WO2015104835A1

WO2015104835A1 - データベースシステムの制御方法及びデータベースシステム

Info

Publication number: WO2015104835A1
Application number: PCT/JP2014/050322
Authority: WO
Inventors: 規子長江; 憲宏原
Original assignee: 株式会社日立製作所
Priority date: 2014-01-10
Filing date: 2014-01-10
Publication date: 2015-07-16
Also published as: US10078558B2; US20160170845A1

Abstract

　データベースを提供する第１のサイトと、前記データベースの複製を格納する第２のサイトと、を有し、第１のサイトの第１の計算機が、データベースの処理を行って、データベースのデータを更新し、第１のサイトの第１の正ストレージがデータベース管理部とは非同期でデータを第２のサイトの第２の正ストレージへ送信し、第１のサイトの第１の副ストレージがデータベース管理部とは非同期でデータを第２のサイトの第２の副ストレージへ送信し、第２のサイトの第２の計算機が、所定のタイミングで第２の正ストレージのデータと、第２の副ストレージのデータを比較した結果、第２の正ストレージのデータと第２の副ストレージのデータが一致しない場合にはデータベースを回復する。

Description

データベースシステムの制御方法及びデータベースシステム

　本発明は、ディザスタリカバリを利用したデータベースシステムに関する。

　ディザスタリカバリを利用するデータベース管理システム（以下、ＤＢＭＳ）では、ストレージ装置のリモートコピー機能を使用し、データベースのログをメインシステムからリモートシステムへ転送及び書き込んで同期させ、データベースのデータ（ＤＢデータ）およびチェックポイント情報については非同期でリモートサイトへ転送及び書き込みする方法が知られている（例えば、特許文献１、２）。

　また、データベースシステムに障害が発生した後に回復する手法としては、ログを用いる技術が知られている（例えば、特許文献３）。

特許第４３０１８４９号公報特開２００５－２６７３０１号公報米国特許第５６４０５６１号公報

　しかしながら、上記従来例では、データベースのログをリモートシステムと同期させるため、ログの生成、格納及び転送の処理が必要となる。このログの同期処理に計算機のリソースが使用されるため、メインシステムのＤＢＭＳのオンライン性能等の処理能力が低下する場合があった。特に、ビッグデータなどの大量のデータを処理する場合には、メインシステムのＤＢＭＳではログを処理するために処理能力が低下する。

　さらに、上記従来例では、メインシステムで障害が発生したときには、リモートシステムでデータベースを回復することができる。しかし、メインシステムに障害が発生した後にリモートシステムで障害が発生した場合はデータベースの回復が難しい、という問題があった。

　そこで本発明は、メインシステムの処理能力への影響を抑制しながら、メインシステムで障害が発生したときにはリモートシステム側で迅速にデータベースを回復し、リモートシステムのみの状態でも信頼性を確保することを目的とする。

　本発明は、データベースを提供する第１のサイトと、前記データベースの複製を格納する第２のサイトと、を有して第２のサイトの管理計算機で前記データベースを回復するデータベースシステムの制御方法であって、前記第１のサイトは、プロセッサとメモリを含んで前記データベースを制御するデータベース管理部を稼働させる第１の計算機と、前記データベースに関連するデータを格納する第１の正ストレージ装置と、前記第１の正ストレージ装置に格納される前記データの複製を格納する第１の副ストレージ装置と、を有し、前記第２のサイトは、プロセッサとメモリを含んで前記データベースを回復する再開始処理部を稼働させる第２の計算機と、前記第１の正ストレージ装置から受信した前記データを格納する第２の正ストレージ装置と、前記第１の副ストレージ装置から受信した前記データを格納する第２の副ストレージ装置と、を有し、前記制御方法は、前記第１の計算機が、前記データベースの処理を行って、前記データベースのデータを更新する第１のステップと、前記第１の正ストレージ装置が、前記データベース管理部とは非同期で、前記データを前記第２の正ストレージ装置へ送信する第２のステップと、前記第１の副ストレージ装置が、前記データベース管理部とは非同期で、前記データを前記第２の副ストレージ装置へ送信する第３のステップと、前記第２の計算機が、所定のタイミングで前記第２の正ストレージ装置のデータと、前記第２の副ストレージ装置のデータを比較する第４のステップと、前記第２の計算機が、前記比較の結果、前記第２の正ストレージ装置のデータと、前記第２の副ストレージ装置のデータが一致しない場合には、前記データベースを回復する第５のステップと、を含む。

　本発明によれば、データベース管理部とは非同期のバックアップによって第１のサイト（メインシステム）の処理能力への影響を抑制しながら、メインシステムで障害が発生したときには第２のサイト（リモートシステム）で確実にデータベースを回復することができ、リモートシステムの信頼性を確保できる。

本発明の第１の実施例を示し、データベースシステムの一例を示すブロック図である。本発明の第１の実施例を示し、ホストコンピュータの一例を示すブロック図である。本発明の第１の実施例を示し、正ストレージシステムの一例を示すブロック図である。本発明の第１の実施例を示し、正ログ及び正チェックポイント情報の関係を示す図である。本発明の第１の実施例を示し、ＤＢ－ボリュームマッピングテーブルの一例を示す図である。本発明の第１の実施例を示し、ＤＢ定義情報テーブルの一例を示す図である。本発明の第１の実施例を示し、チェックポイント情報管理テーブル＃１の一例を示す図である。本発明の第１の実施例を示し、チェックポイント情報管理テーブル＃２の一例を示す図である。本発明の第１の実施例を示し、ＷＲＩＴＥ時刻管理テーブル（メイン側正ストレージシステム）の一例を示す図である。本発明の第１の実施例を示し、ＷＲＩＴＥ時刻管理テーブル（メイン側副ストレージシステム）の一例を示す図である。本発明の第１の実施例を示し、ＷＲＩＴＥ時刻管理テーブル（リモート側正ストレージシステム）の一例を示す図である。本発明の第１の実施例を示し、ＷＲＩＴＥ時刻管理テーブル（リモート側副ストレージシステム）の一例を示す図である。本発明の第１の実施例を示し、チェックポイント取得処理の一例を示すフローチャートである。本発明の第１の実施例を示し、データベースシステム再開始処理の一例を示すフローチャートである。本発明の第１の実施例を示し、ログからの回復開始位置決定処理の一例を示すフローチャートである。本発明の第１の実施例を示し、チェックポイント情報不一致判別処理＃１の一例を示すフローチャートである。本発明の第１の実施例を示し、チェックポイント情報不一致判別処理＃２の一例を示すフローチャートである。本発明の第１の実施例を示し、チェックポイント情報決定処理＃１の一例を示すフローチャートである。本発明の第１の実施例を示し、チェックポイント情報決定処理＃２の一例を示すフローチャートである。本発明の第１の実施例を示し、チェックポイント情報不一致解消処理＃１の一例を示すフローチャートである。本発明の第１の実施例を示し、チェックポイント情報不一致解消処理＃２の一例を示すフローチャートである。本発明の第１の実施例を示し、チェックポイント情報不一致解消処理＃３の一例を示すフローチャートである。本発明の第１の実施例を示し、ＷＲＩＴＥ時刻問合せ処理の一例を示すフローチャートである。本発明の第２の実施例を示し、ホストコンピュータの一例を示すブロック図である。本発明の第２の実施例を示し、データベースシステム再開始処理の一例を示すフローチャートである。本発明の第２の実施例を示し、ＤＢデータ用ボリューム不一致解消処理の一例を示すフローチャートである。本発明の第２の実施例を示し、ＤＢデータ用ボリューム不一判別処理の一例を示すフローチャートである。本発明の第２の実施例を示し、ＤＢデータ用ボリューム決定処理の一例を示すフローチャートである。本発明の第２の実施例を示し、ＤＢデータ用ボリューム同期処理の一例を示すフローチャートである。本発明の第２の実施例を示し、チェックポイント情報決定処理＃１の一例を示すフローチャートである。本発明の第２の実施例を示し、チェックポイント情報決定処理＃２の一例を示すフローチャートである。本発明の第３の実施例を示し、ホストコンピュータの一例を示すブロック図である。本発明の第３の実施例を示し、データベースシステム再開始処理の一例を示すフローチャートである。本発明の第３の実施例を示し、正副ボリューム不一致解消処理の一例を示すフローチャートである。本発明の第３の実施例を示し、正副ボリューム同期処理の一例を示すフローチャートである。本発明の第３の実施例を示し、系決定結果管理テーブルの一例を示す図である。本発明の第３の実施例を示し、ボリューム同期情報テーブルの一例を示す図である。

　以下、本発明の一実施形態について添付図面を用いて説明する。

　図１は、本発明の第１の実施例を示し、データベースシステムの一例を示すブロック図である。データベースシステムは、ディザスタリカバリを利用してメインシステム１のデータベースをリモートシステムでバックアップし、メインシステムで障害が発生したときにリモートシステム２でデータベースを提供する計算機システムである。

　＜システム構成＞
　メインシステム１とリモートシステム２は、ネットワーク３を介して接続される。メインシステム１とリモートシステム２は、同様に構成することができる。メインシステム１は、データベース管理システム（データベース管理部）２０－１を実行してデータベースを提供するホストコンピュータ１０－１と、提供するデータベースの正データ（正ＤＢデータ３１０、正ログ３３０、正チェックポイント情報３２０）を格納する正ストレージシステム３０－１と、正データの複製（副データ）を格納する副ストレージシステム４０－１がネットワークまたはホストコンピュータ１０を介して接続される。

　リモートシステム２は、データベース管理システム２０－２を実行するホストコンピュータ１０－２と、正ストレージシステム３０－１に格納された正データの複製を非同期で格納する正ストレージシステム３０－２と、副ストレージシステム４０－１に格納された副データの複製を非同期で格納する副ストレージシステム４０－２がネットワークを介して接続される。

　メインシステム１とリモートシステム２は、同様に構成することができる。ホストコンピュータ１０－１、１０－２は同様の構成であり、また、正ストレージシステム３０－１、３０－２、副ストレージシステム４０－１、４０－２も同様の構成である。

　なお、以下の説明では、ホストコンピュータの総称は添え字のない符号１０で示し、他の構成要素についても総称については添え字無しの符号で示し、メインシステム１とリモートシステム２の区別が必要な場合には添え字を付与する。

　正ストレージシステム３０－１は、正ＤＢデータ３１０を格納する正ＤＢデータ用ボリューム３１と、正チェックポイント情報３２０を格納する正チェックポイント情報用ボリューム３２と、正ログ３３０を格納する正ログ用ボリューム３３と、これらのボリューム３１～３３を制御するアクセス制御部３４を含む。

