WO2015045122A1

WO2015045122A1 - ストレージ装置、ストレージシステム、およびデータ管理方法

Info

Publication number: WO2015045122A1
Application number: PCT/JP2013/076366
Authority: WO
Inventors: 里山　愛; 弘明圷; 福岡　幹夫; 栄寿葛城
Original assignee: 株式会社日立製作所
Priority date: 2013-09-27
Filing date: 2013-09-27
Publication date: 2015-04-02
Also published as: US9256490B2; US20150254128A1

Abstract

　複数のデータ要素に分割して複数の記憶装置に格納されるデータを管理する制御部を有するストレージ装置は、複数のデータ要素を含むデータに対して、複数の異なる演算方法で予め生成された複数の旧冗長コードが、データに対する冗長コードとして記憶装置に格納されており、制御部が、データに含まれる第１データ要素を除いたデータの他のデータ要素とデータの第１演算方法による新冗長コードとで第１データ要素を復元した第１復元演算第１データ要素と、他のデータ要素とデータの第２演算方法による新冗長コードとで第１データ要素を復元した第２復元演算第１データ要素と、が一致したら、第１データ要素が誤っていると判断する特定部と、特定部にて誤っていると判定された記憶装置内の第１データ要素を、第１復元演算第１データ要素または第２復元演算第２データ要素に修正する修復部と、を有している。

Description

ストレージ装置、ストレージシステム、およびデータ管理方法

　本発明は、ストレージシステムにおけるデータを保護する技術に関する。

　Ｅｒａｓｕｒｅ　Ｃｏｄｉｎｇなどの２つ以上の冗長度を持つ、高冗長度かつ容量効率の高いデータ冗長化方式が普及し始めている。具体的には、ＲＡＩＤ（Ｒｅｄｕｎｄａｎｔ　Ａｒｒａｙｓ　ｏｆ　Ｉｎｄｅｐｅｎｄｅｎｔ　（ｏｒ　Ｉｎｅｘｐｅｎｓｉｖｅ）　Ｄｉｓｋｓ）、Ｍｉｃｒｏｓｏｆｔ　Ａｚｕｒｅ、Ｆａｃｅｂｏｏｋ等それぞれで採用されている冗長化方式が挙げられる。

　ＲＡＩＤが採用されているストレージシステムには、複数の記憶装置（例えば、ハードディスクドライブ（ＨＤＤ））で構成されたＲＡＩＤグループが備えられている。ＲＡＩＤグループの記憶領域は、複数の記憶装置に跨って形成される複数のサブ記憶領域列「ストライプ列」で構成されている。以下、ストライプ列を構成する各記憶装置の一つのサブ記憶領域を、「ストライプ」と呼ぶ。

　ＲＡＩＤには、いくつかのレベル（以下、「ＲＡＩＤレベル」という）がある。

　例えば、ＲＡＩＤ５では、ホストコンピュータから指定されたライト対象のデータは、所定サイズのデータ（以下、便宜上「データ単位」と言う）に分割されて、各データ単位が複数のデータ要素に分割され、複数のデータ要素がそれぞれ複数のストライプに書き込まれる。

　また、ＲＡＩＤ５では、一つのデータ単位に対して、“パリティ”と呼ばれる冗長な情報（以下、「冗長コード」）を生成し、その冗長コードもストライプに書き込んでおく。記憶装置に障害が発生し、データ単位を構成するデータ要素の正しい値が読み出せなくなったとき、パリティを利用して、そのデータ要素をリストアする。

　また、ＲＡＩＤ６は二重障害にも耐えられる。ＲＡＩＤ６では、一つのストライプ列ごとに２つの（２種類の）冗長コードが生成される（非特許文献１参照）。この２つの冗長コードにより二重障害に対処可能となっている。特許文献１には、ＲＡＩＤ６により、２つのパリティを比較することによって、データエラーを検出することが開示されている。

特開２０１０－３３２８７号公報

　ストレージ装置のアーキテクチャの進化や高機能化、及びネイティブフラッシュの多機能化により、ストレージ制御マイクロプログラムが複雑化する傾向にある。このため、障害の起こる原因や障害の種類も多様化している。すなわち、エラーが検出されないデータ破壊（サイレントデータコラプション）が発生するリスクが増大している。

　一例として、データそのものの破損ではなく、ドライブ内部のデータの格納場所のマッピングテーブル内のアドレスが破損しているために、正しいデータへアクセスできない、というものがある。他の例として、上述したダイナミックスペアリングやコレクションコピーによりデータ格納位置を変更したにもかかわらず、アドレスの破損によって古いデータ格納位置をアクセスしてしまい、一部だけ過去のデータに戻ってしまう現象も起こりかねない。しかしながら、データそのものの破損でなく、アドレスの破損のような場合、従来の一般的な単純なチェックコードによるチェックでは、エラーとして検出されない場合がある。

　また、特許文献１では、新旧の第一パリティが互いに異なり、かつ新旧の第二パリティが互いに異なる場合、データセグメントが壊れていると判断される。しかし、第一パリディと第二パリティの両方が壊れていた場合にも、新旧の第一パリティが互いに異なり、かつ新旧の第二パリティが互いに異なるという状態が起こる。その場合、本来であれば、第一パリティおよび第二パリティを修正すべきであるが、特許文献１では、データセグメントに誤った修正を加えてしまう。

　本発明の目的は、冗長コードを付加したデータの破損部位特定および修復の確度を向上する技術を提供する。

　本発明の一態様によるストレージ装置は、複数のデータ要素に分割して複数の記憶装置に格納されるデータを管理する制御部を有するストレージ装置であって、複数のデータ要素を含むデータに対して、複数の異なる演算方法で予め生成された複数の旧冗長コードが、前記データに対する冗長コードとして前記記憶装置に格納されており、前記制御部が、前記データに含まれる第１データ要素を除いた前記データの他のデータ要素と前記データの第１演算方法による新冗長コードとで前記第１データ要素を復元した第１復元演算第１データ要素と、前記他のデータ要素と前記データの第２演算方法による新冗長コードとで前記第１データ要素を復元した第２復元演算第１データ要素と、が一致したら、前記第１データ要素が誤っていると判断する特定部と、前記特定部にて誤っていると判定された前記記憶装置内の前記第１データ要素を、前記第１復元演算第１データ要素または前記第２復元演算第２データ要素に修正する修復部と、を有している。

　本発明によれば、冗長コードを付加したデータの破損部位の特定および修復の確度を向上することができる。

本実施形態に係わる計算機システムの構成例を示すハードウェアブロック図である。ストレージ装置３０の図１とは異なる構成例を説明するための図である。図１とは異なる計算機システムの構成例を示すハードウェアブロック図である。本実施形態のストレージ装置３０にて実行されるソフトウェアプログラムの構成例を示す図である。物理ディスクデバイス３４を管理するためのテーブル５００を示す図である。ＲＡＩＤグループ番号を管理するテーブル例を示す図である。障害発生ケース（冗長度が２の場合）を説明するための図である。障害発生ケース（冗長度が３の場合）を説明するための図である。エラー検出処理を示すフローチャートである。図９の処理において、新旧パリティが全て異なるという結果であった場合に起動する処理を示すフローチャートである。データを既存パリティから生成して比較する処理を示すフローチャートである。異常データ修復処理を示すフローチャートである。冗長度が２の場合のデータ修復の様子を示す図である。物理デバイスへのデータの格納の様子を示す図である。物理デバイスへのデータの格納の様子を示す図である。物理デバイスへのデータの格納の様子を示す図である。

