Ｐ）では冗長性１００１は“有”となる。また、コピー時間１００２は、ドライブの種別毎に実測した全面コピー時間の平均である。例えば、コピー時間が２４時間以内であればコピー時間１００２を“小”、２４時間以上であれば“大”と判断する。なお、本例では“大”と“小”の２段階での分類としているが、“大”、“中”、“小”の３段階でもよい。

　冗長性１００１が“有”でコピー時間１００２が“小”の場合には、閾値ｎ２　１００３を大きくして、リカバリ動作及び検査処理の実行可能回数を大きくする。逆に、冗長性１００１で“無”で、コピー時間１００２が“大”の場合には、閾値ｎ２　１００３を小さくする。これは、冗長性が有りコピー時間が小さい場合は耐障害性に余裕があるため、リカバリ動作の実行回数を大きくすることができるためである。

　図１１は、検査内容判定テーブルの構成例を示す図である。検査内容判定テーブル１１０は、ドライブでの障害発生時の状況に応じて検査内容を決定するためのテーブルである。検査内容判定テーブル１１０は、冗長性１１０１、コピー時間１１０２、ライトコマンドエラーフラグ１１０３、検査内容１１０４を有する。

　冗長性１１０１及びコピー時間１１０２は、前述の冗長性１００１及びコピー時間１００２と同じである。

　ライトコマンドエラーフラグ１１０３は、ホスト２からのライトコマンドの実行中に障害が発生して閉塞したかを表すフラグである。これは、閉塞時にライトコマンドでエラーが発生していた場合は、検査にも必ずライトによるチェックを組み込むためである。

　検査内容１１０４は、障害がドライブに対する検査内容を示し、冗長性１１０１、コピー時間１１０２、ライトコマンドエラーフラグ１１０３により、適切な検査内容が選択される。例えば、冗長性が有りコピー時間が短い場合は、耐障害性及び時間に余裕があるため、念入りな検査である“全面ライト／リード”を行う。また、コピー時間及び冗長性に応じて、検査内容だけでなくリカバリ動作で実行する回復動作の種類、数及び組合せを変えてもよい。検査に使用するデータは、特定パターンデータでもよいしユーザデータを流用してもよい。

　図１２は、エラー閾値判定テーブルの構成例を示す図である。エラー閾値判定テーブル１２０は、リカバリ動作を実施した回数により障害ドライブの回復基準を判定し、リカバリカウント数に応じたエラー毎の閾値を設定するものである。つまり、何度もリカバリ動作を実行している場合は、より厳しく検査結果を判定するものである。

　エラー閾値判定テーブル１２０は、リカバリカウント１２０１とエラー内容１２０２とを有する。リカバリカウント１２０１が多くなるにつれて、検査で許容するエラー発生数を小さくするものである。例えば、エラー内容１２０２が“メディアエラー”の場合、リカバリカウント１２０１が０、１、２、３と大きくなるにつれて、検査で許容するエラー発生数を５回、３回、１回、０回と小さくしていき厳密な検査を行うようにする。

　ちなみに、リカバードエラーとはドライブ内部のリトライ処理により救済されたエラーであり、ライトコマンドないしリードコマンドでのアクセスは成功している。

＜リカバリ動作・検査２＞
　図１３は、実施例２でのリカバリ動作及び検査処理を示すフローチャート図である。図１４は、実施例２でのエラー要因確認処理を示すフローチャート図である。処理の主体をＣＰＵ１３５とし、障害ドライブをドライブ１４６として説明する。

　Ｓ１３０１で、ＣＰＵ１３５は、エラー要因の確認処理（図１４）を実行する。

　Ｓ１４０１で、ＣＰＵ１３５は、閉塞判定した際のエラー情報をメモリ１３８から取得する。

　Ｓ１４０２で、ＣＰＵ１３５は、取得したエラー情報でライトコマンド実行中のエラーか否かを判断する。ライトコマンド実行中のエラーであれば（Ｓ１４０２のＹｅｓ）、ＣＰＵ１３５はＳ１４０４を実行し、なれけば（Ｓ１４０２のＮｏ）、Ｓ１４０３を実行する。

　Ｓ１４０３で、ＣＰＵ１３５は、ライトコマンドエラーフラグを“０”に設定する。Ｓ１４０４で、ＣＰＵ１３５は、ライトコマンドエラーフラグを“１”に設定する。

　Ｓ１４０５で、ＣＰＵ１３５は、Ｓｅｎｓｅｋｅｙ／Ｓｅｎｓｅｃｏｄｅがあるかを判断する。ある場合（Ｓ１４０５のＹｅｓ）、ＣＰＵ１３５はＳ１４０６を実行し、無い場合は、Ｓ１４０７を実行する。

　Ｓ１４０６で、ＣＰＵ１３５は、エラー要因判定テーブル３０（図３）でエラー要因を判定する。

　Ｓ１４０７で、ＣＰＵ１３５は、エラー要因を“その他”と設定する。その後、ＣＰＵ１３５は、処理をＳ１３０１に戻す。次に、ＣＰＵ１３５は、Ｓ１３０２以降の処理を実行する。