　正ストレージシステム３０－１のアクセス制御部３４は、ＤＢＭＳ２０－１からのアクセス要求に応じて正ＤＢデータ３１０へのアクセスを制御する。そして、アクセス制御部３４は、リモートコピー機能を有し、ＤＢＭＳ２０－１のアクセスとは非同期で正ＤＢデータ３１０、正チェックポイント情報３２０及び正ログ３３０の内容をリモートシステム２の正ストレージシステム３０－２へ転送する。

　ホストコンピュータ１０－１は、ＯＳ３００またはＩ／Ｆ１３が提供するミラーリング機能によって正ストレージシステム３０－１のデータの複製を副ストレージシステム４０－１に格納する。なお、正ストレージシステム３０－１のデータの複製は、正ＤＢデータ３１０をミラーリング機能によっての複製し、正チェックポイント情報３２０と正ログ３３０の複製はＤＢＭＳ２０－１で実施する。

　副ストレージシステム４０－１は、正ストレージシステムと同様の構成であり、正ＤＢデータ３１０の複製を副ＤＢデータ４１０として格納する副ＤＢデータ用ボリューム４１と、正チェックポイント情報３２０の複製を副チェックポイント情報４２０として格納する副チェックポイント情報用ボリューム４２と、正ログ３３０の複製を副ログ４３０として格納する副ログ用ボリューム４３と、これらのボリューム４１～４３を制御するアクセス制御部４４と、を含む。

　そして、アクセス制御部４４は、リモートコピー機能を有し、ホストコンピュータ１０－１のミラーリングとは非同期で副ＤＢデータ４１０、副チェックポイント情報４２０及び副ログ４３０の内容を、リモートシステム２の副ストレージシステム４０－２へ転送する。なお、ミラーリング機能は、データベース管理システム２０－１の書き込みを起因として正ストレージシステム３０－１に副ストレージシステム４０－１を同期させるので、換言すれば、データベース管理システム２０－１の書き込みに同期して副ストレージシステム４０－１にデータが書き込まれることになる。

　なお、実施例１では、メインシステム１が図示しないクライアント計算機へデータベースを提供する現用系（第１のサイト）として機能し、リモートシステム２はデータベース管理システム２０－１等の制御とは非同期でメインシステム１から送信されたデータをバックアップし、障害発生時にはメインシステム１のデータベースを回復して引き継ぐ待機系（第２のサイト）として機能する。

　また、本実施例１では、リモートシステム２のホストコンピュータ１０－２では、データベース管理システム２０－２のうち、少なくともＤＢ再開始処理部２１０が実行されていれば良い。そして、メインシステム１で障害が発生した後にデータベース管理システム２０－２でデータベースを提供する機能（データベース管理部）を起動するようにしてもよい。すなわち、メインシステム１のデータベース管理システム２０－１では、データベース管理部のみが機能する。そして、メインシステム１のデータベース管理システム（以下、ＤＢＭＳ）２０－１に障害が発生すると、リモートシステム２のＤＢＭＳ２０－２では、ＤＢ再開始処理部２１０とデータベース管理部が機能する。

　＜ホストコンピュータ＞
　図２は、ホストコンピュータ１０の一例を示すブロック図である。ホストコンピュータ１０は、演算処理を行うプロセッサ１１と、データやプログラムを保持するメモリ１２と、ネットワークを介して正ストレージシステム３０、副ストレージシステム４０あるいは外部に接続されるインターフェース（以下、Ｉ／Ｆ）１３を含む。

　メモリ１２には、ＤＢＭＳ２０がロードされ、プロセッサ１１によって実行される。ＤＢＭＳ２０は、正ＤＢデータ３１０へのアクセスを処理するのに加え、メインシステム１に障害が発生したときにデータベース（正ＤＢデータ３１０）を回復するＤＢ再開始処理部２１０を有する。なお、ＤＢ再開始処理部２１０は、リモートシステム２のホストコンピュータ１０－２で稼働させれば良く、メインシステム１のホストコンピュータ１０－１ではＤＢ再開始処理部２１０を停止させることができる。

　ＤＢ再開始処理部２１０は、正チェックポイント情報３２０から正ＤＢデータ３１０の回復位置を特定する回復開始位置決定部２２０と、正ＤＢデータ３１０を回復するＤＢ回復処理部２６０と、各種テーブルを含む。

　ＤＢ回復処理部２６０は、公知または周知の手法によって正ＤＢデータ３１０を回復すれば良い。本実施例では、例えば、前記特許文献３のように、副ログ４３０または正ログ３３０から正ＤＢデータ３１０を回復する例を示す。

　回復開始位置決定部２２０は、正チェックポイント情報３２０と副チェックポイント情報４２０のずれを検出するチェックポイント情報不一致判別処理部２３０と、正ＤＢデータ３１０の回復を開始するチェックポイント情報４２０の位置を決定するチェックポイント情報決定処理部２４０と、正チェックポイント情報３２０と副チェックポイント情報４２０不一致がある場合には同期させるチェックポイント情報不一致解消処理部２５０と、を含む。

　ＤＢ再開始処理部２１０が管理するテーブルは、格納するデータと正ストレージシステム３０または副ストレージシステム４０のボリュームの関係を格納するＤＢ－ボリュームマッピングテーブル２７０と、ＤＢＭＳ２０の設定を格納するＤＢ定義情報テーブル２８０と、正チェックポイント情報３２０または副チェックポイント情報４２０を管理するチェックポイント情報管理テーブル＃１（２９０－１）及びチェックポイント情報管理テーブル＃２（２９０－２）を含む。

　ＤＢＭＳ２０の各機能部はプログラムとしてメモリ１２にロードされる。プロセッサ１１は、各機能部のプログラムに従って処理することによって、所定の機能を提供する機能部として稼働する。例えば、プロセッサ１１は、ＤＢ再開処理プログラムに従って処理することでＤＢ再開始処理部２１０として機能する。他のプログラムについても同様である。さらに、プロセッサ１１は、各プログラムが実行する複数の処理のそれぞれの機能を提供する機能部としても稼働する。計算機及び計算機システムは、これらの機能部を含む装置及びシステムである。

　ＤＢＭＳ２０の各機能を実現するプログラム、テーブル等の情報は、正ストレージシステム３０、副ストレージシステム４０や不揮発性半導体メモリ、ハードディスクドライブ、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）等の記憶デバイス、または、ＩＣカード、ＳＤカード、ＤＶＤ等の計算機読み取り可能な非一時的データ記憶媒体に格納することができる。

　＜ストレージシステム＞
　図３は、正ストレージシステム３０の一例を示すブロック図である。なお、副ストレージシステム４０も同様の構成であるので重複した説明は省略する。

　正ストレージシステム３０は、演算処理を行うプロセッサ３５と、データやプログラムを保持するメモリ３６と、複数のボリュームを提供するドライブに接続されるＩ／Ｆ３８と、ネットワークを介してホストコンピュータ１０あるいは外部に接続されるインターフェース（以下、Ｉ／Ｆ）３７を含む。

　各ボリューム３１～３３は、１以上のディスクドライブまたはＳＳＤ等の不揮発性半導体を含む論理的な記憶領域である。図示の例では、正ストレージシステム３０－１から正ＤＢデータ３１０を格納する正ＤＢデータ用ボリューム３１と、正チェックポイント情報３２０を格納する正チェックポイント情報用ボリューム３２と、正ログ３３０を格納する正ログ用ボリューム３３と、を含む。

　メモリ３６には、各ボリューム３１～３３を制御するアクセス制御部３４が読み込まれ、プロセッサ３５によって実行される。アクセス制御部３４は、各ボリュームへ書き込みを最後に実行した時刻を格納するＷＲＩＴＥ時刻管理テーブル３４０を含む。また、アクセス制御部３４は、リモートコピー機能を有し、ＤＢＭＳ２０－１やミラーリング機能のアクセスとは非同期で各データの内容をリモートシステム２へ転送する。

　アクセス制御部３４のリモートコピー機能は、メインシステム１の正ストレージシステム３０－１からリモートシステム２の正ストレージシステム３０－２へＤＢＭＳ２０－１のアクセスとは非同期で、正ＤＢデータ３１０、正チェックポイント情報３２０、正ログ３３０の複製を転送する。

　また、副ストレージシステム４０のアクセス制御部４４では、メインシステム１の副ストレージシステム４０－１からリモートシステム２の副ストレージシステム４０－２へミラーリング機能のアクセスとは非同期で、副ＤＢデータ４１０、副チェックポイント情報４２０、副ログ４３０の複製を転送する。

　＜処理の概要＞
　まず、メインシステム１のＤＢＭＳ２０－１の処理について説明する。ＤＢＭＳ２０－１は、図示しないクライアントやアプリケーションからの要求に応じて、正ＤＢデータ３１０のデータをメモリ１２に確保した図示しないＤＢバッファ（またはＤＢキャッシュ）に読み込む。ＤＢバッファに読み出されたデータは、トランザクションがコミットすると、ＤＢＭＳ２０－１は、データの更新内容を示すログを生成して正ログ３３０に格納し、更新されたデータが正ＤＢデータ３１０に格納される。

　ＤＢＭＳ２０－１は、ログを生成する際に、ログを一意に識別するための識別子としてログ・シーケンス・ナンバー（以下、ＬＳＮとする）をログに付与する。そして、本発明のＤＢＭＳ２０－１は、ＬＳＮを含むログを正ログ３３０に格納する。次に、ＤＢＭＳ２０－１は、更新されたデータを正ＤＢデータ３１０に格納し、一連のデータ更新の処理を終了する。

　チェックポイント情報３２０は、次のように生成される。メインシステム１のＤＢＭＳ２０－１は、所定のタイミングとなるたびに、チェックポイント取得処理を実行する。所定のタイミングは、例えば、予め設定した周期や、トランザクションの処理量が閾値に達したときや、正ログ３３０の量が所定値に達したときなどである。

　チェックポイント取得処理では、ＤＢＭＳ２０－１がＤＢバッファ上で更新されたデータを正ＤＢデータ用ボリューム３１の正ＤＢデータ３１０へ書き戻す。このとき、正ＤＢデータ３１０へ書き込むデータのＬＳＮを取得してチェックポイント情報３２０に書き込む。