　本発明の実施形態について図面を参照して説明する。

　ただし、本実施形態は、本発明を実現するための一例に過ぎず、本発明の技術的範囲を限定するものではない。また、各図において共通の構成については、同一の参照番号が付されている。

　また、以後の説明では「テーブル」という表現にて本発明の情報を説明するが、これら情報は必ずしもテーブルによるデータ構造で表現されていなくても良く、「リスト」、「ＤＢ（データベース）」、「キュー」等のデータ構造やそれ以外で表現されていても良い。そのため、データ構造に依存しないことを示すために「テーブル」、「リスト」、「ＤＢ」、「キュー」等については、単に「情報」と呼ぶこともできる。また、各情報の内容を説明する際に、「識別情報」、「識別子」、「名」、「名前」、「ＩＤ」という表現を用いることが可能であり、これらについてはお互いに置換が可能である。

　以後の説明では「プログラム」を主語として説明する場合があるが、プログラムはプロセッサによって実行されることで定められた処理をメモリ及び通信ポート（通信制御装置）を用いながら行うため、プロセッサを主語とした説明としてもよい。また、プログラムを主語として開示された処理は管理サーバ等の計算機、情報処理装置が行う処理としてもよい。プログラムの一部または全ては専用ハードウェアで実現してもよく、また、モジュール化されていても良い。各種プログラムはプログラム配布サーバや記憶メディアによって各計算機にインストールされてもよい。

　図１は、本実施形態に係わる計算機システムの構成例を示すハードウェアブロック図である。計算機システム１は、少なくとも１つのホスト計算機１０（汎用大型コンピュータやサーバなど）と、少なくとも１つの管理装置（管理計算機）２０と、これらが接続される少なくとも１つのストレージ装置３０と、を有している。なお、ストレージ装置３０は、ストレージシステム、あるいはストレージサブシステムと言うこともできる。

　ホスト計算機１０は、ストレージ装置３０の論理的な記憶資源にアクセスする。管理装置２０は、ストレージ装置３０の記憶領域の構成を管理する。ストレージ装置３０は、物理ディスクデバイス３４に設定された記憶領域にデータを格納する。ホスト計算機１０は複数台でもよい。

　ホスト計算機１０は、例えば、入力デバイス、出力デバイス、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、メモリ、ディスクアダプタ、ネットワークアダプタ、及び、ディスクドライブを備える。

　入力デバイスは、ホスト計算機１０を操作する管理者等から入力を受け付ける手段であり、例えば、キーボードやマウス等で構成される。出力デバイスは、ホスト計算機１０の状態や設定項目を表示する手段であり、例えばディスプレイ装置やプリンタ等で構成される。ＣＰＵ（コントローラ、プロセッサ）は、ディスクドライブに格納されているプログラムをメモリに読み込んで、そのプログラムに規定された処理を実行する。メモリは、例えば、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）等で構成され、プログラムやデータ等を格納する。

　ディスクアダプタは、ストレージ装置３０とストレージエリアネットワーク１２１を介して接続し、ストレージ装置３０にデータを送受信する。ストレージエリアネットワーク１２１は、データ転送に適したプロトコル（例えば、Ｆｉｂｒｅ　Ｃｈａｎｎｅｌ）によって、データ転送を実現する。ストレージ装置３０のアダプタと直結でもよい。

　ネットワークアダプタは、管理装置２０又はストレージ装置３０と管理ネットワークであるネットワーク１０８を介してデータを送受信する。ネットワーク１０８は、例えば、ローカルエリアネットワーク（ＬＡＮ）、Ｅｔｈｅｒｎｅｔ（登録商標）で構成される。ディスクドライブは、例えばハードディスク装置で構成され、データやプログラムを格納する。

　管理装置２０は、例えば、入力デバイス、出力デバイス、ＣＰＵ、メモリ、ネットワークアダプタ、及び、ディスクドライブを有する。

　入力デバイスは、管理装置２０を操作する管理者等の入力を受け付ける手段で、例えばキーボードで構成される。出力デバイスは、管理装置２０の状態や設定項目を表示する手段で、例えば、ディスプレイ装置で構成される。

　ＣＰＵは、ディスクドライブに格納されている管理プログラムをメモリに読み込んで、そのプログラムに基づいて、ストレージ装置３０に対する管理処理を実行する。メモリは、例えばＲＡＭ等で構成され、プログラムやデータ等を格納する。

　ネットワークアダプタは、ホスト計算機１０又はストレージ装置３０とネットワーク１０８を介してデータを送受信する。ディスクドライブは、例えばハードディスク装置で構成され、データやプログラムを格納する。

　ストレージ装置３０は、コントローラ３１、少なくとも１つのキャッシュメモリ３２、少なくとも１つの共有メモリ３３、及び、物理ディスクデバイス３４を有する。コントローラ３１内部のハードウェア構成は冗長化されているものとする。

　コントローラ３１は、物理ディスクデバイス３４に構成された記憶領域へのデータの格納を制御する。キャッシュメモリ３２は、物理ディスクデバイス３４に読み書きされるデータを一時的に格納する。共有メモリ３３は、コントローラ３１や物理ディスクデバイス３４の構成情報を格納する。

　物理ディスクデバイス３４は、複数のディスク装置によって構成される。ディスク装置（記憶デバイス）は、例えばハードディスクドライブで構成され、主としてユーザデータを格納する。記憶デバイスとしては、フラッシュメモリなどの半導体メモリからなるドライブでもよい。ディスク装置は、ＲＡＩＤ構成に基づいてグループを構成する。

　コントローラ３１は、少なくとも、プロセッサ３６０を有するものであり、この実施形態では、さらに、ホストアダプタ３１０、ネットワークアダプタ３２０、不揮発性メモリ３３０、メモリ３５０、ストレージアダプタ３７０、及び、共有メモリアダプタ３８０を有している。

　ホストアダプタ３１０は、ストレージエリアネットワーク１２１を介してホスト計算機１０との間でデータを送受信する。ネットワークアダプタ３２０は、ネットワーク１０８を介してホスト計算機１０、又は、管理装置２０との間でシステム管理上必要なデータ（管理情報）を送受信する。

　不揮発性メモリ３３０は、ハードディスクやフラッシュメモリで構成され、コントローラ３１で動作するプログラムや構成情報等を格納する。

　メモリ３５０は、例えばＲＡＭ等で構成され、プログラムやデータ等を格納する。プロセッサ３６０は、不揮発性メモリ３３０に格納されているプログラムをメモリ３５０に読み込んで、そのプログラムに規定された処理を実行する。