　Ｓ１３０２で、ＣＰＵ１３５は、コピー時間を障害ドライブの仕様（総記憶容量、回転数、平均シーク時間、アクセス速度など）から予測しコピー時間の大小を判定する。

　Ｓ１３０３で、ＣＰＵ１３５は、冗長性を判定する。例えば、障害が発生したドライブを含むＲＡＩＤグループがＲＡＩＤ５構成であれば“無”、ＲＡＩＤ６構成であれば“有”と判断する。

　Ｓ１３０４で、ＣＰＵ１３５は、障害ドライブ１４６のリカバリカウントをリカバリカウント管理テーブル４０で確認し、閾値ｎ２以上か否かを判断する。閾値ｎ２以上の場合（Ｓ１３０４でＹｅｓ）、ＣＰＵ１３５は、障害ドライブの復旧は不可能と判断し、図１のＳ１０３のドライブ交換を保守員に促す。閾値ｎ２以上で無い場合（Ｓ１３０４でＮｏ）、ＣＰＵ１３５は、Ｓ１３０５を実行する。

　Ｓ１３０５で、ＣＰＵ１３５は、エラー要因に基づくリカバリ動作を回復動作判定テーブル５０にから選択し障害ドライブに対し順次実行する。　回復すれば、ＣＰＵ１３５はＳ６０４を実行し、回復しなければリカバリ不可（“ＮＧ”）と判断し、リカバリ動作及び検査処理を終了しドライブ交換（Ｓ１０３）の要求を実施する。

　Ｓ１３０６で、ＣＰＵ１３５は、状況に応じた検査、すなわち、冗長性、コピー時間、ライトコマンドエラーフラグの状態を検査内容判定テーブル１１０に照し合せ、実施する検査内容を決定し実行する。

　Ｓ１３０７で、ＣＰＵ１３５は、検査を実施した結果での発生エラー数とエラー閾値判定テーブル１２０でのエラー閾値とを比較する。例えば、ドライブ１４６がメディアエラーの要因で閉塞し、その障害ドライブ１４６のリカバリカウント１２０１が“１”であれば、検査時に発生したメディアエラーは３回まで、リカバートエラーは１００回まで、ハードエラーは１回まで、その他エラーは１回までであれば、回復させたドライブを使用可能（“Ｐａｓｓ”）と判断して再利用する。逆に、１つのエラー項目が閾値を超えるか、または全部のエラー項目が閾値を超えるかした場合は、再利用不可（“ＮＧ”）と判断する。

　最後に、ＣＰＵ１３５は、当該ドライブ（復旧ドライブ１４６）のリカバリカウント値を１つ増やし、その値でリカバリカウント管理テーブル４０の内容を更新する。

　以上述べたように、実施例２も実施例１と同様、一時的な障害が発生したドライブを自動的に再生させて再利用をすることができ、ストレージシステムの稼働率向上、保守工数及びコストの削減を図れる。また、障害発生状況に応じた適切な検査内容の選択と障害ドライブのリカバリ履歴による検査の厳格さを求めることができ、ストレージシステムの信頼性の向上を図れる。

＜データ回復領域管理テーブル＞
　図１５は、障害ドライブでのデータ回復領域管理テーブルの構成例を示す図である。図１６は、スペアドライブでのデータ回復領域管理テーブルの構成例を示す図である。

　障害ドライブでのデータ回復領域管理テーブル１５０（以下、データ回復領域管理テーブル１５０）とスペアドライブでのデータ回復領域管理テーブル１６０（以下、データ回復領域管理テーブル１６０）は、障害ドライブ１４６の回復中（リカバリ動作＆検査処理の実施中）に、スペアドライブ１４７へ書き込まれたデータ範囲を管理するもので、障害ドライブ１４６の回復後にこの管理テーブルを用いてデータの再構築を行う。

　データ回復領域管理テーブル１５０は、障害ドライブ１４６の実装位置を示すドライブロケーション１５０１、書き込まれたデータ範囲を示す回復要アドレス１５０２、データ書き込み要因１５０３を有する。また、回復要アドレス１５０２は、書き込み開始位置１５０２１と書き込み終了位置１５０２２から構成される。データ書き込み要因１５０３は、ホスト２からのライトＩ／Ｏによるデータ書き込みか、検査時のデータ書き込みかを区別するものである。

　データ回復領域管理テーブル１６０は、スペアドライブ１４７の実装位置を示すスペアドライブロケーション１６０１、障害ドライブ１４６の実装位置を示すドライブロケーション１６０２、書き込まれたデータ範囲を示す回復要アドレス１６０３を有し、更に回復要アドレス１６０３は、書き込み開始位置１６０３１と書き込み終了位置１６０３２から構成される。

＜第３のリカバリ動作＞
　図１７は、障害ドライブの第３のリカバリ動作を示す図である。この第３のリカバリ動作は、コレクションコピー処理８３の完了前でも復旧ドライブ１４６へのデータ構築を開始するものである。