　ホストコンピュータ１０－１のＯＳ３００またはＩ／Ｆ１３が提供するミラーリング機能によって正ストレージシステム３０－１のデータの複製を副ストレージシステム４０－１に格納する。これにより、正ＤＢデータ３１０に書き込まれたデータが副ＤＢデータ４１０にも書き込まれる。また、ＤＢＭＳ２０－１は、正ログ３３０の複製を副ログ４３０に書き込み、また、ＤＢＭＳ２０－１は、正チェックポイント情報３２０を副チェックポイント情報４２０に書き込んで多重化する。

　メインシステム１の正ストレージシステム３０－１は、ＤＢＭＳ２０－１の更新とは非同期で、所定のタイミングになるとリモートシステム２の各ボリューム３１～３３を、正ストレージシステム３０－２の各ボリューム３１～３３と同期する。すなわち、正ＤＢデータ３１０、正チェックポイント情報３２０、正ログ３３０のうち、新たに更新されたデータが正ストレージシステム３０－１から正ストレージシステム３０－２へ転送される。なお、所定のタイミングとは、ネットワーク３の使用率が閾値以下の状態や、正ストレージシステム３０－１の負荷が閾値以下の状態や、各ボリューム３１～３３のアクセス負荷が閾値以下の状態を所定のタイミングとする。

　メインシステム１の副ストレージシステム４０－１は、ホストコンピュータ１０－１のミラーリング処理とは非同期で、所定のタイミングになると、リモートシステム２の副ストレージシステム４０－２と同期する。すなわち、副ＤＢデータ４１０、副チェックポイント情報４２０、副ログ４３０のうち、新たに更新されたデータが副ストレージシステム４０－１から副ストレージシステム４０－２へ転送される。なお、所定のタイミングは、上記と同様であり、ネットワーク３の使用率が閾値以下の状態や、副ストレージシステム４０－１の負荷が閾値以下の状態や、各ボリューム４１～４３のアクセス負荷が閾値以下の状態を所定のタイミングとする。

　メインシステム１のＤＢＭＳ２０－１は、異常が発生すると、正チェックポイント情報３２０に、異常が発生したことを示す情報を書き込む。例えば、図４で示すように“ＦＡＩＬＵＲＥ”等の情報を書き込む。すなわち、ＬＳＮの最後または間にメインシステム１のＤＢＭＳ２０－１の状態を示す情報が格納される。

　ＤＢ再開始処理部２１０は、メインシステム１のＤＢＭＳ２０－１に障害が発生したことを検知すると、リモートシステム２の正ログ３３０または副ログ４３０から正ＤＢデータ３１０を回復する。

　ここで、本発明では、後述するように、チェックポイント情報を用いてログの回復開始位置を決定することで、メインシステム１の複製をＤＢＭＳ２０－１とは非同期でリモートシステム２に格納するデータベースシステムの冗長性を確保する。

　そして、リモートシステム２のＤＢＭＳ２０－２では、障害が発生したメインシステム１に代わって、データベースの提供を再開する。なお、ログに基づいて正ＤＢデータ３１０を回復する手法としては、周知または公知の手法を適用することができ、例えば、前記従来例に示した特許文献３の技術を適用するものとする。

　ホストコンピュータ１０－２では、ＤＢＭＳ２０－２がデータベースの提供を開始する。

　以上の処理により、正ＤＢデータ３１０、正ログ３３０、正チェックポイント情報３２０の内容をＤＢＭＳ２０－１の更新とは非同期でリモートシステム２に複製を送ることができる。そして、後述するように、チェックポイント情報に基づいて、正ＤＢデータ３１０を回復すべきログの位置を決定することにより、正確にデータベースの回復を行うことができる。

　なお、リモートシステム２のＤＢＭＳ２０－２のＤＢ再開始処理部２１０によるメインシステム１のＤＢＭＳ２０－１の監視は、正ストレージシステム３０－２の正チェックポイント情報３２０を監視し、障害の発生を示す情報を読み込んだときに限定されるものではなく、ホストコンピュータ１０－１やＤＢＭＳ２０－１のハートビートを監視したり、ネットワーク３の通信状態を監視して、メインシステム１側の障害発生として検知することができる。

　図４は、正ログ３３０及び正チェックポイント情報３２０の関係を示す図である。正ログ３３０は、メインシステム１が付与したログ・シーケンス・番号を格納するＬＳＮ３３１と、当該ログに対応するトランザクションの識別子を格納するトランザクション識別子３３２と、当該ログの種類を示すログ種別３３３と、当該ログに対応する正ＤＢデータ３１０の識別子を格納するデータ識別子３３４と、当該データ識別子の更新前の値を格納する更新前データ３３５と、当該データ識別子の更新後の値を格納する更新後データ３３６と、をひとつのレコードに含む。なお、ＬＳＮ３３１は、更新されたデータベースのデータが正ストレージシステム３０－１へ書き込まれたときの正ログ３３０の位置を特定するための識別子である。

　正チェックポイント情報３２０は、正ログ３３０のうち、ＬＳＮ３３１の値と、ＤＢＭＳ２０－１が書き込んだ状態情報と、をＬＳＮ３２１に格納する。図中“５０”、“１００”は、正ログ３３０のＬＳＮ３３１の値を示し、図中“ＤＢＳＴＡＲＴ”は、ＤＢＭＳ２０－１が正ログ３３０に書き込んだ稼働開始の情報を示す。また、図中“ＤＢＥＮＤ”は、ＤＢＭＳ２０－１が正ログ３３０に書き込んだ正常終了の情報を示す。したがって、正常終了したことを示す情報が正チェックポイント情報３２０に格納されていない場合には、ＤＢＭＳ２０－１が正常終了していないと判定することができる。

　また、ログ種別３３３は、図中“ＳＴＡＲＴ”がトランザクションＴ１の開始を示すメッセージで、ＤＢＭＳ２０－１によって書き込まれる。そして、図中“ＵＰＤＡＴＥ”はデータの更新を示すログを意味し、図中“ＣＯＭＭＩＴ”は、トランザクションが完了したことを示すログである。

　図中“ＣＰ　ＳＴＡＲＴ”はＤＢＭＳ２０－１が、所定の周期で書き込むチェックポイント取得処理の開始を示すメッセージである。また、図中“ＣＰ　ＥＮＤ”はＤＢＭＳ２０－１がチェックポイント取得処理を完了したときに書き込んだメッセージである。

　データの更新や追加あるいはトランザクションの完了がない時間帯であっても、ＤＢＭＳ２０－１が所定の周期毎にチェックポイント情報を書き込むことにより、正ＤＢデータ３１０の更新や追加がない期間でも、チェックポイント情報を生成することが可能となる。

　図５は、ＤＢ－ボリュームマッピングテーブル２７０の一例を示す図である。ＤＢ－ボリュームマッピングテーブル２７０は、当該データを格納するストレージシステム３０、４０の領域名を格納するＤＢ領域ＩＤ２７１と、当該データを格納するストレージシステムが正と副の何れに所属するかを格納する系２７２と、当該データの種別を格納する種別２７３と、当該データをメインシステム１で格納するストレージシステムの識別子を格納するメイン側ストレージシステムＩＤ２７４と、当該データをメインシステム１で格納するボリュームの識別子を格納するメイン側論理ボリュームＩＤ２７５と、当該データをリモートシステム２で格納するストレージシステムの識別子を格納するリモート側ストレージシステムＩＤ２７６と、当該データをリモートシステム２で格納するボリュームの識別子を格納するリモート側論理ボリュームＩＤ２７７と、をひとつのレコードに含む。

　ＤＢ－ボリュームマッピングテーブル２７０では、メインシステム１とリモートシステム２のボリューム間で非同期のコピーの関係が設定され、メイン側ストレージシステムＩＤ２７４からリモート側ストレージシステムＩＤ２７６へ各ボリュームのデータの複製が転送されることを示している。

　ＤＢ－ボリュームマッピングテーブル２７０の各値は、データベースシステムの管理者などが予め設定しておく。図中、系２７２は、メインシステム１は“正”に設定され、リモートシステム２は“副”に設定される。

　図示の例では、メインシステム１の正ストレージシステム３０－１のＩＤが“ＣＴＬ＃Ａ１”で、副ストレージシステム４０－１のＩＤが“ＣＴＬ＃Ａ２”であることを示す。また、リモートシステム２の正ストレージシステム３０－２のＩＤが“ＣＴＬ＃Ｂ１”で、副ストレージシステム４０－２のＩＤが“ＣＴＬ＃Ｂ２”であることを示す。

　図６は、ＤＢ定義情報テーブル２８０の一例を示す図である。ＤＢ定義情報テーブル２８０は、パラメータ２８１と、値２８２と、をひとつのレコードに含む。

　図示の例では、リモートシステム２のＤＢＭＳ２０－２のＤＢ定義情報テーブル２８０を示しており、第１のレコードが、パラメータ２８１として、リモートシステム２でメインシステム１のストレージシステムが書き込んだWRITE時刻を取得するか否かを設定するＷＲＩＴＥ時刻取得モードが設定され、値２８２には“Ｎ”が格納されている。この例では、リモートシステム２ではメインシステム１のＷＲＩＴＥ時刻管理テーブル３４０のデータを取得しないことを示す。

　また、図示の例では、第２のレコードが、パラメータ２８１として、ミラー化ボリューム間の同期機能利用モードが設定され、値２８２には“Ｎ”が格納されている。この機能は、ミラーリングしたボリューム間の内容を同期(コピー)する機能を適用するか否かを示す。図示の“Ｎ”は当該機能を適用しない設定を示す。

　図示はしないが、メインシステム１のＤＢＭＳ２０－１も同様にＤＢ定義情報テーブル２８０を有し、ミラーリングしたボリューム間の内容を同期(コピー)する機能を適用するか否かを設定することができる。

　また、図示はしないが、ＤＢ定義情報テーブル２８０には、メインシステム１またはリモートシステム２の何れであるかを識別する情報を含む。例えば、サイトというパラメータ２８１と、“リモート”という値２８２であればリモートシステム２のＤＢＭＳ２０－２を示す。

　図７は、チェックポイント情報管理テーブル＃１（２９０－１）の一例を示す図である。チェックポイント情報管理テーブル＃１（２９０－１）は、チェックポイント情報の識別子を格納するチェックポイント情報ＩＤ２９１と、チェックポイント情報が正と副の何れのストレージシステムに格納されているかを格納する系２９２と、データの種類を格納する種別２９３と、チェックポイント情報の最新のＬＳＮの値を格納するＬＳＮ２９４と、正ＤＢデータ３１０を回復する際に選択することを示すチェックポイント情報選択フラグ２９５と、をひとつのレコードに含む。