　ストレージアダプタ３７０は、物理ディスクデバイス３４、及び、キャッシュメモリ３２との間でデータを送受信する。共有メモリアダプタ３８０は、共有メモリ３３との間でデータを送受信する。

　ネットワークアダプタ３２０の他のネットワークアダプタ３９０を設け、第２のネットワークを介してストレージ装置３０に外部のストレージ装置４０を接続してもよい。第２のネットワークは例えばストレージエリアネットワーク（ＳＡＮ）を用いることができる。ストレージ装置４０は、ストレージ装置３０と同等又は光ディスクライブラリなどでもよい。ストレージ装置４０はホスト計算機１０とはネットワークで直接接続しておらず、ストレージ装置３０を介してアクセスする。ストレージ装置４０は、ネットワーク１０８により管理装置２０と接続されている。

　図２は、ストレージ装置３０の図１とは異なる構成例を説明するための図である。図２には、本例のストレージ装置３０と図１のストレージ装置３０との違いを説明するのに必要な部分だけが示されている。

　この例では、プロセッサとメモリを単位としたアダプタ（パッケージ）を、ホスト計算機側のものと、ディスク装置側のものと２種類設ける。ドライブ装置側のものには、パリティ生成部３８０がある。パリティ生成部３８０は、物理デバイス（ハードディスク）に障害が発生した際にその障害により読み出せなくなったデータをリストアするための冗長コード（以下「パリティ」ともいう）を生成する。

　本実施形態では、パリティ生成部３８０は、パリティを生成するためのハードウェア回路であるが、コンピュータプログラムに組み込まれた機能であっても良い。パリティ生成部３８０は、例えば、データ単位を構成する複数のデータ要素の排他的論理和をとることによって（或いは、データ単位を構成する複数のデータ要素に所定の係数を掛けた後でそれぞれのデータの排他的論理和をとることによって）、パリティを生成する。

　図３は、図１とは異なる計算機システムの構成例を示すハードウェアブロック図である。

　この例では、計算機システムは、ストレージ装置３０と、ストレージ装置３０を利用するコマンド発行装置１０１Ａ、１０１Ｂと、ストレージ装置３０およびコマンド発行装置１０１Ａ、１０１Ｂを管理する管理装置２０とを含む。ストレージ装置３０は複数設けられてもよい。なお、ストレージ装置３０は、ストレージ装置、ストレージサブシステム、ユニファイドストレージシステムと呼ぶこともできる。

　コマンド発行装置１０１Ａ、１０１Ｂは、ストレージ装置３０を利用する計算機である。一方のコマンド発行装置１０１Ａは、ストレージ装置３０の有する論理的な記憶資源にアクセスするためのブロックコマンドを発行する計算機である。他方のコマンド発行装置１０１Ｂは、ストレージ装置３０に対してファイルコマンドを発行する計算機である。

　コマンド発行装置１０１Ａは、ブロックコマンド発行装置であり、ブロックインターフェースであるＦＣ（ＦｉｂｒｅＣｈａｎｎｅｌ）またはｉＳＣＳＩ（ｉｎｔｅｒｎｅｔ　Ｓｍａｌｌ　Ｃｏｍｐｕｔｅｒ　Ｓｙｓｔｅｍ　Ｉｎｔｅｒｆａｃｅ）等を備えている。コマンド発行装置１０１Ａは、通信ネットワークＣＮ１を介して、ストレージ装置３０の有するＨＢＡ３５Ａ、３５Ｂと通信する。

　コマンド発行装置１０１Ｂは、ファイルコマンド発行装置であり、ファイルインターフェースであるＮＦＳ（Ｎｅｔｗｏｒｋ　Ｆｉｌｅ　Ｓｙｓｔｅｍ）またはＣＩＦＳ（Ｃｏｍｍｏｎ　Ｉｎｔｅｒｎｅｔ　Ｆｉｌｅ　Ｓｙｓｔｅｍ）等を備えている。コマンド発行装置１０１Ｂは、通信ネットワークＣＮ２を介して、ストレージ装置３０の有するＮＩＣ３６Ａ、３６Ｂと通信する。

　管理装置２０は、ストレージ装置３０の記憶領域の構成を管理する。

　ストレージ装置３０は、ブロックコマンドおよびファイルコマンドのいずれも同時に処理可能なユニファイドストレージシステムとして構成されており、複数のクラスタ５０Ａ、５０Ｂを備える。各クラスタ５０Ａ、５０Ｂは、それぞれコントローラボード４１Ａ、４１Ｂを有する。ストレージ装置３０の構成において、添え字の「Ａ」または「Ｂ」は、所属先のクラスタを示す。所属先のクラスタを特に区別しない場合、添え字を取って説明する。

　ストレージ装置３０は、物理ディスクデバイス３４に設定された記憶領域にデータを格納する。ストレージ装置３０は、その内部に、制御プロセッサ（コントローラ）であるＣＰＵ３１、メモリ（キャッシュメモリ）３２、ディスクインターフェース３３、ＦＣインターフェースであるＨＢＡ３５（ＨＢＡターゲットであり、ホストアダプタとも言う）、ＬＡＮインターフェースであるＮＩＣ３６、管理用インターフェース３７等を備えている。

　ＣＰＵ３１、メモリ３２、ＨＢＡ３５、ＮＩＣ３６およびディスクインターフェース３３は、相互にバス３８を介して接続されている。バス３８は、例えばＰＣＩeであるが、スイッチからバス３８を構成してもよい。

　ＣＰＵ３１は、メモリ３２に格納されている各種プログラムおよびプログラムモジュールを実行する演算処理装置である。ＣＰＵ３１は、物理ディスクデバイス３４を用いて構成される論理的記憶領域へのデータ入出力等を制御する。

　メモリ３２は、いわゆる内部記憶装置であり、不揮発性メモリおよび揮発性メモリを含んでいる。不揮発性メモリは、ＣＰＵ３１で動作するプログラムおよび構成情報等を格納する。揮発性メモリは、演算処理結果を一時的に格納する。

　ディスクインターフェース３３は、物理ディスクデバイス３４とメモリ３２等との間のデータ送受信を担当する。

　物理ディスクデバイス３４は、図１と同様である。

　一つまたは複数の物理ディスクデバイス３４の有する記憶領域をグループ化し、そのグループ化された記憶領域から固定長または可変長で記憶領域を切り出すことで、論理的記憶領域である論理ボリュームを生成できる。その論理ボリュームには、主としてユーザデータが記憶される。なお、ＣＰＵ３１が実行するプログラムの全部または一部を、物理ディスクデバイス３４内に格納してもよい。

　物理ディスクデバイス３４は、ＲＡＩＤ構成（例えばＲＡＩＤ５やＲＡＩＤ６）に基づいてグループを構成する。

　本実施例のストレージ装置３０は、いわゆるユニファイドストレージシステムとして構成されているため、ブロックコマンドを処理するためのホスト側インターフェース（ＨＢＡ）３５と、ファイルコマンドを処理するためのホスト側インターフェース（ＮＩＣ）３６の両方を備えている。