　前述の第２のリカバリ動作では、リカバリ動作及び検査処理で障害ドライブ１４６が復旧してもスペアドライブ１４７へのコレクションコピー処理８３が完了するまで待機していた。

　第３のリカバリ動作では、コレクションコピー処理８３の完了を待たずに即座にコレクションコピー先をスペアドライブ１４６から復旧ドライブ１４６に変更し、スペアドライブに書かれているデータ構築済み領域１４７ａ以外のデータ復旧を行う。そのデータ復旧完了後、今度はスペアドライブ１４７からコピーバック処理８２にて残りのデータをドライブ１４６に復旧する。以上のようにコピーバック処理８２でのコピー時間を低減することで、復旧ドライブ１４６へのデータ回復を短時間で行うものである。

　（１）ドライブ閉塞
　ＣＰＵ１３５は、コレクションコピー処理８３にてスペアドライブ１４７にデータを構築する。

　（２）リカバリ動作＆検査処理
　ＣＰＵ１３５は、リカバリ動作＆検査処理によるドライブ回復までに、スペアドライブ１４７のデータ構築済み領域１４７ａを示すポインタ８５を記憶する。

　（３）データ回復１
　ＣＰＵ１３５は、コレクションコピー先をスペアドライブ１４７から復旧したドライブ１４６に変更し、スペアドライブ１４７に構築済みのデータ以外の復旧を行う（符号１４６ｂ部分）。

　（４）データ回復２
　ＣＰＵ１３５は、コレクションコピー処理８３の完了後、スペアドライブ１４７に構築したデータのポインタ８５を参照してスペアドライブ１４７から復旧ドライブ１４６へのコピーバック処理８２を実行する。すなわち、スペアドライブ１４７のデータ構築済み領域１４７ａのデータを、復旧ドライブ１４６のデータ未構築領域１４６ａにコピーする。

　（５）ドライブ復旧完了
　ＣＰＵ１３５は、コピーバック処理８２によるスペアドライブ１４７からドライブ１４６へデータ回復の完了後に、ドライブ１４３からドライブ１４６でのＲＡＩＤグループ１４２を復活させ、通常稼働状態にストレージシステム１を復帰させる。

　以上述べたように、第３のリカバリでも第１及び第２のリカバリ動作と同様、単発ないしは一時的な障害が発生したドライブを自動的に再生させて再利用をすることができる。また、コレクションコピー先を切り替えることでコピーバックするデータ量を低減できるので、データ回復時間を短縮できる。

＜第４のリカバリ動作＞
　図１８は、障害ドライブの第４のリカバリ動作でのデータ及びパリティ更新動作を示す図である。図１９は、障害ドライブの第４のリカバリ動作でのデータ回復処理を示す図である。この第４のリカバリ動作は、ドライブ内に元々格納されていたユーザデータを利用して復旧ドライブのデータ回復を行うものである。

　本発明では元々データドライブだった閉塞ドライブを回復させて使用するので、ドライブ内には、元々正しいデータが入っており、下記領域のデータのみ更新すれば早期にデータの復旧を完了することが出来る。

　そこで、
　（ａ）閉塞後ホストＩ／Ｏにより上書きされたアドレス
　（ｂ）リカバリ動作中に上書きしたアドレス或いはリアサイン実施したアドレス
　（ｃ）検査動作中に上書きしたアドレス
　のアドレスをデータ回復領域管理テーブル１５０で“回復が必要なアドレス”（データ更新範囲）として管理する。そして、ドライブ復旧後、“回復が必要なアドレス”に該当する領域がスペアドライブ１４７にあれば、その領域のデータのみをコピーバック処理８２で復旧ドライブ１４６に反映する。また、スペアドライブ１４７にデータが無ければ、コレクションコピー処理８３で復旧ドライブ１４６にデータを構築する。以上の動作で、より短時間でデータ回復を完了することができる。

　図１８の（１）から（５）に示すように、ＣＰＵ１３５は、スペアドライブ１４７のデータ構築済み領域１４７ａをポインタ８６ａから８６ｅ（８６と総称することがある）にて管理する。ちなみに、時間経過とともにコレクションコピー処理でデータ構築した領域が増え、ポイント位置が変化していく。そこで、データ回復領域管理テーブル１５０に対し、まず前記（ａ）～（ｃ）のアドレスを“回復が必要なアドレス”として格納する。そして、障害ドライブ１４６の復旧時のポインタ８６から真の“回復が必要なアドレス”を特定する。

　（１）スペアドライブのデータ構築済み領域１４７ａへのデータ更新時
　ＣＰＵ１３５は、どこのアドレスに上書きがされたかをデータ回復領域管理テーブル１５０に登録し、スペアドライブ１４７にデータを上書きする。また、ＣＰＵ１３５は、ホストＩ／Ｏのデータと残りの２台のドライブ１４４、１４５でパリティデータを生成し、パリティドライブ１４３に上書きする。

　（２）スペアドライブにデータ未構築領域１４７ｂへのデータ更新時
　ＣＰＵ１３５は、どこのアドレスに上書きがされたかをデータ回復領域管理テーブル１５０に登録し、ホストＩ／Ｏのデータと残りの２台のドライブ１４４、１４５でパリティデータを生成し、パリティドライブ１４３に上書きする。