　図示の例では、リモートシステム２において、ＤＢＭＳ２０－２のチェックポイント情報管理テーブル＃１では、正チェックポイント情報３２０（ＣＨＫＰＮＴ１）のＬＳＮ２９４が“９０”で、副チェックポイント情報４２０（ＣＨＫＰＮＴ２）のＬＳＮ２９４が“８５”で、系２９２が“副”のチェックポイント情報選択フラグ２９５が“ＯＮ”であることから、正ＤＢデータ３１０の回復に副チェックポイント情報４２０を選択されたことを示している。

　図８は、チェックポイント情報管理テーブル＃２（２９０－２）の一例を示す図である。チェックポイント情報管理テーブル＃２（２９０－２）は、チェックポイント情報の識別子を格納するチェックポイント情報ＩＤ２９１と、チェックポイント情報が“正”と“副”の何れのストレージシステムに格納されているかを格納する系２９２と、データの種類を格納する種別２９３と、当該チェックポイント情報が格納されているストレージシステムの識別子を格納するストレージシステムＩＤ２９６と、当該チェックポイント情報が格納されている論理ボリュームの識別子を格納する論理ボリュームＩＤ２９７と、メインシステム１で当該チェックポイント情報が書き込まれた時刻を格納するメイン側ＷＲＩＴＥ時刻２９８と、正ＤＢデータ３１０を回復する際に選択することを示すチェックポイント情報選択フラグ２９５と、をひとつのレコードに含む。

　図示の例では、リモートシステム２において、ＤＢＭＳ２０－２のチェックポイント情報管理テーブル＃２では、正チェックポイント情報３２０（ＣＨＫＰＮＴ１）のメイン側ＷＲＩＴＥ時刻２９８が“１４：５０”で、副チェックポイント情報４２０（ＣＨＫＰＮＴ２）のメイン側ＷＲＩＴＥ時刻２９８が“１４：４０”で、系２９２が“副”のチェックポイント情報選択フラグ２９５が“ＯＮ”であることから、正ＤＢデータ３１０の回復に副チェックポイント情報４２０を選択されたことを示している。

　上記図７、図８に示したチェックポイント情報管理テーブル＃１、＃２は、ＤＢＭＳ２０が更新する。リモートシステム２のＤＢＭＳ２０－２は、後述する処理によってチェックポイント情報管理テーブル＃１（２９０－１）、＃２（２９０－２）を更新する。

　チェックポイント情報管理テーブル＃１（２９０－１）の更新は、正チェックポイント情報３２０、副チェックポイント情報４２０のＬＳＮの値をＬＳＮ２９４にそれぞれ格納する。

　一方、チェックポイント情報管理テーブル＃２（２９０－２）の更新は、メインシステム１からのデータ非同期転送時に、メインシステム１側でのＷＲＩＴＥ時刻の情報もリモートシステム２で受け取り、正チェックポイント情報３２０と副チェックポイント情報４２０の最終書き込み時刻をメイン側ＷＲＩＴＥ時刻２９８にそれぞれ格納する。

　図９Ａ～図９Ｄは、各ストレージシステム３０、４０がそれぞれ保持するＷＲＩＴＥ時刻管理テーブル３４０の一例を示す図である。図９Ａは、メインシステム１の正ストレージシステム３０－１が保持するＷＲＩＴＥ時刻管理テーブル３４０－１である。図９Ｂは、メインシステム１の副ストレージシステム４０－１が保持するＷＲＩＴＥ時刻管理テーブル３４０－２である。図９Ｃは、リモートシステム２の正ストレージシステム３０－２が保持するＷＲＩＴＥ時刻管理テーブル３４０－１である。図９Ｄは、リモートシステム２の副ストレージシステム４０－２が保持するＷＲＩＴＥ時刻管理テーブル３４０－１である。

　各ＷＲＩＴＥ時刻管理テーブル３４０は、各ストレージシステムが有する論理ボリュームの識別子を格納する論理ボリュームＩＤ３４１と、各論理ボリュームへ最後に書き込みを行った時刻（タイムスタンプ）が格納される。

　各ストレージシステムのアクセス制御部３４は、各ボリュームに書き込みが行われると、書き込みが完了した時刻を該当ボリュームのレコードのＷＲＩＴＥ時刻３４２に設定する。

　図１０は、チェックポイント取得処理の一例を示すフローチャートである。この処理は、メインシステム１のＤＢＭＳ２０－１が所定のタイミングとなったときに実行する。なお、所定のタイミングは、上述したように、予め設定した周期や、トランザクションの処理量が閾値に達したときや、正ログ３３０の量が所定値に達したときなどである。

　ＤＢＭＳ２０－１は、まず、正チェックポイント情報３２０にチェックポイント取得開始情報として“ＣＰ　ＳＴＡＲＴ”を正ログ３３０に出力する（Ｓ１）。ＤＢＭＳ２０－１は、このチェックポイント取得開始情報に、正ＤＢデータ３１０のログと同様にＬＳＮを付与する。

　次に、ＤＢＭＳ２０－１は、ＤＢバッファ上で更新された全てのデータ（全てのＤＢブロック）を正ＤＢデータ用ボリューム３１に書き込む（Ｓ２）。

　ＤＢＭＳ２０－１は、チェックポイント取得終了情報として“ＣＰ　ＥＮＤ”を正ログ３３０に出力する（Ｓ３）。ＤＢＭＳ２０－１は、このチェックポイント取得終了情報に、上記と同様にＬＳＮを付与する。

　最後に、ＤＢＭＳ２０－１は、チェックポイント取得終了情報に付与したＬＳＮを正チェックポイント情報３２０に書き込む。

　以上の処理により、所定のタイミングとなるたびに、ＤＢバッファ上で更新されたデータが正ＤＢデータ３１０に書き込まれ、このとき、チェックポイント取得終了情報に付与したＬＳＮが正チェックポイント情報３２０として正チェックポイント情報用ボリューム３２に書き込まれる。そして、ＤＢＭＳ２０－１の書き込みとは非同期で、メインシステム１の正チェックポイント情報３２０は、リモートシステム２の正チェックポイント情報３２０へ複写される。

　メインシステム１の正ＤＢデータ３１０も、ＤＢＭＳ２０－１の書き込みとは非同期で、正ＤＢデータ３１０をリモートシステム２の正ＤＢデータ３１０へ複写される。

　図１１は、ＤＢ再開始処理部２１０で行われる処理の一例を示すフローチャートである。この処理は、メインシステム１からリモートシステム２へ運用の切り替えが行われ、リモートシステム２のＤＢＭＳ２０－２が開始されると実行される。なお、メインシステム１からリモートシステム２への切り替えは、周知または公知の技術を採用することができる。例えば、リモートシステム２のホストコンピュータ１０－２がメインシステム１のホストコンピュータ１０－１のハートビートを監視し、障害の発生を検知するとＤＢＭＳ２０－２を起動するようにしてもよい。

　ＤＢ再開始処理部２１０は、正ストレージシステム３０－２の正チェックポイント情報３２０を読み込んで、メインシステム１のデータベースが正常に終了したか否かを判定する。正チェックポイント情報３２０にＤＢＭＳ２０－１が正常終了したことを示す情報が格納されていない場合には、ＤＢＭＳ２０－１が正常終了していないと判定してステップＳ１２へ進む。そうでない場合には処理を終了する。

　ステップＳ１２では、ＤＢ定義情報テーブル２８０を参照して、当該システムがリモートシステム２であるか否かを判定する。当該システムがリモートシステム２であればステップＳ１３へ進んで、ログからの回復開始位置の決定処理を実行する。一方、当該システムがメインシステム１の場合には、ステップＳ１４へ進んで、ＤＢ回復処理部２６０が、ログに基づいて正ＤＢデータ３１０の回復処理を実行する。

　ＤＢ回復処理部２６０は、ステップＳ１３で選択されたチェックポイント情報のＬＳＮまたはＷＲＩＴＥ時刻から正ログ３３０または副ログ４３０を正ＤＢデータ用ボリューム３１の正ＤＢデータ３１０及び副ＤＢデータ用ボリューム４１の副ＤＢデータ４１０に適用して回復処理を実行する。なお、選択するログは、正チェックポイント情報３２０と副チェックポイント情報４２０のうち新しい方に対応するログを選択する。例えば、ＤＢ回復処理部２６０は、チェックポイント情報管理テーブル＃１（２９０－１）のＬＳＮ２９４を参照し、値が大きい方（図示の例では正チェックポイント情報３２０）のチェックポイント情報を選択し、当該チェックポイント情報に対応する正ログ３３０（または副ログ４３０）を選択し、回復処理を実行する。また、回復処理をストレージ層（正ストレージシステム３０－２及び副ストレージシステム４０－２）で制御する場合には、チェックポイント情報管理テーブル＃２（２９０－２）のメイン側ＷＲＩＴＥ時刻２９８の値が新しい方のチェックポイント情報を選択し、当該チェックポイント情報に対応する正ログ３３０または副ログ４３０を選択すればよい。

　すなわち、リモートシステム２のＤＢＭＳ２０－２が、メインシステム１の異常発生を検知したときには、ログとチェックポイント情報及びＤＢデータが正副ともにメインシステム１のＤＢＭＳ２０－１とは非同期で、メインシステム１からリモートシステム２へコピーされていたので、まず、ログのどの位置から正ＤＢデータ３１０を回復するかを決定する（Ｓ１３）。なお、ステップＳ１３の処理については、図１２で詳述する。

　そして、ＤＢＭＳ２０－２のＤＢ再開始処理部２１０は、決定したログの回復開始位置から正ＤＢデータ３１０及び副ＤＢデータ４１０を回復し、回復が完了した後にはデータベースの提供を再開する。

　データベースの再開始時には、ＯＳ３００またはＩ／Ｆ１３が提供するミラーリング機能を利用する。このミラーリング機能によって、正ストレージシステム３０－２と副ストレージシステム４０－２を同期させて、リモートシステム２におけるデータベースシステムの冗長性を確保する。