　ＨＢＡ３５は、ネットワークＣＮ１を介してコマンド発行装置１０１Ａに接続されており、複数の通信ポートを有する。ＨＢＡ３５は、コマンド発行装置１０１Ａとの間でコマンドおよびデータを授受する。ネットワークＣＮ１は、例えばＦＣ、イーサネット（登録商標）等である。

　ＮＩＣ３６は、ネットワークＣＮ２を介してコマンド発行装置１０１Ｂに接続されており、複数の通信ポートを有する。ＮＩＣ３６は、例えばＮＦＳまたはＣＩＦＳ等のプロトコルによって、コマンド発行装置１０１Ｂとの間でコマンドおよびデータを授受する。ネットワークＣＮ２は、例えばＬＡＮ等のように構成される。

　コマンド発行装置１０１Ａ、１０１Ｂは、管理ネットワークＣＮ３を介して、管理装置２０に接続されている。コマンド発行装置１０１Ａ、１０１Ｂは、管理装置２０との間で、システム管理上必要なデータ（管理情報）を送受信する。

　ストレージ装置３０は、例えばＬＡＮのように構成される管理用インターフェース３７を備える。管理用インターフェース３７は、ＣＰＵ３１と接続される。ＣＰＵ３１は、ストレージ装置３０内のＣＰＵ３１以外の部位において障害が起こった場合、その障害に関する情報を、管理用インターフェース３７を介して、管理装置２０へ報告することができる。

　ストレージ装置３０は、可用性を高めるために、複数のクラスタ５０Ａ、５０Ｂを備える。

　ストレージ装置３０内には、クラスタ５０Ａ、５０Ｂを制御するためのコントローラボード４１Ａ、４１Ｂが設けられている。一方のコントローラボード４１Ａは、一方のクラスタ５０Ａを制御するもので、第１コントローラボードと呼ぶこともできる。他方のコントローラボード４１Ｂは、他方のクラスタ５０Ｂを制御するもので、第２コントローラボードと呼ぶこともできる。

　一方のコントローラボード４１Ａ内のＣＰＵ３１Ａと他方のコントローラボード４１Ｂ内のＣＰＵ３１Ｂとは、接続部４２を介して双方向通信可能に接続されている。接続部４２は、例えば、専用線のバス、またはスイッチ等として構成される。

　ここでは、ＣＰＵ間を直接通信する専用パスとする。

　一方のＣＰＵ３１Ａは、接続部４２を介して他方のＣＰＵ３１Ｂにアクセスすることができる。同様に、他方のＣＰＵ３１Ａは、接続部４２を介して一方のＣＰＵ３１Ａにアクセスすることができる。

　クラスタ５０Ａとクラスタ５０Ｂは、可用性を高めるためにクラスタ構成を組む。

　図４は、本実施形態のストレージ装置３０にて実行されるソフトウェアプログラムの構成例を示す図である。本例では、ソフトウェアプログラムには、データ生成・比較モジュール４０１、エラー検出処理モジュール４０２、エラーデータ特定処理モジュール４０３、および異常データ修復モジュール４０４といったプログラムモジュールが含まれている。ディスクデバイス管理テーブル５００およびグループ管理テーブル６００はソフトウェアプログラムによって参照される。

　ストレージ装置３０の電源が投入されると、図１のプロセッサ３６０または図３のＣＰＵ３１が物理ディスクデバイス３４内の記憶領域に格納されたプログラムをメモリ３５０またはメモリ３２内にロードし、実行する。
　バリエーションとして、メモリ３２が複数種類のメモリから成る場合もある。例えばフラッシュメモリボードがある。前記フラッシュメモリボード内には、プロセッサ、メモリが構成され、前記プログラムをフラッシュメモリボード内に格納して処理を行ってもよい。ストレージ装置３０内に専用の回路などのハードウェアを設けて前記プログラムを格納し回路内で処理をしてもよい。
　バリエーションとして、ホスト計算機１０及びコマンド発行装置１０１内のメモリまたは前述のようなメモリボード、専用の回路などのハードウェアに前記プログラムを格納してもよい。
　その際、パリティ演算のプログラムも同じ場所に格納してもよい。

　図５は、物理ディスクデバイス３４を管理するためのテーブル５００を示す図である。物理ディスクデバイス３４は、ディスクデバイスの駆動を制御する機構であるディスクドライブユニット５０１からなる。制御する機構とは例えば制御回路である。デバイス番号は、ディスクデバイスを識別するための番号５０２である。物理ディスクデバイス３４が有する使用量の記憶容量（記載無し）や、物理ディスクデバイス３４が属するＲＡＩＤグループ番号５０３である。５０１と５０２の組み合わせではなく、物理ディスクデバイス３４を通し番号で管理してもよい。物理ディスクデバイス３４の状態を５０４に示す。例えば、正常に稼働している場合は「正常」、予備ディスクとして待機中の場合は「予備」、障害により、修復中である場合などは「故障」などとなる。

　図６は、ＲＡＩＤグループ番号を管理するテーブル例を示す図である。ＲＡＩＤグループ番号６０１、ＲＡＩＤレベル６０２を含む。ＲＡＩＤグループは、単体のディスクデバイスをグループ化しＲＡＩＤ化したものである。１つのＲＡＩＤグループからホスト計算機１０が使用する論理デバイスを複数構成する。

　図７は、障害発生ケースを説明するための図である。

　図７Ａは、冗長度が２の場合である。冗長度の一つであるパリティを２つ持つ方式を例として説明する。データ単位を構成するデータ要素（以下単に「データ」ともいう）は２つのケースを示すが、２つ以上の場合も同じである。

　障害発生ケースとして全パターンを２００Ａに示す。図中の「○」（丸印）は正常を示し、「×」（バツ印）は障害を示す。例えば２１０Ａでは、１つのストライプ単位のうち、データ２つは正常、パリティのうち１つに障害が発生している場合を示す。２１０Ａは、２１１Ａのように、一方のパリティが障害である場合と、２１２Ａのように、もう一方のパリティの障害である場合がある。どちらのパリティが障害であるかは、本発明の本質には関係が無く、パリティの障害がいくつあったか、が重要であるため、２１１Ａと２１２Ａのパターンを集約して２１０Ａとする。２２０Ａは、データ１つのみ障害が有ったことを示す。

　２３０Ａ～２５０Ａは２重障害のケースである。２３０Ａはパリティが２つとも障害の場合、２４０Ａはデータとパリティそれぞれ１つずつ障害がある場合、２５０Ａはデータが２つとも障害のケースである。

　図７Ｂは、冗長度が３の場合である。前述の冗長度が２の場合とほぼ同様となる。

　例えば２１０Ｂでは、データ３つは正常、パリティのうち１つに障害が発生している場合を示す。２１０Ｂは、２１１Ｂ、２１２Ｂ、２１３Ｂのように、パリティのうちどこか１つのパリティが障害となっている場合の３通りがある。どのパリティが障害であるかは、発明の本質には関係が無く、パリティの障害がいくつあったか、が重要であるため、２１１Ｂ、２１２Ｂ、２１３Ｂのパターンを集約して２１０Ｂとする。