　（３）スペアドライブにデータ構築済み領域１４７ａへのパリティ更新時
　ＲＡＩＤグループ内の未閉塞のドライブにデータ更新要求があり、閉塞ドライブの対応するアドレスへのパリティ更新要求が発生した場合、ＣＰＵ１３５は、当該データドライブにデータ更新する。また、ホストＩ／Ｏのデータと残りの２台のドライブ１４４、ドライブ１４５でパリティデータを生成し、ＣＰＵ１３５は、スペアドライブ１４７に上書きし、そのアドレスをデータ回復領域管理テーブル１５０に登録する。

　（４）スペアドライブにデータ未構築済み領域１４７ｂへのパリティ更新時　
　ＲＡＩＤグループ内の未閉塞のドライブ１４３にデータ更新要求があり、閉塞ドライブ１４６の対応するアドレスへのパリティ更新が発生した場合、当該データドライブ１４３にデータ更新し、本来パリティデータを更新するべきアドレスをデータ回復領域管理テーブル１５０（図１５）に登録する。

　（５）リカバリ動作＆検査処理で上書きの場合
　どこのアドレスに上書きがされたかをデータ回復領域管理テーブル１５０に登録し、復旧対象のドライブ１４６に上書きする。

　次に、障害ドライブ１４６の復旧とデータ回復について図１９で説明する。

　（１）障害ドライブ復旧
　ＣＰＵ１３５は、リカバリ動作＆検査処理によって障害ドライブ１４６の復旧を行う。復旧できれば、ＣＰＵ１３５は、検査処理を実行し再利用できるかを判断する。再利用できると判断された場合、ＣＰＵ１３５は、以下のデータ回復動作を実行する。

　（２－１）データ回復動作１
　ＣＰＵ１３５は、データ回復領域管理テーブル１５０を参照し、データ上書き要因１５０３が“ホストＩ／Ｏ”によるもので、回復要アドレス１５０２のデータがスペアドライブ１４７のデータ構築済み領域１４７ａにある場合、コピーバック処理８２で復旧ドライブ１４６へのデータ回復を実行する。

　（２－２）データ回復動作２
　ＣＰＵ１３５は、データ回復領域管理テーブル１５０を参照し、データ上書き要因１５０３が“ホストＩ／Ｏ”によるもので、回復要アドレスのデータがスペアドライブ１４７のデータ構築済み領域１４７ａになく領域１４７ｂにある場合、コレクションコピー処理８３にてデータ回復を実行する。また、データ上書き要因１５０３が“検査”での回復要アドレスの領域についても、コレクションコピー処理８３にてデータ回復を実行する。

　（３）データ回復（障害ドライブの再生）完了
　ＣＰＵ１３５は、コピーバック処理８２ないしコレクションコピー処理８３によるドライブ１４６へのデータ回復の完了後に、ドライブ１４３からドライブ１４６でのＲＡＩＤグループ１４２を復活させ、ストレージシステム１を通常稼働状態に復帰させる。

　以上述べたように、第４のリカバリでも第１から第３のリカバリ動作と同様、障害が発生したドライブを自動的に再生させて再利用をすることができる。また、更新された領域のデータのみを復旧したドライブにコピーするだけで、ＲＡＩＤグループ１４２を復活させることができるので障害からの復帰時間を短縮できる。

　図２０は、障害ドライブの第５のリカバリ動作を示す図である。本例は、第４のリカバリ動作と同様、ユーザデータをそのまま使ってリカバリ動作及び検査処理を行うものである。

　ユーザデータをそのまま使用してリカバリ動作または検査処理での書き込みを行い、格納されたユーザデータへの変更を行わない。加えて、ホストＩ／Ｏにより上書きされたアドレスのみを回復することで、障害から回復させたドライブのデータ回復動作が早期に完了させる。しかしながら、ユーザデータを使用せずフォーマットの様に特定パターンのデータが書き込まれる場合には、書き込み領域のデータ回復作業が必要となる。第５のリカバリ動作は、第４のリカバリ動作との相違点のみを説明する。

　（１）データ回復動作１
　データ回復動作１は、スペアドライブ１４７のデータ構築領域１４７ａへの更新データを復旧対象のドライブ１４６に反映させるものである。そこで、ＣＰＵ１３５は、スペアドライブ１４７のデータを使い、復旧対象のドライブ１４６と同一アドレスにデータをコピーバック処理で上書きする。

　（２）データ回復動作２
　データ回復動作１は、スペアドライブ１４７のデータデータ未構築領域１４７ｂへの更新データを復旧対象のドライブ１４６に反映させるものである。そこで、ＣＰＵ１３５は、ＲＡＩＤグループ１４２を構成する３台のドライブ１４３／１４４／１４５のデータから当該領域のデータを生成し、復旧ドライブ１４６の当該領域（同一アドレス領域）へ書き込んで使用する。