　図１２は、ログからの回復開始位置決定処理の一例を示すフローチャートである。この処理は、図１１のステップＳ１３で行われる処理である。

　ＤＢＭＳ２０－２のＤＢ再開始処理部２１０は、ＤＢ定義情報テーブル２８０を参照して、ＷＲＩＴＥ時刻取得モードの値２８２を取得する。そして、ＤＢ再開始処理部２１０は、ＷＲＩＴＥ時刻取得モードの値２８２が“Ｎ”であるか否かを判定する。ＷＲＩＴＥ時刻取得モードが“Ｎ”の場合にはステップＳ２２へ進み、そうでない場合にはステップＳ２６へ進む。すなわち、ＤＢ再開始処理部２１０がメインシステム１のＤＢＭＳ２０－１のＷＲＩＴＥ時刻を使用しない場合には、ステップＳ２２で図１３Ａに示すチェックポイント情報不一致判別処理＃１を実行する。一方、ＤＢ再開始処理部２１０がメインシステム１のＤＢＭＳ２０－１のＷＲＩＴＥ時刻を使用する場合には、ステップＳ２６で図１３Ｂに示すチェックポイント情報不一致判別処理＃１を実行する。

　ステップＳ２２では、ＤＢ再開始処理部２１０がチェックポイント情報不一致判別処理＃１を実行し、正チェックポイント情報３２０と副チェックポイント情報４２０のＬＳＮの値が一致しているか否かを判定する。ＤＢ再開始処理部２１０は、正チェックポイント情報３２０と副チェックポイント情報４２０のＬＳＮが一致していれば処理を終了する。一方、ＤＢ再開始処理部２１０は、正チェックポイント情報３２０と副チェックポイント情報４２０のＬＳＮが一致していなければステップＳ２４へ進んで、図１４Ａに示すチェックポイント情報決定処理＃１を実行する。

　ステップＳ２４のチェックポイント情報決定処理＃１では、ＤＢ再開始処理部２１０が、チェックポイント情報管理テーブル＃１（２９０－１）を参照し、正チェックポイント情報３２０と副チェックポイント情報４２０うちＬＳＮ２９４の古い（小さい）方を、正ＤＢデータ３１０を回復するためのチェックポイント情報として選択する。

　次に、ステップＳ２５では、ＤＢ再開始処理部２１０が図１５Ａに示すチェックポイント情報不一致解消処理＃１を実行して、ＤＢの回復に使用しないチェックポイント情報をクリアする。

　そして、図１１の処理に戻り、ＤＢ再開始処理部２１０は、ステップＳ１４で、ＬＳＮまたはメイン側ＷＲＩＴＥ時刻が新しい方のチェックポイント情報に対応する正ログ３３０または副ログ４３０を、正ＤＢデータ３１０と副ＤＢデータ４１０に適用して、正ＤＢデータ３１０と副ＤＢデータ４１０を回復させる。

　一方、上記ステップＳ２１の判定で、ＤＢ定義情報テーブル２８０のＷＲＩＴＥ時刻取得モードが“Ｙ”の場合には、ステップＳ２６へ進んで、ＤＢ再開始処理部２１０は、図１３Ｂに示すチェックポイント情報不一致判別処理＃２を実行する。

　ステップＳ２６のチェックポイント情報決定処理＃２では、ＤＢ再開始処理部２１０が、チェックポイント情報管理テーブル＃２（２９０－２）を参照し、正チェックポイント情報３２０と副チェックポイント情報４２０のメイン側ＷＲＩＴＥ時刻２９８が一致しているか否かを判定する。

　ＤＢ再開始処理部２１０は、正チェックポイント情報３２０と副チェックポイント情報４２０のＷＲＩＴＥ時刻が一致していれば処理を終了する。一方、ＤＢ再開始処理部２１０は、正チェックポイント情報３２０と副チェックポイント情報４２０のＷＲＩＴＥ時刻が一致していなければステップＳ２８へ進んで、図１４Ｂに示すチェックポイント情報決定処理＃２を実行する。

　ステップＳ２８のチェックポイント情報決定処理＃２では、ＤＢ再開始処理部２１０が、チェックポイント情報管理テーブル＃１（２９０－２）を参照し、正チェックポイント情報３２０と副チェックポイント情報４２０うちＷＲＩＴＥ時刻古い方を、正ＤＢデータ３１０を回復するためのチェックポイント情報として選択する。

　次に、ステップＳ２９では、ＤＢ再開始処理部２１０がＤＢ定義情報テーブル２８０を参照して、ミラー化ボリューム間同期モードの値２８２が“Ｎ”であるか否かを判定する。正ストレージシステム３０－２と副ストレージシステム４０－２が同期されていない“Ｎ”の場合、ＤＢ再開始処理部２１０は、ステップＳ３０へ進んで、図１５Ｂに示すチェックポイント情報不一致解消処理＃２を実行する。

　一方、メインシステム１とリモートシステム２の正副ストレージシステムが同期されている“Ｙ”の場合、ＤＢ再開始処理部２１０は、ステップＳ３１へ進んで、図１５Ｃに示すチェックポイント情報不一致解消処理＃３を実行する。

　以上の処理により、正チェックポイント情報３２０と副チェックポイント情報４２０のＬＳＮまたはＷＲＩＴＥ時刻が古い方のボリュームが選択されて、ＤＢ再開始処理部２１０はＬＳＮで指定される正ログ３３０または副ログ４４０を用いて正ＤＢデータ３１０の回復を実施する。

　このように、ＤＢＭＳ２０－１とは非同期でメインシステム１から受信した正チェックポイント情報３２０と副チェックポイント情報４２０のうち、新しい方のＬＳＮまたはＷＲＩＴＥ時刻によって、非同期転送のため正ＤＢデータ３１０と副ＤＢデータ４１０の間にずれが発生していても、双方をデータの損失なく整合性を保った状態に回復できる。これにより、メインシステム１のＤＢＭＳ２０－１とは非同期でメインシステム１からリモートシステム２へバックアップを行う場合でも、冗長性を確保することができる。また、メインシステム１で障害が発生してからリモートシステム２でデータベースを再開するまでの時間が増大するのを抑制できる。

　図１３Ａは、チェックポイント情報不一致判別処理＃１の一例を示すフローチャートである。この処理は、図１２のステップＳ２２で回復開始位置決定部２２０のチェックポイント情報不一致判別処理部２３０によって行われる処理である。

　チェックポイント情報不一致判別処理部２３０は、正ストレージシステム３０－２のボリューム３２に格納された最後（最新）の正チェックポイント情報３２０と、副ストレージシステム７０－２のボリューム４２に格納された最後（最新）の副チェックポイント情報４２０と、をそれぞれ読み込む（Ｓ４１）。

　チェックポイント情報不一致判別処理部２３０は、正チェックポイント情報３２０のうち最後に記録されたＬＳＮを取得し、チェックポイント情報管理テーブル＃１の系２９２が“正”のレコードのＬＳＮ２９４に取得したＬＳＮを格納する（Ｓ４２）。

　チェックポイント情報不一致判別処理部２３０は、副チェックポイント情報４２０のうち最後に記録されたＬＳＮを取得し、チェックポイント情報管理テーブル＃１の系２９２が“副”のレコードのＬＳＮ２９４に取得したＬＳＮを格納する（Ｓ４３）。

　チェックポイント情報不一致判別処理部２３０は、系２９２が“正”のＬＳＮ２９４と、系２９２が“副”のＬＳＮ２９４の値が一致しなければ、正チェックポイント情報３２０と副チェックポイント情報４２０のＬＳＮは不一致と判定する（Ｓ４４）。

　以上の処理により、チェックポイント情報不一致判別処理部２３０が、正副チェックポイント情報のＬＳＮを比較することで、メインシステム１のＤＢＭＳ２０－１とは非同期でバックアップされる正副チェックポイント情報のずれを検出することができる。

　図１３Ｂは、チェックポイント情報不一致判別処理＃２の一例を示すフローチャートである。この処理は、図１２のステップＳ２６で回復開始位置決定部２２０のチェックポイント情報不一致判別処理部２３０によって行われる処理である。

　チェックポイント情報不一致判別処理部２３０は、ＤＢ－ボリュームマッピングテーブル２７０を参照して、系２７２が“正”で、かつ、種別２７３が“チェックポイント”のリモート側論理ボリュームＩＤを検索する（Ｓ５１）。図５に示すリモート側論理ボリュームＩＤ２７７でＶＯＬ３－Ｂ１が該当するボリュームＩＤとなる。この論理ボリュームＩＤ＝ＶＯＬ３－Ｂ１は、図１に示した正ストレージシステム３０－２の正チェックポイント情報用ボリューム３２に対応し、正チェックポイント情報３２０を格納する。

　チェックポイント情報不一致判別処理部２３０は、当該正チェックポイント情報３２０をメインシステム１で最後に書き込んだ時刻（ＷＲＩＴＥ時刻）を、メインシステム１のホストコンピュータ１０－１に問い合わせる（Ｓ５２）。

　すなわち、チェックポイント情報不一致判別処理部２３０は、上記ステップＳ５１で検索した論理ボリュームＩＤ＝ＶＯＬ３－Ｂ１のレコードで、当該メイン側論理ボリュームＩＤ２７５（この例では、ＶＯＬ３－Ａ１）を取得して、ホストコンピュータ１０－１にＷＲＩＴＥ時刻を問い合わせる。この問合せ処理の詳細については、図１６で後述する。

　ＤＢ再開始処理部２１０は、メインシステム１のホストコンピュータ１０－１からＷＲＩＴＥ時刻の応答を受け付けると、チェックポイント情報管理テーブル＃２の系２９２が“正”のレコードのメイン側ＷＲＩＴＥ時刻２９８に受け付けたＷＲＩＴＥ時刻を格納する（Ｓ５３）。

　ＤＢ再開始処理部２１０は、ＤＢ－ボリュームマッピングテーブル２７０を参照して、系２７２が“副”で、かつ、種別２７３が“チェックポイント”のリモート側論理ボリュームＩＤを検索する（Ｓ５４）。図５に示すリモート側論理ボリュームＩＤ２７７でＶＯＬ３－Ｂ２が該当するボリュームＩＤとなる。この論理ボリュームＩＤ＝ＶＯＬ３－Ｂ２は、図１に示した副ストレージシステム４０－２の副チェックポイント情報用ボリューム４２に対応し、副チェックポイント情報４２０を格納する。

　ＤＢ再開始処理部２１０は、当該正チェックポイント情報３２０をメインシステム１で最後に書き込んだ時刻（ＷＲＩＴＥ時刻）を、メインシステム１のホストコンピュータ１０－１に問い合わせる（Ｓ５５）。