　冗長度がｎの場合においても、同様に障害状況を整理することができる。

＜概要＞
　まず、本実施形態によるストレージ装置３０のコントローラ３１の機能構成および動作の概要について説明する。ここでは図１および図４を参照し、図４に示したプログラムモジュールを主語として動作を説明する。この概要説明の後に本実施形態の詳細な説明について述べる。その詳細な説明により本実施形態の構成および動作がより良く理解されるであろう。

　図１を参照すると、ストレージ装置３０はコントローラ３１を備えており、複数のデータ要素に分割して複数の物理デバイス３４（記憶装置）に格納されるデータを管理する。

　複数のデータ要素を含むデータに対して、複数の異なる演算方法で予め生成された複数の冗長コード（旧冗長コード）が、データに対する冗長コード（パリティ）として物理ディスクデバイス３４に格納されている。

　図４に示した、エラー検出処理モジュール４０２は、物理ディスクデバイス３４に格納されたデータから複数の演算方法で新たな冗長コード（新冗長コード）を算出する。ここでいう複数の演算方法には、後述する第１演算方法と第２演算方法が含まれる。エラー検出処理モジュール４０２は、全ての演算方法で旧冗長コードとその旧冗長コードに対応する新冗長コードとが一致であれば、データおよび旧冗長コードのいずれも誤っていないと判定する。また、エラー検出処理モジュール４０２は、全ての演算方法で旧冗長コードとその旧冗長コードに対応する新冗長コードとが不一致であれば、データが誤っていると判定する。また、エラー検出処理モジュール４０２は、一部の演算方法で旧冗長コードとその旧冗長コードに対応する新冗長コードとが不一致であれば、その旧冗長コードが誤っていると判定する。これにより、本実施形態では、データが破損している場合だけでなく、冗長コードが破損している場合にも破損箇所を特定することができる。

　エラーデータ特定処理モジュール４０３は、データに含まれる第１データ要素を除いた他のデータ要素と、データの第１演算方法による新冗長コードとで第１データ要素を復元し、それを第１復元演算第１データ要素とする。また、エラーデータ特定処理モジュール４０３は、同じく第１データ要素を除いた他のデータ要素と、データの第２演算方法による新冗長コードとで第１データ要素を復元し、それを第２復元演算第１データ要素とする。そして、エラーデータ特定処理モジュール４０３は、第１復元演算第１データ要素と第２復元演算第１データ要素とが一致したら、第１データ要素が誤っていると判断する。

　異常データ修復モジュール４０４は、エラーデータ特定処理モジュール４０３にて誤っていると判定された、物理ディスクデバイス３４内の第１データ要素を、第１復元演算第１データ要素または第２復元演算第２データ要素に修正する。

　本実施形態によれば、データから任意のデータ要素を除去した残りのデータ要素と、複数の演算方法によるそれぞれの冗長コードとで、除去したデータ要素を復元し、複数の演算方法で同じデータ要素の値が復元される場合に、その除去したデータ要素が誤っていると判断し、その復元されたデータ要素の値に修正するので、冗長コードを付加したデータの破損部位の特定および修復の確度を向上することができる。

　また、エラー検出処理モジュール４０２は、旧冗長コードが誤っていると判定したら、物理ディスクデバイス３４内の冗長コードを、対応する新冗長コードに修正する。これによれば、冗長コードが破損している場合に、それを修復することができる。

　また、エラーデータ特定処理モジュール４０３は、第１データ要素として除外するデータ要素の個数を１個から（冗長コードの個数－１）個までの範囲で変更しながら、誤っているデータ要素を探索する。例えば、除外するデータ要素を１個から徐々に増やして行けばよい。これによれば、（冗長コードの個数－１）個までのデータ要素の破損を特定し、修復することができる。

　また、エラー検出処理モジュール４０２は、物理ディスクデバイス３４間のデータ移動が発生すると、それに応じて処理を実行する。これによれば、データ等の破損が発生する可能性が比較的高い事象が起こったときに、破損の検出および修復を行うので、効率よく破損の検出および修復を行うことができる。

　以下、本実施形態の詳細について説明する。

＜ベリファイ方式＞
　本実施形態におけるエラー検出とエラーデータ特定処理を説明する。

　本処理は、例えば、ＬＵ毎に、ＬＵ内のストライプ単位に、例えばアドレス順などで順次処理をする。

　処理対象となるデータがクリーン（物理ディスク装置へ最新データが格納されていて、格納されたデータと同じデータがキャッシュに格納されている状態）であった場合、チェックせずに次のストライプへ処理対象を移動する。また、処理対象となるデータがダーティ（最新データが物理ディスク装置へ格納されていなくキャッシュメモリ上に格納されている状態）であった場合は、そもそもデータ自体が異なるため、本処理は意味が無いので、処理対象を移動する。

　ストライプ単位のデータのうち、一部がキャッシュメモリに格納されていない場合は、ディスク装置からキャッシュメモリにデータとパリティを読み出し（ステージング）、処理を行う。

　また、別の方法では、物理ディスクデバイス装置が故障しているかどうかを検出するため、ストライプ単位のデータがクリーンでキャッシュメモリに格納されていてもステージングして処理を行う。

＜エラー検出処理＞
　図８は、エラー検出処理を示すフローチャートである。

　１つのストライプ単位のチェック処理である。

　冗長度ｍ、データ数ｎとする。データをＤと示し、パリティをＰと示す。

　現在の全データＤｘ（ｘ＝１～ｎ）からパリティを算出する。パリティＰ１は、パリティＰ１用の計算式で算出したパリティであり、パリティＰ２は、パリティＰ１用とは異なるパリティＰ２用の計算式で算出したパリティである。このようにして、全てのパリティＰ１～Ｐｍを生成する。パリティ計算式とは、例えば、ＥＯＲなどを用いた所定の計算式である。これを新パリティＰ１～Ｐｍとする（Ｓ１０）。以下、新パリティを新Ｐ、旧パリティを旧Ｐと呼ぶことがある。

　ディスク装置からパリティ部分を読み出し、旧Ｐとし、新Ｐｘと旧Ｐｘが等しいか否かを判定する（Ｓ１１）。全Ｐを比較し、新Ｐｘと旧Ｐｘの値が等しいものがなく、全て異なった場合は、Ｓ１３へ進み、一つでも等しい組み合わせが有った場合は、Ｓ１４へ進む（Ｓ１２）。

　Ｓ１４で新旧パリティＰが等しいものが１つでも見つかった場合は、データＤ全てが正しく、それ以外の旧パリティが異常値であると判断し、新旧のパリティが一致しなかった箇所の旧パリティを新パリティの値によって上書きすることにより更新する（Ｓ１５）。これでエラー修正処理を終了する。このとき、ユーザまたは本処理の指示元に「エラー箇所は修正完了」を報告してもよい。