　以上のように、ユーザデータをそのまま使ってリカバリ動作や検査処理を行うことで、ホスト２によるデータ更新領域のみを復旧ドライブ１４６に反映させるだけで、通常ドライブによるＲＡＩＤグループの復活と冗長度の回復を迅速に行うことが可能となる。

　以上述べたように、第５のリカバリでも第１から第４のリカバリ動作と同様、障害が発生したドライブを自動的に再生させて再利用をすることができる。

　以上のように、実施例２でも実施例１と同様、障害が発生したドライブを自動的に再生させて再利用をすることができ、ストレージシステムの稼働率向上、保守工数及びコストの削減を図れる。加えて、障害発生状況に応じた適切な検査内容の選択と障害ドライブのリカバリ履歴による検査の厳格さの追求により、ストレージシステムの信頼性向上を図れる。

＜障害再発時の冗長度回復動作＞
　次に、復旧ドライブが短時間で再び閉塞した場合への対応を図２１から図２３で説明する。

＜冗長度回復動作１＞
　図２１は、復旧ドライブでの障害再発時における第１の冗長度回復動作を示す図である。図２１の場合は、スペアドライブ１４７に復旧ドライブ１４６と同一のデータが全て記憶されている状態を示す。リカバリ動作及び検査処理による復旧動作が完了しても、直ぐにスペアドライブ１４７を開放させず、復旧したドライブ１４６と並行して使用することで、再閉塞時の迅速な冗長度回復を実現するものである。

　これは、検査が不十分であった場合、復旧ドライブが短時間で再度閉塞する可能性がある。そこで、ドライブ１４６の復旧後、スペアドライブ１４７を他の用途での使用があるまで開放せずに、内部のデータを管理しておく。そうすれば、復旧ドライブ１４６が再度閉塞してもスペアドライブ１４７へのデータ構築が迅速に完了することができ、データ冗長度を素早く回復することができる。

　図２１の例は、ホストＩ／Ｏによるライトがあった場合、復旧ドライブ１４６とスペアドライブ１４７の両方にライトデータを書き込み、復旧ドライブ１４６を正ドライブとし、スペアドライブ１４７を副ドライブとし、ミラー化するものである。その動作を以下に説明する。

　（１）ドライブ復旧完了
　ＣＰＵ１３５は、コピーバック処理８２ないしコレクションコピー処理８３によるスペアドライブ１４７からドライブ１４６へデータ回復の完了後に、ドライブ１４３からドライブ１４６でのＲＡＩＤグループ１４２を復活させ、通常稼働状態にストレージシステム１を復帰させる。その後、ＣＰＵ１３５は、スペアドライブ１４７を冗長度早期回復用ドライブとして、継続して使用する。

　（２）ホストＩ／Ｏのデータ更新要求
　ホストＩ／Ｏにより上書き指示があった場合、ＣＰＵ１３５は、常にスペアドライブ１４７のデータを更新する（白抜き四角形の部分）。そして、ＣＰＵ１３５は、常にスペアドライブ１４７のデータも同時に更新し、復旧ドライブ１４６とのデータ整合性を維持する。

　（３）再閉塞時の冗長度回復
　復旧ドライブ１４６に障害が発生し再閉塞した場合でも、スペアドライブ１４７には復旧ドライブ１４６と同じデータが記録されているため、スペアドライブ１４７を正ドライブとしてデータドライブとしての使用に切り替える事で即座に本来のＲＡＩＤグループを復活させることができ冗長度を回復できる。

＜冗長度回復動作２＞
　図２２は、復旧ドライブでの障害再発時における第２の冗長度回復動作を示す図である。図２２では、ホスト２よりライトＩ／Ｏ要求があった場合、ライト領域を記録しておき必要になったときにスペアドライブ１４７のデータを更新する。

　つまり、データ回復領域管理テーブル１６０に復旧ドライブ１４６とスペアドライブ１４７とのデータ差分を登録しておく。そして、復旧ドライブ１４６が短時間のうちに再閉塞した場合、データ回復領域管理テーブル１６０に登録された領域をスペアドライブ１４７に反映して冗長度を回復させる。

　（１）データ更新管理
　ホスト２からのライトＩ／Ｏが復旧ドライブ１４６に対して実行されたら、ＣＰＵ１３５は、データ回復領域管理テーブル１６０に登録する。書き込み開始位置及び書き込み終了位置をそれぞれ書き込み開始位置１６０３１及び書き込み終了位置１６０３２に記録する。

　（２）データ回復
　ＣＰＵ１３５は、復旧ドライブ１４６が再閉塞した場合、データ回復領域管理テーブル１６０の書き込み開始位置１６０３１及び書き込み終了位置１６０３２で、復旧ドライブ１４６におけるデータ更新領域を特定し、スペアドライブ１４７での該当領域へコレクションコピー処理８３でデータを回復させる。

　（３）データ回復完了＆冗長度回復
　ＣＰＵ１３５は、スペアドライブ１４７でのデータ回復が完了した後、データドライブとしての使用に切り替える事で、スペアドライブ１４７を含むＲＡＩＤグループ１４２を再構成し、冗長度を迅速に回復できる。