　すなわち、ＤＢ再開始処理部２１０は、上記ステップＳ５５で検索した論理ボリュームＩＤ＝ＶＯＬ３－Ｂ２のレコードで、当該メイン側論理ボリュームＩＤ２７５（この例では、ＶＯＬ３－Ａ２）を取得して、ホストコンピュータ１０－１にＷＲＩＴＥ時刻を問い合わせる。この問合せ処理の詳細については、上記Ｓ５２と同様であり、図１６で後述する。

　ＤＢ再開始処理部２１０は、メインシステム１のホストコンピュータ１０－１からＷＲＩＴＥ時刻の応答を受け付けると、チェックポイント情報管理テーブル＃２の系２９２が“副”のレコードのメイン側ＷＲＩＴＥ時刻２９８に、受け付けたＷＲＩＴＥ時刻を格納する（Ｓ５６）。

　ＤＢ再開始処理部２１０は、系２９２が“正”のメイン側ＷＲＩＴＥ時刻２９８と、系２９２が“副”のメイン側ＷＲＩＴＥ時刻２９８が一致しなければ、正チェックポイント情報３２０と副チェックポイント情報４２０のＷＲＩＴＥ時刻は不一致と判定する（Ｓ５７）。

　以上の処理により、正副チェックポイント情報が最後に書き込まれたＷＲＩＴＥ時刻を比較することで、メインシステム１のＤＢＭＳ２０－１とは非同期でバックアップされる正副チェックポイント情報のずれを検出することができる。

　図１４Ａは、チェックポイント情報決定処理＃１の一例を示すフローチャートである。この処理は、図１２のステップＳ２４で回復開始位置決定部２２０のチェックポイント情報決定処理部２４０で行われる処理である。

　チェックポイント情報決定処理部２４０は、チェックポイント情報管理テーブル＃１（２９０－１）を参照し（Ｓ６１）、正チェックポイント情報３２０のＬＳＮ２９４と、副チェックポイント情報４２０のＬＳＮ２９４の値を比較する（Ｓ６２）。

　そして、チェックポイント情報決定処理部２４０は、チェックポイント情報管理テーブル＃１のＬＳＮ２９４の値が古い（小さい）方のチェックポイント情報を、正ＤＢデータ３１０及び副ＤＢデータ４１０の回復用に決定する（Ｓ６３）。そして、チェックポイント情報決定処理部２４０は、チェックポイント情報管理テーブル＃１で決定したチェックポイント情報のチェックポイント情報選択フラグ２９５を“ＯＮ”に設定する。なお、チェックポイント情報選択フラグ２９５のデフォルト値は“ＯＦＦ”である。

　以上の処理によりＬＳＮの小さいチェックポイント情報が選択されて、チェックポイント情報選択フラグ２９５が“ＯＮ”に更新される。

　図１４Ｂは、チェックポイント情報決定処理＃２の一例を示すフローチャートである。この処理は、図１２のステップＳ２８でチェックポイント情報決定処理部２４０によって行われる処理である。

　チェックポイント情報決定処理部２４０は、チェックポイント情報管理テーブル＃２（２９０－２）を参照し（Ｓ７１）、正チェックポイント情報３２０のメイン側ＷＲＩＴＥ時刻２９８と、副チェックポイント情報４２０のメイン側ＷＲＩＴＥ時刻２９８の値を比較する（Ｓ７２）。

　そして、チェックポイント情報決定処理部２４０は、チェックポイント情報管理テーブル＃２のメイン側ＷＲＩＴＥ時刻２９８が古い方のチェックポイント情報を、正ＤＢデータ３１０及び副ＤＢデータ４１０の回復用に決定する（Ｓ７３）。そして、チェックポイント情報決定処理部２４０は、チェックポイント情報管理テーブル＃２で決定したチェックポイント情報のチェックポイント情報選択フラグ２９５を“ＯＮ”に設定する（Ｓ７４）。なお、チェックポイント情報選択フラグ２９５のデフォルト値は“ＯＦＦ”である。

　以上の処理により、ＤＢ定義情報テーブル２８０のＷＲＩＴＥ時刻取得モードが“Ｙ”の場合には、チェックポイント情報管理テーブル＃２でメイン側ＷＲＩＴＥ時刻２９８の古い方のチェックポイント情報が選択されて、チェックポイント情報選択フラグ２９５が“ＯＮ”に更新される。

　図１５Ａは、チェックポイント情報不一致解消処理＃１の一例を示すフローチャートである。この処理は、図１２のステップＳ２５で回復開始位置決定部２２０のチェックポイント情報不一致解消処理部２５０によって行われる。

　チェックポイント情報決定処理部２４０は、チェックポイント情報管理テーブル＃１（２９０－１）を参照し（Ｓ８１）、チェックポイント情報選択フラグ２９５が“ＯＦＦ”のチェックポイント情報を初期化する（Ｓ８２）。

　上記処理により、正ＤＢデータ３１０の回復処理に使用されないチェックポイント情報選択は初期化によってクリアされる。

　図１５Ｂは、チェックポイント情報不一致解消処理＃２の一例を示すフローチャートである。この処理は、図１２のステップＳ３０で回復開始位置決定部２２０のチェックポイント情報不一致解消処理部２５０によって行われる処理である。

　チェックポイント情報不一致解消処理部２５０で、チェックポイント情報管理テーブル＃２（２９０－２）を参照し（Ｓ９１）、チェックポイント情報選択フラグ２９５が“ＯＦＦ”のチェックポイント情報を、チェックポイント情報選択フラグ２９５が“ＯＮ”のチェックポイント情報で上書きする（Ｓ９２）。

　上記処理により、リモートシステム２の正ストレージシステム３０－２の正チェックポイント情報３２０と、副ストレージシステム４０－２の副チェックポイント情報４２０は同期する。

　図１５Ｃは、チェックポイント情報不一致解消処理＃３の一例を示すフローチャートである。この処理は、図１２のステップＳ３１で回復開始位置決定部２２０のチェックポイント情報不一致解消処理部２５０によって行われる処理である。

　回復開始位置決定部２２０のチェックポイント情報不一致解消処理部２５０は、チェックポイント情報管理テーブル＃２（２９０－２）を参照し（Ｓ１０１）、チェックポイント情報選択フラグ２９５が“ＯＦＦ”のチェックポイント情報を、チェックポイント情報選択フラグ２９５が“ＯＮ”のチェックポイント情報で上書きする（Ｓ１０２）。

　図１６は、ＷＲＩＴＥ時刻問合せ処理の一例を示すフローチャートである。この処理は、図１３ＢのステップＳ５２、Ｓ５５で行われる処理で、リモートシステム２のＤＢＭＳ２０－２の開始時（ＤＢＭＳの再開時）に行われる処理である。

　ホストコンピュータ１０－２のＤＢＭＳ２０－２は論理ボリュームＩＤを受け付け、ＤＢ－ボリュームマッピングテーブル２７０を参照して、リモート側ストレージシステムＩＤ２７６を取得する（Ｓ１１１）。

　ホストコンピュータ１０－２は、ステップＳ１１１で取得したリモート側ストレージシステムＩＤ２７６で、図９Ｃ、図９Ｄに示したＷＲＩＴＥ時刻管理テーブル３４０－３～３４０－４を参照してＷＲＩＴＥ時刻３４２を取得する。（Ｓ１１２）。

　以上の処理によって、リモートシステム２のＤＢＭＳ２０－２は、チェックポイント情報が最後に書き込まれた時刻（ＷＲＩＴＥ時刻３４２）をＷＲＩＴＥ時刻管理テーブル３４０－３～３４０－４から取得することができる。なお、メイン側ＷＲＩＴＥ時刻の取得処理は、本処理とは別に行われる。すなわち、メインシステム１からの正副ＤＢデータ、正副チェックポイント情報、正副ログの非同期転送時に、メイン側ＷＲＩＴＥ時刻も一緒に転送され、リモートシステム２の正副ストレージシステム３０－２、４０－２は、ＷＲＩＴＥ時刻管理テーブル３４０－３、３４０－４の反映先論理ボリュームに格納する。

　以上のように本実施例１によれば、データベースを提供するメインシステム１の正副ストレージシステムのデータを、リモートシステム２の正副ストレージシステムへＤＢＭＳ２０－１とは非同期で複写する。正副ストレージシステムのデータには、ＤＢデータとログに加え、ＤＢＭＳ２０－１がＤＢバッファの更新済みデータを正ストレージシステム３０－１の正ＤＢデータ３１０へ書き込んだときに生成するチェックポイント情報３２０、４２０を含む。チェックポイント情報３２０、４２０は、チェックポイントの開始及び終了を示すメッセージに付与したＬＳＮである。また、チェックポイント情報３２０、４２０には、メインシステム１のＤＢＭＳ２０－１の状態情報を記録できる。

　そして、メインシステム１の正副ストレージシステムではＤＢデータ３１０、４１０についてミラーリングを行い、チェックポイント情報とログについてはＤＢＭＳ２０－１が２重化する。リモートシステム２の正副ストレージシステムでは、ミラーリング機能を停止しておく。メインシステム１では、ＤＢＭＳやミラーリング機能とは非同期でリモートシステム２の正副ストレージシステムへ正データの複製を転送する。

　リモートシステム２の正副ストレージシステムでは、ミラーリング機能を停止しているため、メインシステム１のＤＢＭＳ２０－１に障害が発生した時点で、正副ＤＢデータや正副ログは同期しているとは限らない。

　そこで、リモートシステム２のＤＢＭＳ２０－２では、ＤＢＭＳ２０－１に障害が発生すると、正チェックポイント情報３２０と副チェックポイント情報４２０のずれを検出する。このずれの検出は、ＬＳＮの不一致や、ＷＲＩＴＥ時刻の不一致などで検出する。

　そして、正副チェックポイント情報が不一致の場合には、ＬＳＮまたはＷＲＩＴＥ時刻が古い方のチェックポイント情報を、正ＤＢデータ３１０及び副ＤＢデータ４１０の回復開始位置として決定する。回復開始位置は、チェックポイント情報管理テーブル＃１のＬＳＮ２９４、またはチェックポイント情報管理テーブル＃２のメイン側ＷＲＩＴＥ時刻２９８の古い方が指定される。

　ＤＢＭＳ２０－２の回復処理部２６０は、指定された回復開始位置から正ログ３３０または副ログ４３０のうち新しい方から正ＤＢデータ３１０及び副ＤＢデータ４１０の回復処理を実行する。これによりＤＢＭＳ２０－２のみで正ＤＢデータ３１０及び副ＤＢデータ４１０の回復を実現できる。