　Ｓ１４で新旧パリティが全て等しい場合、エラー箇所がないため、処理を終了する。このときユーザまたは本処理の指示元に「エラー箇所は無し」を報告してもよい。

　Ｓ１２で全ての新旧パリティが異なる場合、データ内に異常がある可能性が高いと判断し、エラーデータを特定するための「エラーデータ特定処理」へ進む（Ｓ１３）。

＜エラーデータ特定処理＞
　図９は、図８の処理において、新旧パリティが全て異なるという結果であった場合に起動する処理を示すフローチャートである。

　従って、図９の処理が起動されるということは、データのどこかに異常があるか、データは全て正しいのにもかかわらず、旧パリティが全て壊れている、または、何らかの要因により正しく読めない等の場合である。

　図９のエラーデータ特定処理のフローチャートに従って説明する。

　冗長度カウンタをｃとする。ｃ＝１というのは、１重エラー、即ち、データの１箇所がエラーである仮定して調査を行うことを意味する。

　ストライプ単位に持つパリティの冗長度より１つ少ない個数までのエラーであれば、エラー箇所を特定できる。本実施形態では一例として冗長度が２なので、１重障害の場合のエラー箇所を特定することができ、２重障害以上はエラー箇所を特定できないということになる。

　変数ｃに初期値１を代入する（Ｓ２０）。

　データを既存パリティから生成して比較する処理を行う（Ｓ２１）。本処理の詳細は後述する。Ｓ２１により同じデータが見つかった場合（Ｓ２２）は、異常であるデータを修復する（Ｓ２３）。本処理の詳細は後述する。Ｓ２２において、同じデータが見つからなかった場合は、カウンタｃを１つ進めて（Ｓ２４）、ｃが冗長度を越えていないかチェックをし（Ｓ２５）、越えていなければＳ２１から同じ処理を繰り返す。Ｓ２２にてエラーデータが見つからないまま、ｃが冗長度を越えた場合は（Ｓ２５でＮｏ）、データ特定できる冗長度を越えていると判断できる。その場合は、従来と同じように、バックアップからデータを復元することを指示する（Ｓ２６）。

＜ステップＳ２１の処理の詳細＞
　図１０は、データを既存パリティから生成して比較する処理を示すフローチャートである。

　まず、変数ｘに初期値を代入する（Ｓ２１０）。ｘはストライプ内のデータの番号を示し、ｘはｘ番目のデータを他のデータとパリティから生成して調査することを示すカウンタである。

　ｃは冗長度カウンタであり、図９のフローチャート側でカウントアップしてその値を入力値として受け取り処理をする。

　全パリティの中からパリティを選択する。例えば、冗長度２の場合におけるｃ＝１の場合は、第一パリティと第二パリティが選択される。また、冗長度３の場合におけるｃ＝１の場合は、第一パリティと第二パリティと第三パリティのうち、どれか２つを選択する。例えば、第一パリティと第二パリティでもよいし、第二パリティと第三パリティでもよい。冗長度３の場合におけるｃ＝２の場合は、第一パリティと第二パリティと第三パリティのうち、２ペアのパリティを選択する。例えば、第一パリティと第二パリティのペアと、第一パリティと第三パリティのペアでもよい。

　データＤｘ以外の他のデータと、パリティからＤｘを生成する（Ｓ２１４）。Ｄｘは２通りの方法で生成され、新規に生成したデータをＤｘ´とＤｘ´´とする。

　Ｄｘ´とＤｘ´´が等しい場合（Ｓ２１６）、同じものがあったことを応答して本処理を終了する（Ｓ２１８）。Ｄｘ´とＤｘ´´が等しくない場合、他のパリティの組み合わせが残っていれば（Ｓ２２０）、そのパリティを使って新規にＤｘ´とＤｘ´´を生成する処理に戻る（Ｓ２１２へ）。

　全てのパリティの組み合わせを実施し、選択するパリティが残っていない場合は（Ｓ２２０でＮｏ）、対象とするデータを変えるために、変数ｘに１を加算する（Ｓ２２２）。１を加算した後のｘがデータ数ｎを越えていなければ処理を繰り返し（Ｓ２２４のＹｅｓ）、越えていれば、互いに同じ値のデータＤｘ´、Ｄｘ´´が見つからなかったことを応答し、処理を終了する（Ｓ２２６）。

　図１０のステップＳ２１６で同じデータが見つかった場合は、図９のＳ２２に戻った後、Ｓ２３の異常データ修復処理へ進む。

＜ステップＳ２３の処理の詳細＞
　図１１は、異常データ修復処理を示すフローチャートである。

　Ｄｘ´とＤｘ´´が等しく、Ｄｘが異常データであると判断されたため、Ｄｘの値をＤ´（またはＤ´´でもよい）の値に更新する（Ｓ２３０）。データ部分が全て更新されたら、新データから新パリティをそれぞれ生成し直す。旧パリティが新パリティと異なるものがあれば、旧パリティを新パリティの値に更新する。

　本処理では、（冗長度－１）個までの異常データは対応できる。異常データそれよりも多い場合、エラー数やエラー箇所が判断できないので、従来のようにバックアップしたものからデータを復元することになる。

　図１２は、冗長度が２の場合のデータ修復の様子を示す図である。データＤ１を２通りの方法で生成する。一つは、Ｄ１以外の他のデータＤ２～Ｄ６と第一のパリティＰ（旧）から生成する新データＤ１´、もう一つはＤ１以外の他のデータＤ２～Ｄ６と第二のパリティＱ（旧）から生成する新データＤ１´´である。

　新データＤ１´と新データＤ１´´とが等しければ、データＤ２～Ｄ６、及び、第一のパリティＰ、及び、第二のパリティＱは正しいと判断できる。そのため、除外していたＤ１がエラーデータであると判断できる。一方、新データＤ１´と新データＤ１´´とが等しくなければ、データＤ２～Ｄ６、及び、第一のパリティＰ、及び、第二のパリティＱの中に、エラーデータがあることが判明する。この場合、データＤ１は正しいか異常かは判断できない。

　同様にデータＤ２についても、新データＤ２´と新データＤ２´´を作成して比較する。同様の処理をデータＤ６までに対して行い、一度も２つの新データが等しいということが無ければ、Ｓ２４へ進む。２つの新データが等しいものが見つかれば、その時点でＳ２３へ進む。

　図１３Ａ～Ｃは、物理デバイスへのデータの格納の様子を示す図である。

　図１３Ａでは、５個の物理ディスクデバイス３４によってＲＡＩＤグループ３４１が構成されている。ストライプは、Ｄ１、Ｄ２、Ｄ３、Ｐ、Ｑからなる。１つのストライプ内のデータＤ１、Ｄ２、Ｄ３及びパリティＰ、Ｑは同じＲＡＩＤグループ３４１内に存在し、それぞれを互いに異なる物理ディスクへ格納することにより、可用性の向上が図られている。