＜冗長度回復動作３＞
　図２３は、復旧ドライブでの障害再発時における第３の冗長度回復動作を示す図である。

　本例は、スペアドライブ１４７内に復旧ドライブ１４６の全データがない場合に、実行する冗長度回復動作で、スペアドライブ１４７のデータ構築済み領域１４７ａ（復旧ドライブ１４６のデータを反映した領域）をポインタで管理する。そして、データ構築済み領域１４７ａへのホスト２からのライトＩ／Ｏ時は、復旧ドライブ１４６とスペアドライブ１４７の両方に記録する。再閉塞時には、スペアドライブ１４７のデータ未構築領域１４７ｂに、ドライブ１４３／１４４／１４５を用いてコレクションコピー処理８３でデータを構築する。

　（１）データ構築領域のポインタ管理
　ＣＰＵ１３５は、スペアドライブ１４７内の有効データ領域であるデータ構築済み領域１４７ａと、データ未構築領域１４７ｂとの境界についてポインタ８９で管理する。

　（２）データ更新
　ホスト２のライトＩ／Ｏ要求におけるデータ書き込み位置がスペアドライブ１４７のデータ構築済み領域１４７ａの場合には、ＣＰＵ１３５は、復旧ドライブ１４６及びスペアドライブ１４７共に所定領域のデータを更新する。データ書き込み位置がデータ未構築領域１４７ｂの場合には、ＣＰＵ１３５は、復旧ドライブ１４６のみデータを更新し、スペアドライブ１４７ではデータの更新は行わない。

　（３）データ回復
　復旧ドライブ１４６が再閉塞した場合、ＣＰＵ１３５は、スペアドライブ１４７のデータ未構築領域１４７ｂに対し、残り３台のドライブ１４３／１４４／１４５でのコレクションコピー処理８３で生成したデータを書き込み、データを回復する。データ構築済み領域１４７ａについては、なにもしない。

　（４）データ回復完了＆冗長度回復
　スペアドライブ１４７でのデータ回復が完了した後、データドライブとしての使用に切り替える事で、ドライブ１４３／１４４／１４５とスペアドライブ１４７とでＲＡＩＤグループを構成し、冗長度を回復させる。

　以上のように、復旧後のドライブ１４６が短時間で再閉塞した場合でも、スペアドライブ１４７に有効データが無い領域のみをコレクションコピー処理８３でデータ構築することで、冗長度の回復時間を短縮できる。

　なお、ドライブ復旧後、所定時間が経過していない場合には、再度のリカバリ動作及び検査では、より厳しいリカバリ動作及び検査処理を実行してもよい。例えば、所定時間が経過前にメディアエラー３１２により再閉塞したリカバリカウントが“１”であるドライブに対し、回復動作５０２で該当する検査を全て実施する。更に、エラー閾値判定テーブル１２０のリカバリカウント１２０１は“１”でなく“２”としエラー閾値を小さくして信頼性の度合いを厳しく判断する。これにより、障害ドライブの信頼性を高く評価できる。なお、前述の所定時間は予めストレージシステム１に設定しておいてもよいし、保守端末１５の入力装置から受け付けた値を用いてもよい。

　以上説明したように、復旧したドライブが短時間で再び閉塞した場合でも、迅速にＲＡＩＤグループを回復でき、ストレージシステムの信頼性及び稼働率を向上できる。

　なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。また、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。

　また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。

　各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）等の記録装置、または、ＩＣカード、ＳＤカード、ＤＶＤ等の記録媒体に置いてもよい。

　また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。

　１　ストレージシステム
　２　ホスト端末
　１３　ディスクコントローラ部
　１４　ディスクドライブ部
　１５　保守端末
　３０　エラー要因判定テーブル
　４０　リカバリカウント管理テーブル
　５０　回復動作判定テーブル
　１００　最大リカバリ数判定テーブル
　１１０　検査内容判定テーブル
　１２０　エラー閾値判定テーブル
　１３１　コントローラパッケージ
　１３２　チャネル制御部
　１３３　キャッシュメモリ
　１３４　データコントローラ
　１３５　ＣＰＵ
　１３６　共有メモリ
　１３７　ディスク制御部
　１３８　ローカルメモリ
　１４１　エキスパンダ
　１４２　ＲＡＩＤグループ
　１４３、１４４、１４５、１４６　データドライブ
　１４７　スペアドライブ
　１５０、１６０　データ回復領域管理テーブル