　そして、メインシステム１とリモートシステム２の正副ストレージシステムの全てのデータをＤＢＭＳ２０－１とは非同期でバックアップしながらも、障害発生時の回復処理を迅速に行うことができるのである。これにより、メインシステム１のネットワークの帯域や、処理能力がディザスタリカバリで消費されるのを抑制することができ、ネットワークの帯域や処理能力に余裕があるときにデータの複製をＤＢＭＳ２０－１とは非同期で行うことができる。したがって、メインシステム１でビッグデータなどの処理を行う際には、ホストコンピュータ１０－１の処理能力及びネットワークの帯域を効率よく利用することができる。

　そして、リモートシステム２で正ＤＢデータ３１０及び副ＤＢデータ４１０の回復処理が完了した後には、正ストレージシステム３０－２と副ストレージシステム４０－２を冗長化することによって、リモートシステム２で提供するデータベースの冗長性を確保できるのである。

　図１７は、第２の実施例を示し、ホストコンピュータ１０の一例を示すブロック図である。第２の実施例では、ＤＢＭＳ２０－２のＤＢ再開始処理部２１０は、正副ＤＢデータ用ボリューム（または正副ＤＢデータ）の更新時刻（ＷＲＩＴＥ時刻）を参照し、更新時刻が新しい方のＤＢデータ用ボリュームの系でチェックポイント情報を選択する。また、更新時刻が新しい方のＤＢデータ用ボリュームで正副ＤＢデータ用ボリュームを同期させておく。そして、選択したチェックポイント情報から正ＤＢデータ３１０の回復処理を実行することで、リモートシステム２での正ＤＢデータ３１０の回復処理の高速化を図るものである。図１７において、ホストコンピュータ１０の構成としては、ＤＢデータ用ボリューム不一致解消処理部２５５を加えた点が、前記実施例１と異なる点である。その他の構成は、前記実施例１と同様である。

　図１８は、ＤＢ再開始処理部２１０で行われる処理の一例を示すフローチャートである。図１８では、前記実施例１の図１１に示したフローチャートに対して、ステップＳ１２０を追加した点が前記実施例１とは異なる。その他については、前記実施例１と同様である。以下では、リモートシステム２のＤＢＭＳ２０－２のＤＢ再開始処理部２１０の例について説明する。

　ステップＳ１１、Ｓ１２では、前記実施例１と同様に、メインシステム１に障害が発生していれば、当該システムがリモートシステム２と判定し、ステップＳ１２０へ進む。

　ステップＳ１２０では、ＤＢ再開始処理部２１０が、後述する図１９のように、リモートシステム２の正ストレージシステム３０－２の正ＤＢデータ用ボリューム３１と、副ストレージシステム４０－２の副ＤＢデータ用ボリューム４１のＷＲＩＴＥ時刻（更新時刻）を比較して、更新時刻が新しい方のＤＢデータ用ボリュームで正副ＤＢデータ用ボリューム３１、４１を同期させておく。なお、ステップＳ１２０の処理については図１９で詳述する。

　次に、ＤＢ再開始処理部２１０は、ログからの回復開始位置の決定処理を実行する（Ｓ１３Ａ）。この処理は、実施例１がＬＳＮまたはＷＲＩＴＥ時刻が古いチェックポイント情報を選択したのに対して、本実施例２では、ＷＲＩＴＥ時刻または新しいチェックポイント情報を選択する点が相違する。すなわち、更新時刻が新しい方のＤＢデータ用ボリュームと同じ系（正副）のチェックポイント情報を回復用に選択する。

　具体的には、ステップＳ１３Ａの処理は、前記実施例１の図１２のステップＳ２４の処理を、図１４Ａに代わって図２３の処理を実行し、図１２のステップＳ２８の処理を、図１４Ｂに代わって図２４の処理を実行すればよい。図２３の処理では、ステップＳ６３Ａで、ＤＢ再開始処理部２１０が、ＬＳＮが新しい方のチェックポイント情報を選択する点が前記実施例１と相違する。また、図２４の処理では、ステップＳ７３Ａで、ＤＢ再開始処理部２１０が、ＷＲＩＴＥ時刻が新しい方のチェックポイント情報を選択する点が前記実施例１と相違する。

　そして、ステップＳ１４では、ＤＢ回復処理部２６０が、ステップＳ１３Ａで選択されたチェックポイント情報のＬＳＮまたはＷＲＩＴＥ時刻から正ログ３３０または副ログ４３０を正ＤＢデータ用ボリューム３１の正ＤＢデータ３１０と副ＤＢデータ用ボリューム４１の副ＤＢデータ４１０に適用して回復処理を実行する。なお、選択するログは、ステップＳ１３Ａで選択されたチェックポイント情報と同一の系の正ログ用ボリューム３３または副ログ用ボリューム４３を用いればよい。

　図１９は、ＤＢデータ用ボリューム不一致解消処理部２５５で行われる処理の一例を示すフローチャートである。この処理は、図１８のステップＳ１２０で回復開始位置決定部２２０のＤＢデータ用ボリューム不一致解消処理部２５５が実行する処理である。

　ＤＢデータ用ボリューム不一致解消処理部２５５は、リモートシステム２の正ＤＢデータ用ボリューム３１の正ＤＢデータ３１０と、副ＤＢデータ用ボリューム４１の副ＤＢデータ４１０が一致しているか否かを判定する（Ｓ１２１）。ステップＳ１２２では、正ＤＢデータ３１０と副ＤＢデータ４１０が一致していない場合にはステップＳ１２３へ進み、一致している場合には処理を終了して図１８の処理に復帰する。

　ステップＳ１２３では、ＤＢデータ用ボリューム不一致解消処理部２５５が、正ＤＢデータ３１０と副ＤＢデータ４１０の更新時刻（ＷＲＩＴＥ時刻）を参照し、更新時刻が新しい方のＤＢデータ用ボリュームを、回復用のボリュームとして決定する。この処理については図２１で詳述する。

　ステップＳ１２４では、ＤＢデータ用ボリューム不一致解消処理部２５５が、上記ステップＳ１２３で決定したＤＢデータ用ボリュームの内容で、正ＤＢデータ用ボリューム３１と副ＤＢデータ用ボリューム４１を同期させる。すなわち、正ＤＢデータ３１０と副ＤＢデータ４１０を同期させる。

　以上の処理によって、正副ＤＢデータ用ボリューム３１、４１は、ＤＢデータ用ボリューム不一致解消処理部２５５が、ＤＢデータ用ボリュームの更新時刻（ＷＲＩＴＥ時刻）を参照し、更新時刻が新しい方のＤＢデータ用ボリュームで正副ＤＢデータ用ボリュームを同期させる。

　図２０は、ＤＢデータ用ボリューム不一判別処理の一例を示すフローチャートである。この処理は、図１９に示したＤＢデータ用ボリューム不一致解消処理部２５５のステップＳ１２１で実行される処理である。

　回復開始位置決定部２２０は、ＤＢ－ボリュームマッピングテーブル２７０を参照して、系２７２が“正”で、かつ、種別２７３が“ＤＢデータ”のリモート側論理ボリュームＩＤを検索する（Ｓ１２１１）。

　図５に示すリモート側論理ボリュームＩＤ２７７で図５のＶＯＬ１－Ｂ１が該当するボリュームＩＤとなる。この論理ボリュームＩＤ＝ＶＯＬ１－Ｂ１は、図１に示した正ストレージシステム３０－２の正ＤＢデータ用ボリューム３１に対応し、正ＤＢデータ３１０を格納する。

　回復開始位置決定部２２０は、当該正ＤＢデータ３１０をメインシステム１で最後に書き込んだ時刻（ＷＲＩＴＥ時刻）を、正チェックポイント情報３２０を格納した正ストレージシステム３０－２に問い合わせる（Ｓ１２１２）。

　すなわち、回復開始位置決定部２２０は、上記ステップＳ１２１１で検索した論理ボリュームＩＤ＝ＶＯＬ１－Ｂ１を制御する正ストレージシステム３０－２に、図９Ｃに示したＷＲＩＴＥ時刻管理テーブル３４０－３の値を問い合わせる。

　回復開始位置決定部２２０は、正ストレージシステム３０－２からＷＲＩＴＥ時刻の応答を受け付けると、チェックポイント情報管理テーブル＃２の系２９２が“正”のレコードのメイン側ＷＲＩＴＥ時刻２９８に受け付けたＷＲＩＴＥ時刻を格納する（Ｓ１２１３）。

　回復開始位置決定部２２０は、ＤＢ－ボリュームマッピングテーブル２７０を参照して、系２７２が“副”で、かつ、種別２７３が“ＤＢデータ”のリモート側論理ボリュームＩＤを検索する（Ｓ１２１４）。図５に示すリモート側論理ボリュームＩＤ２７７でＶＯＬ１－Ｂ２が該当するボリュームＩＤとなる。この論理ボリュームＩＤ＝ＶＯＬ１－Ｂ２は、図１に示した副ストレージシステム４０－２の副チェックポイント情報用ボリューム４２に対応し、副チェックポイント情報４２０を格納する。

　回復開始位置決定部２２０は、当該正チェックポイント情報３２０をメインシステム１で最後に書き込んだ時刻（ＷＲＩＴＥ時刻）を、正ストレージシステム３０－２に問い合わせる（Ｓ１２１５）。

　すなわち、回復開始位置決定部２２０は、上記ステップＳ１２１５で検索した論理ボリュームＩＤ＝ＶＯＬ１－Ｂ２について、副ストレージシステム４０－２にＷＲＩＴＥ時刻を問い合わせる。

　回復開始位置決定部２２０は、副ストレージシステム４０－２からＷＲＩＴＥ時刻の応答を受け付けると、チェックポイント情報管理テーブル＃２の系２９２が“副”のレコードのメイン側ＷＲＩＴＥ時刻２９８に、受け付けたＷＲＩＴＥ時刻を格納する（Ｓ１２１６）。

　回復開始位置決定部２２０は、系２９２が“正”のメイン側ＷＲＩＴＥ時刻２９８と、系２９２が“副”のメイン側ＷＲＩＴＥ時刻２９８が一致しなければ、正ＤＢデータ３１０と副ＤＢデータ４１０は不一致と判定する（Ｓ１２１７）。

　以上の処理により、正副ＤＢデータ３１０、４１０で情報が最後に書き込まれたＷＲＩＴＥ時刻を比較することで、非同期でバックアップされる正副ＤＢデータのずれを検出することができる。

　図２１は、ＤＢデータ用ボリューム決定処理の一例を示すフローチャートである。この処理は、図１９に示したステップＳ１２３で回復開始位置決定部２２０によって実行される処理である。