　一例として、図１３Ａに示されているようにデータＤ１とデータＤ２が異常となった場合を説明する。ＲＡＩＤ６により、冗長度２でパリティＰとＱがそれぞれ物理デバイスに格納されている。異常となったデータＤ１、Ｄ２を除いた残りの正常なデータＤ３と２つのパリティＰ、Ｑとにより、正常なＤ１とＤ２を復元することができる。このときＤ１とＤ２をそれぞれ別個の式で算出してもよい。または、データＤ３とパリティＰ、Ｑとから正常なＤ１を算出し、算出した正常なＤ１とデータＤ３とパリティＰ、Ｑとから正常なＤ２を算出してもよい。データの復旧方法は、通常のＲＡＩＤ６におけるデータ復旧方法による。

　図１３Ｂでは、８個の物理ディスクデバイスがあり、そのうちの３個の物理ディスクデバイスに格納されたデータＤ１、Ｄ２、Ｄ３と、２個の物理ディスクデバイスに格納されたパリティＰ、Ｑとが同一のデータ単位のデータとパリティである。それらが同一のストライプに属し、ストライプ内にはデータもパリティも格納されず空けてある３個の物理ディスクデバイスが存在する。

　図１３Ｃに示すようにデータ要素およびパリティが格納されている状態において、左側の２つの物理ディスクデバイスが故障した場合、ＲＡＩＤ６のデータ復旧方法により、必要なデータ要素やパリティを復元することができる。復元されたデータは、空けてある物理ディスクデバイスに格納される。

　図１３Ｃには、１６個の物理ディスクデバイス３４によって仮想プール空間を構成し、仮想プール空間に６Ｄ＋２ＰのＲＡＩＤグループを構成した例を示している。ここで、同図において、Ｄ１＿１、Ｄ２＿１、Ｄ３＿１、Ｄ４＿１、Ｄ５＿１、Ｄ６＿１、Ｐ＿１、Ｑ＿１のように、「＿」の後の数字が共通するものが、同一のデータ単位におけるデータ要素及びパリティであること、すなわち、同一のストライプ列に属することを示す。

　図１３Ｃに示すようにデータ要素及びパリティが格納されている状態において、左側の２つの物理ディスクデバイス３４が故障した場合であっても、ＲＡＩＤ６のデータ普及方法により、必要なデータ要素やパリティを復元することができる。しかしながら、更にもう一つの物理ディスクデバイス３４が故障してしまうと、復元できなくなってしまう可能性のあるデータ要素及び／又はパリティ（ワーニングデータという）が存在する。具体的には、故障している物理ディスクデバイス３４に、同一のストライプ列の２つのストライプデータ要素が格納されている場合、そのストライプ列に属するストライプデータ要素が、このような復元できないストライプデータ要素に該当する。

　同図においては、故障している物理ディスクデバイス３４に格納されている同一のストライプ列の２つのストライプデータ要素としては、データ要素Ｄ２＿２及びデータ要素Ｄ３＿２と、データ要素Ｄ４＿４及びデータ要素Ｄ５＿４とがある。以下、ワーニングデータを含むパーセルをワーニングパーセルという。

　そこで、更に他の物理ディスクデバイス３４が故障してしまうと復元できなくなるワーニングデータを優先して復元する。例えば、同図に示すデータ要素Ｄ３－２や、データ要素Ｄ５＿４を、別の物理ディスクデバイス３４上に優先して復元する。これにより、さらにもう１つの物理ディスクデバイス３４が故障したとしても、ワーニングパーセルを高速に復元が可能となるため、データ要素Ｄ２＿２と同一のストライプ列のデータ要素を適切に復元できる確率が高くなる。この確率は、ストライプ列を分散させるドライブ数が多ければ多いほど高いという特性を持つ。データを物理ディスクデバイス３４に格納する方法として、このような格納方法もある。

＜起動タイミング＞
　エラー検出処理及びエラーデータ特定処理はＬＵ単位で起動され、その起動タイミングとしては以下に示すものを含む様々なバリエーションがある。

　（１）常時実行モード
　エラー検出処理とエラーデータ特定処理を他の処理と非同期で周期的に実行する。具体的には、予め実行時刻や実行間隔などを決めておき、通常のＩ／Ｏ処理のバックグラウンドで実行することが考えられる。

　また、この周期的に処理を実行するのに加えて、Ｉ／Ｏが発生したときにそれに同期して処理を実行することにしてもよい。

　（２）リモート起動
　ユーザが管理装置や端末から実行を指示したタイミングでエラー検出処理とエラーデータ特定処理を実行する。例えば、ネットワーク経由でストレージ装置に接続された管理装置あるいは端末からの指示で処理を実行すればよい。また、他のストレージ装置から受信した指示に従って処理を実行することにしてもよい。

　（３）ドライブコピー後実行モード
　コレクションコピーあるいはダイナミックスペアリングなどのドライブコピーをすると、一部のデータだけその格納位置が変更される。その際にデータ格納位置情報にエラーが起こると、例えば、その後、新しい格納位置からではなく、古い格納位置からデータを読み出してしまうといったことが起こる可能性がある。このように、ドライブコピー実行後はエラーが起こる可能性が比較的高まっている。そこで、そのタイミングでエラー検出処理とエラーデータ特定処理を実行するとよい。

　また、上述した（１）または（３）の起動タイミングでエラー検出処理とエラーデータ特定処理を実行するか否かを設定することができるようになっていてもよい。それを例えばＬＵ単位に設定できてもよい。例えば、バックグラウンド処理による負荷を上げたくない場合には、（１）、（３）のいずれかあるいは両方の起動タイミングでエラー検出処理とエラーデータ特定処理を実施しないように設定してもよい。また、バックグラウンド処理による負荷を上げたくないＬＵには、（１）、（３）のいずれかあるいは両方の起動タイミングでエラー検出処理とエラーデータ特定処理を実施しないように設定してもよい。

　また、本実施形態では、上述したエラー検出処理にてエラーが見つかったときに、その旨をホスト計算機１０へ報告する。エラーが検出され、エラーデータの特定と復元の処理を行っている途中の箇所に対するＩ／Ｏを発行しないように、ストレージ装置３０より上位のホスト計算機１０にて制御することができる。

　また、ストレージ装置３０は、上述したエラーが見つかり、エラーデータの特定と復元の処理を行っている途中に、対象箇所に対するＩ／Ｏを受けた場合に、そのＩ／Ｏ処理を行わずに、Ｉ／Ｏが行われなかった旨をホスト計算機１０に報告してもよい。

　また、エラー復元中のため発行しなかったＩ／Ｏまたはエラー復元中のため実行されなかった旨がストレージ装置３０から報告されたＩ／Ｏを、それを受け付けた順番にスケジュールして待ち合わせておき、復元が終了した後に、そのスケジュールに従ってＩ／Ｏを発行することにしてもよい。その場合、Ｉ／Ｏの待ち合わせは、データの更新状態に影響が発生しない範囲、データ更新の遅延が許容できる範囲で行うことにしてもよい。