Claims

　ホスト計算機に接続するストレージシステムであって、
　前記ストレージシステムは、
　コントローラと、
　メモリと、
　前記ホスト計算機からのデータを格納する複数のデータ記憶デバイスと、
　前記データ記憶デバイスの代替として使用する１つ以上のスペア記憶デバイスとを
備え、
　前記データ記憶デバイスを２つ以上でＲＡＩＤグループを構成し、
　前記コントローラは、
　前記データ記憶デバイスが障害で閉塞すると判断した時、
　　前記データ記憶デバイスが未閉塞状態では、前記データ記憶デバイスのデータを直接前記スペア記憶デバイスへ格納し、
　　前記データ記憶デバイスが閉塞状態では、前記ＲＡＩＤグループを構成する正常なデータ記憶デバイスからデータを再生して前記スペア記憶デバイスに格納し、
　前記閉塞状態のデータ記憶デバイスに対し、障害内容に対応した障害回復処理及び所定の検査処理を実行する
　ことを特徴とするストレージシステム。
　請求項１記載のストレージシステムであって、
　前記障害は、前記データ記憶デバイスでの
　（１）起動障害
　（２）記憶媒体へのアクセス障害
　（３）シーク動作障害
　（４）ハードウェア動作障害
　（５）インタフェースアクセス障害
のいずれかである
　ことを特徴とするストレージシステム。
　請求項１記載のストレージシステムであって、
　前記障害回復処理は、前記データ記憶デバイスに対する
　（ａ１）電源ＯＦＦ／ＯＮ動作
　（ａ２）ハードリセット動作
　（ａ３）モータ停止と再始動動作
　（ａ４）記憶領域の初期化動作
　（ａ５）記憶領域の読み取り部の移動動作
　（ａ６）記憶領域への書き込み／読み出し動作
　で、
　前記コントローラが前記（ａ１）から（ａ６）の動作を１つ以上実行する
　ことを特徴とするストレージシステム。
　請求項１記載のストレージシステムであって、
　前記検査処理は、
　（ｂ１）記憶領域全体のデータ読み出し
　（ｂ２）記憶領域全体のデータ書き込み
　（ｂ３）記憶領域全体のデータ書き込み及びデータ読み出し
　（ｂ４）所定時間の記憶領域へのデータ読み出し
　（ｂ５）所定時間の記憶領域へのデータ書き込み
　（ｂ６）所定時間の記憶領域へのデータ書き込み及びデータ読み出し
　（ｂ７）記憶領域全体のデータ書き込み及びデータ読み出しと、書き込みデータと読み出しデータとの比較
　（ｂ８）所定時間の記憶領域へのデータ書き込み及びデータ読み出しと、書き込みデータと読み出しデータとの比較
　のいずれかである
　ことを特徴とするストレージシステム。
　請求項１記載のストレージシステムであって、
　前記コントローラは、
　前記回復処理及び検査処理を実行した回復・検査回数を前記データ記憶デバイス毎に管理する
　ことを特徴とするストレージシステム。
　請求項５記載のストレージシステムであって、
　前記コントローラは、
　前記回復・検査回数が予め設定された閾値を超える場合には、前記回復処理及び検査処理を実行しない
　ことを特徴とするストレージシステム。
　請求項１記載のストレージシステムであって、
　前記コントローラは、
　障害発生時の冗長性の有無と、
　前記障害が発生したデータ記憶デバイスの全記憶データの前記スペア記憶デバイスへの格納時間とにより、
　前記障害回復処理または検査処理の実行を決定する
　ことを特徴とするストレージシステム。
　請求項７記載のストレージシステムであって、
　前記コントローラは、
　前記障害発生が前記ホスト計算機からのＩＯアクセスに起因する場合、
　前記冗長性の有無、前記格納時間、前記ＩＯアクセス種別のいずれか２つ以上の組み合わせで、前記検査処理の種類を決定する
　ことを特徴とするストレージシステム。
　請求項１記載のストレージシステムであって、
　前記コントローラは、
　前記回復処理及び検査処理を実行した回復・検査回数を前記データ記憶デバイス毎に管理し、
　前記回復・検査回数に応じて、前記検査処理で障害種別毎の障害許容数を決定し、
　前記検査処理で発生した障害発生数が、前記障害許容数を下回る場合は、前記閉塞状態のデータ記憶デバイスの閉塞を解除する
　ことを特徴とするストレージシステム。
　請求項１記載のストレージシステムであって、
　前記障害が発生したデータ記憶デバイスが、障害回復処理及び検査処理で復旧した時、　　
　前記コントローラは、
　前記再生データの格納先を前記スペア記憶デバイスから前記復旧したデータ記憶デバイスに切り替え、
　前記スペア記憶デバイスへ格納済みデータを前記復旧したデータ記憶デバイスへ格納する
　ことを特徴とするストレージシステム。
　請求項１記載のストレージシステムであって、
　前記コントローラは、
　前記回復処理または前記検査処理の実行中に、前記ホスト計算機から前記ＲＡＩＤグループを構成するデータ記憶デバイスまたは前記スペア記憶デバイスへのデータ更新要求が発生した場合、データ更新範囲を前記メモリないし前記データ記憶デバイスに格納し、
　閉塞状態を解除されたデータ記憶デバイスに対し、前記データ更新範囲のデータを格納する
　ことを特徴とするストレージシステム。
　記憶デバイス障害回復方法であって、
　データ記憶デバイスにホスト計算機からのデータを格納し、前記データ記憶デバイスを２つ以上でＲＡＩＤグループを構成し、
　前記データ記憶デバイスが障害で閉塞すると判断した時、
　　前記データ記憶デバイスが未閉塞状態では、前記データ記憶デバイスのデータを直接前記スペア記憶デバイスへ格納し、
　　前記データ記憶デバイスが閉塞状態では、前記ＲＡＩＤグループを構成する正常なデータ記憶デバイスからデータを再生して前記スペア記憶デバイスに格納し、
　前記閉塞状態のデータ記憶デバイスに対し、障害内容に対応した障害回復処理及び所定の検査処理を実行する
　ことを特徴とする記憶デバイス障害回復方法。
　
　請求項１２記載の記憶デバイス障害回復方法であって、
　前記障害回復処理は、
　（ａ１）電源ＯＦＦ／ＯＮ
　（ａ２）ハードリセット
　（ａ３）モータ停止と再始動
　（ａ４）記憶領域の初期化
　（ａ５）記憶領域の読み取り部の移動
　（ａ６）記憶領域への書き込み／読み出し
　の１つ以上を選択して実行し、
　前記検査処理は、
　（ｂ１）記憶領域全体のデータ読み出し
　（ｂ２）記憶領域全体のデータ書き込み
　（ｂ３）記憶領域全体のデータ書き込み及びデータ読み出し
　（ｂ４）所定時間の記憶領域へのデータ読み出し
　（ｂ５）所定時間の記憶領域へのデータ書き込み
　（ｂ６）所定時間の記憶領域へのデータ書き込み及びデータ読み出し
　（ｂ７）記憶領域全体のデータ書き込み及びデータ読み出しと、書き込みデータと読み出しデータとの比較
　（ｂ８）所定時間の記憶領域へのデータ書き込み及びデータ読み出しと、書き込みデータと読み出しデータとの比較
　のいずれかを選択し実行する
　ことを特徴とする記憶デバイス障害回復方法。
　ストレージシステムであって、
　前記ストレージシステムはホスト計算機及び保守端末に接続し、
　前記ストレージシステムは
　コントローラと、
　メモリと、
　前記ホスト計算機からのデータを格納する複数のデータ記憶デバイスと、
　前記データ記憶デバイスの代替として使用する１つ以上のスペア記憶デバイスとを
備え、
　前記データ記憶デバイスを２つ以上でＲＡＩＤグループを構成し、
　前記コントローラは、
　前記データ記憶デバイスが障害で閉塞すると判断した時、
　　前記データ記憶デバイスが未閉塞状態では、前記データ記憶デバイスのデータを直接前記スペア記憶デバイスへ格納し、
　　前記データ記憶デバイスが閉塞状態では、前記ＲＡＩＤグループを構成する正常なデータ記憶デバイスからデータを再生して前記スペア記憶デバイスに格納し、
　前記閉塞状態のデータ記憶デバイスに対し、障害内容に対応した障害回復処理及び所定の検査処理を実行し、
　前記障害回復処理は
　（ａ１）電源ＯＦＦ／ＯＮ
　（ａ２）ハードリセット
　（ａ３）モータ停止と再始動
　（ａ４）記憶領域の初期化
　（ａ５）記憶領域の読み取り部の移動
　（ａ６）記憶領域への書き込み／読み出し
　で、前記コントローラが前記障害回復処理を１つ以上実行し、
　前記検査処理は、
　（ｂ１）記憶領域全体のデータ読み出し
　（ｂ２）記憶領域全体のデータ書き込み
　（ｂ３）記憶領域全体のデータ書き込み及びデータ読み出し
　（ｂ４）所定時間内の記憶領域へのデータ読み出し
　（ｂ５）所定時間内の記憶領域へのデータ書き込み
　（ｂ６）所定時間内の記憶領域へのデータ書き込み及びデータ読み出し
　（ｂ７）記憶領域全体のデータ書き込み及びデータ読み出しと、書き込みデータと読み出しデータとの比較
　（ｂ８）所定時間内の記憶領域へのデータ書き込み及びデータ読み出しと、書き込みデータと読み出しデータとの比較
　のいずれか１つであり、
　前記コントローラは、
　前記障害回復処理及び検査処理を実行した回復・検査回数を前記データ記憶デバイス毎に前記メモリに格納し、
　前記回復・検査回数が予め設定された閾値を超える場合には、前記回復処理及び検査処理を実行せず、
　前記冗長性の有無、前記格納時間、前記ホスト計算機からのＩＯアクセス要求の種類のいずれか２つ以上の組み合わせで、前記検査処理の種類を決定し、
　前記コントローラは、
　前記回復・検査回数に応じて、前記検査処理で障害種別毎の障害許容数を決定し、
　前記検査処理で発生した障害発生数が、前記障害許容数を下回る場合は、前記閉塞状態のデータ記憶デバイスの閉塞を解除し、
　前記障害が発生したデータ記憶デバイスが、前記障害回復処理及び前記検査処理で復旧した時、　　
　前記コントローラは、
　前記再生データの格納先を前記スペア記憶デバイスから前記復旧したデータ記憶デバイスに切り替え、
　前記スペア記憶デバイスへ格納済みデータを前記復旧したデータ記憶デバイスへ格納する
　ことを特徴とするストレージシステム。