　また、上述したように、本実施形態によれば、サイレントデータコラプションを発見し、エラー部位を特定でき、自動的に異常データを復元することが可能となる。例えば、データの書き込みが実施された後、次にそのデータが読み出されるまでの時間が長い場合、その間に発生したサイレントデータコラプションを復元し、読み出し時には正しいデータが読み出されるようにすることができるので、特に有効である。

１…計算機システム、１０…ホスト計算機、１０１Ａ…コマンド発行装置、１０１Ｂ…コマンド発行装置、１０８…ネットワーク、１２１…ストレージエリアネットワーク、２０…管理装置、３０…ストレージ装置、３１…ＣＰＵ(コントローラ）、３１０…ホストアダプタ、３１Ａ…ＣＰＵ、３１Ｂ…ＣＰＵ、３２…メモリ（キャッシュメモリ）、３２０…ネットワークアダプタ、３３…ディスクインターフェース、３３…共有メモリ、３３０…不揮発性メモリ、３４…物理ディスクデバイス、３４０…電源制御部、３４１…ＲＡＩＤグループ、３５、３５Ａ、３５Ｂ…ＨＢＡ、３５０…メモリ、３６、３６Ａ、３６Ｂ…ＮＩＣ、３６０…プロセッサ、３７…管理用インターフェース、３７０…ストレージアダプタ、３８…バス、３８０…パリティ生成部、３８０…共有メモリアダプタ、３９０…ネットワークアダプタ、４０…ストレージ装置、４０１…データ生成・比較モジュール、４０２…エラー検出処理モジュール、４０３…エラーデータ特定処理モジュール、４０４…異常データ修復モジュール、４１Ａ…コントローラボード、４１Ｂ…コントローラボード、４２…接続部、５００…ディスクデバイス管理テーブル、５０１…ディスクドライブユニット

Claims

　複数のデータ要素に分割して複数の記憶装置に格納されるデータを管理する制御部を有するストレージ装置であって、
　複数のデータ要素を含むデータに対して、複数の異なる演算方法で予め生成された複数の旧冗長コードが、前記データに対する冗長コードとして前記記憶装置に格納されており、
　前記制御部が、
　前記データに含まれる第１データ要素を除いた前記データの他のデータ要素と前記データの第１演算方法による新冗長コードとで前記第１データ要素を復元した第１復元演算第１データ要素と、前記他のデータ要素と前記データの第２演算方法による新冗長コードとで前記第１データ要素を復元した第２復元演算第１データ要素と、が一致したら、前記第１データ要素が誤っていると判断する特定部と、
　前記特定部にて誤っていると判定された前記記憶装置内の前記第１データ要素を、前記第１復元演算第１データ要素または前記第２復元演算第２データ要素に修正する修復部と、
を有する、ストレージ装置。
　前記制御部が、
　前記記憶装置に格納された前記データから前記複数の演算方法で新冗長コードを算出し、全ての演算方法で旧冗長コードと該旧冗長コードに対応する新冗長コードとが一致であれば、前記データおよび前記旧冗長コードのいずれも誤っていないと判定し、前記全ての演算方法で旧冗長コードと該旧冗長コードに対応する新冗長コードとが不一致であれば、前記データが誤っていると判定し、一部の演算方法で旧冗長コードと該旧冗長コードに対応する新冗長コードとが不一致であれば、該旧冗長コードが誤っていると判定する検出部を、更に有し、
　前記特定部は、前記検出部にて前記データが誤っていると判定されると、前記データに含まれるどのデータ要素が誤っているかを特定する、
請求項１に記載のストレージ装置。
　前記検出部は、前記旧冗長コードが誤っていると判定したら、前記記憶装置内の冗長コードを前記新冗長コードに修正する、
請求項２に記載のストレージ装置。
　前記特定部は、前記第１データ要素として除外するデータ要素の個数を１個から（冗長コードの個数－１）個までの範囲で変更しながら、誤っているデータ要素を探索する、請求項１に記載のストレージ装置。
　前記検出部は、記憶装置間のデータ移動が発生すると、それに応じて処理を実行する、
請求項２に記載のストレージ装置。
　前記特定部と前記修復部のいずれか一方または両方は、前記ストレージ装置内のメモリに格納したプログラムをプロセッサが実行することにより実現される、請求項１に記載のストレージ装置。
　前記特定部と前記修復部のいずれか一方または両方は、前記ストレージ装置内のハードウェア回路によって構成されている、請求項１に記載のストレージ装置。
　複数のデータ要素に分割して複数の記憶装置にデータが格納され、複数のデータ要素を含むデータに対して、複数の異なる演算方法で予め生成された複数の旧冗長コードが、前記データに対する冗長コードとして前記記憶装置に格納されるストレージ装置と、
　前記ストレージ装置にネットワーク経由で接続される外部装置と、を有し、
　前記外部装置が、
　前記データに含まれる第１データ要素を除いた前記データの他のデータ要素と前記データの第１演算方法による新冗長コードとで前記第１データ要素を復元した第１復元演算第１データ要素と、前記他のデータ要素と前記データの第２演算方法による新冗長コードとで前記第１データ要素を復元した第２復元演算第１データ要素と、が一致したら、前記第１データ要素が誤っていると判断する特定部と、
　前記特定部にて誤っていると判定された前記記憶装置内の前記第１データ要素を、前記第１復元演算第１データ要素または前記第２復元演算第２データ要素に修正する修復部と、を有する、ストレージシステム。
　複数のデータ要素に分割して複数の記憶装置に格納するストレージ装置におけるデータ管理方法であって、
　複数のデータ要素を含むデータに対して、複数の異なる演算方法で予め生成された複数の旧冗長コードが、前記データに対する冗長コードとして前記記憶装置に格納されており、
　前記データに含まれる第１データ要素を除いた前記データの他のデータ要素と前記データの第１演算方法による新冗長コードとで前記第１データ要素を復元した第１復元演算第１データ要素と、前記他のデータ要素と前記データの第２演算方法による新冗長コードとで前記第１データ要素を復元した第２復元演算第１データ要素と、が一致したら、前記第１データ要素が誤っていると判断し、
　誤っていると判定された前記記憶装置内の前記第１データ要素を、前記第１復元演算第１データ要素または前記第２復元演算第２データ要素に修正する、
データ管理方法。
　前記記憶装置に格納された前記データから前記複数の演算方法で新冗長コードを算出し、
　全ての演算方法で旧冗長コードと該旧冗長コードに対応する新冗長コードとが一致であれば、前記データおよび前記旧冗長コードのいずれも誤っていないと判定し、前記全ての演算方法で旧冗長コードと該旧冗長コードに対応する新冗長コードとが不一致であれば、前記データが誤っていると判定し、一部の演算方法で旧冗長コードと該旧冗長コードに対応する新冗長コードとが不一致であれば、該旧冗長コードが誤っていると判定し、
　前記データが誤っていると判定されると、前記データに含まれるどのデータ要素が誤っているかを特定する、
請求項９に記載のデータ管理方法。