　回復開始位置決定部２２０は、チェックポイント情報管理テーブル＃２（２９０－２）を参照し（Ｓ１２２１）、系２９２が“正”のメイン側ＷＲＩＴＥ時刻２９８、系２９２が“副”のメイン側ＷＲＩＴＥ時刻２９８の値を比較する（Ｓ１２２２）。

　そして、回復開始位置決定部２２０は、チェックポイント情報管理テーブル＃２のメイン側ＷＲＩＴＥ時刻２９８のチェックポイント情報を、正ＤＢデータ３１０の回復用のボリュームとして決定する（Ｓ１２２３）。そして、回復開始位置決定部２２０は、チェックポイント情報管理テーブル＃１で決定したチェックポイント情報のチェックポイント情報選択フラグ２９５を“ＯＮ”に設定する。なお、チェックポイント情報選択フラグ２９５のデフォルト値は“ＯＦＦ”である。

　以上の処理によりメイン側ＷＲＩＴＥ時刻２９８やＬＳＮの新しい方のＤＢデータ用ボリュームが選択されて、チェックポイント情報選択フラグ２９５が“ＯＮ”に更新される。

　図２２は、ＤＢデータ用ボリューム同期処理の一例を示すフローチャートである。この処理は、図１９のステップＳ３１で回復開始位置決定部２２０によって行われる処理である。

　回復開始位置決定部２２０は、チェックポイント情報管理テーブル＃２（２９０－２）を参照し（Ｓ１２４１）、チェックポイント情報選択フラグ２９５が“ＯＦＦ”のＤＢデータ用ボリュームを、チェックポイント情報選択フラグ２９５が“ＯＮ”のＤＢデータ用ボリュームの内容で上書きする（Ｓ１２４２）。

　上記処理により、リモートシステム２の正ストレージシステム３０－２の正ＤＢデータ３１０と、副ストレージシステム４０－２の副ＤＢデータ４１０は、ＷＲＩＴＥ時刻が新しい方の内容に同期される。

　以上の処理によって、実施例２では、ＤＢ再開始処理部２１０が、リモートシステム２のＤＢデータ用ボリューム３１、４１の更新時刻（ＷＲＩＴＥ時刻）をメインシステム１のストレージシステムから取得し、更新時刻が新しい方のＤＢデータ用ボリュームの系でチェックポイント情報を選択する。また、ＤＢ再開始処理部２１０は、更新時刻が新しい方のＤＢデータ用ボリュームで正副ＤＢデータ用ボリューム３１、４１を同期させておく。そして、選択したチェックポイント情報に基づいて正ログ３３０または副ログ４３０から正ＤＢデータ３１０の回復処理を実行することで、リモートシステム２での正ＤＢデータ３１０の回復処理の高速化を図ることができる。

　図２５は、第３の実施例を示し、ホストコンピュータ１０の一例を示すブロック図である。第３の実施例では、ＤＢＭＳ２０－２のＤＢ再開始処理部２１０は、正副チェックポイント情報用ボリューム（または正副チェックポイント情報）の更新時刻（ＷＲＩＴＥ時刻）が新しい方のチェックポイント情報用ボリュームの系を、更新用の系とする。正副ＤＢチェックポイント情報用ボリューム（または正副チェックポイント情報）の更新時刻が一致する場合は、正副ログ用ボリューム３３、４３の更新時刻（ＷＲＩＴＥ時刻）が新しい方の正副ログ用ボリュームの系を、更新用の系とする。そして、更新用の系を同期元として他方の系を上書きしてから、正ＤＢデータ３１０の回復を実行する。これにより、ＤＢデータ回復処理の高速化を図るものである。

　図２５において、ホストコンピュータ１０の構成としては、正副ボリューム不一致解消処理部２５６と、系決定結果管理テーブル５１０と、ボリューム同期情報テーブル５２０を加えた点が、前記実施例１と異なる点である。その他の構成は、前記実施例１と同様である。

　図２９は、系決定結果管理テーブル５１０の一例を示す図である。ＤＢ再開始処理部２１０が管理する系決定結果管理テーブル５１０は、同期元ストレージシステムＩＤ５１１と、同期先ストレージシステムＩＤ５１２と、をひとつのレコードに含む。図示の例では、リモートシステム２の副ストレージシステム４０－２（ＩＤ＝“ＣＴＬ＃Ｂ２”）の内容で、正ストレージシステム３０－２（ＩＤ＝“ＣＴＬ＃Ｂ１”）を上書きすることを示唆している。

　図３０は、ボリューム同期情報テーブル５２０の一例を示す図である。ＤＢ再開始処理部２１０が管理するボリューム同期情報テーブル５２０は、データの種類を格納する種別５２１と、コピー元の識別子となる同期元ストレージシステムＩＤ５２２と、コピー元のボリューム識別子となる同期元ボリュームＩＤ５２３と、上書き対象の識別子となる同期先ストレージシステムＩＤ５２４と、上書き対象のボリューム識別子となる同期先ボリュームＩＤ５２５と、をひとつのレコードに含む。

　図２６は、ＤＢ再開始処理部２１０で行われる処理の一例を示すフローチャートである。図２６では、前記実施例１の図１１に示したフローチャートに対して、ステップＳ１３のログからの回復開始位置決定処理を、ステップＳ１３０の正副ボリューム不一致解消処理に置き換えたもので、その他については、前記実施例１と同様である。以下では、リモートシステム２のＤＢＭＳ２０－２のＤＢ再開始処理部２１０の例について説明する。

　ステップＳ１１、Ｓ１２では、前記実施例１と同様に、メインシステム１に障害が発生していれば、当該システムがリモートシステム２と判定し、ステップＳ１３０へ進む。

　ステップＳ１３０では、ＤＢ再開始処理部２１０の正副ボリューム不一致解消処理部２５６が、正副チェックポイント情報用ボリューム（または正副チェックポイント情報）の更新時刻（ＷＲＩＴＥ時刻）が新しい方、あるいは、正副ログ用ボリュームの更新時刻（ＷＲＩＴＥ時刻）が新しい方を同期元の系（ストレージシステム）として決定し、他方の系を同期先として決定する。そして、正副ボリューム不一致解消処理部２５６は、同期元の系の内容で、同期先となる系の内容を上書きする。これにより、正副ボリューム不一致解消処理部２５６は、ＤＢデータの更新時刻が新しい、または、ログの更新時刻が新しい方の内容に正副ボリュームを同期する。

　そして、ステップＳ１４では、ＤＢ回復処理部２６０が、ステップＳ１３０で同期されたチェックポイント情報の直近のＬＳＮまたはＷＲＩＴＥ時刻から正ログ３３０を正ＤＢデータ用ボリューム３１の正ＤＢデータ３１０に適用して回復処理を実行する。

　以上の処理により、チェックポイント情報の更新時刻が新しいか、ログの更新時刻が新しい系で正副ボリュームを同期させてから、直近のＬＳＮまたはＷＲＩＴＥ時刻からログを適用して正副ＤＢデータ３１０を回復することで、ログ適用の範囲を絞って、回復処理の高速化を計ることができる。

　図２７は、正副ボリューム不一致解消処理部２５６の一例を示すフローチャートである。この処理は、図２６のステップＳ１３０で、正副ボリューム不一致解消処理部２５６が実行する処理である。

　正副ボリューム不一致解消処理部２５６は、正チェックポイント情報３２０と副チェックポイント情報４２０のＬＳＮまたは更新時刻（ＷＲＩＴＥ時刻）が一致するかを判別する（Ｓ１３１）。この処理は、前記実施例１の図１３Ａに示したＬＳＮによるチェックポイント情報不一致判別処理＃１、または図１３Ｂに示したＷＲＩＴＥ時刻によるチェックポイント情報不一致判別処理＃２の何れかを実行すればよい。

　ステップＳ１３２で、正副ボリューム不一致解消処理部２５６は、ステップＳ１３１の結果から正チェックポイント情報３２０と副チェックポイント情報４２０が一致するか否かを判定する。一致する場合はステップＳ１３５へ進み、一致しない場合にはステップＳ１３３へ進む。

　ステップＳ１３３では、正副ボリューム不一致解消処理部２５６が、チェックポイント情報が新しい方のボリュームの系を同期元として決定し、他方の系を同期先として決定する。チェックポイント情報が新しい方のボリュームの決定は、前記実施例２の図２３または図２４のフローチャートを実行すれば良い。

　ステップＳ１３７では、正副ボリューム不一致解消処理部２５６が、ログが新しい方のボリュームの系を同期元として決定し、他方の系を同期先として決定する。ログが新しい方のボリュームの決定は、前記実施例２の図２４のチェックポイント情報と同様にして、正ログ３３０または副ログ４３０の更新時刻（メイン側ＷＲＩＴＥ時刻）が新しい方のボリュームを、同期元として決定する。

　ステップＳ１３７では、正副ボリューム不一致解消処理部２５６が、上記ステップＳ１３３またはＳ１３７で決定した同期元の系の内容で、同期先の系の内容を上書きし、正副のボリュームを同期させる。

　図２８は、正副ボリューム同期処理の一例を示すフローチャートである。正副ボリューム不一致解消処理部２５６は、ＤＢ－ボリュームマッピングテーブル２７０を参照し、同期先の系のストレージシステムＩＤを取得して、系決定結果管理テーブル５１０の同期元ストレージシステムＩＤ５１１に格納し、他方の系のストレージシステムＩＤを同期先ストレージシステムＩＤ５１２に格納する。また、正副ボリューム不一致解消処理部２５６は、同期元と同期先のストレージシステムのデータの種類毎に、論理ボリュームＩＤをボリューム同期情報テーブル５２０に設定する（Ｓ１３４１）。

　正副ボリューム不一致解消処理部２５６は、ボリューム同期情報テーブル５２０の情報を、正副ストレージシステム３０－２、４０－２のアクセス制御部３４、４４にそれぞれ送信し、同期元の論理ボリュームの内容で、同期先の論理ボリュームの内容を上書きして同期を実行する。

　以上のように、実施例３では、チェックポイント情報またはログが新しい方の系を、更新用の系とする、更新用の系で他方の系を同期してからログからの回復を実行することで、ログの適用範囲を絞り込んでＤＢデータの回復処理の高速化を図ることができる。

　＜まとめ＞
　なお、本発明において説明した計算機等の構成、処理部及び処理手段等は、それらの一部又は全部を、専用のハードウェアによって実現してもよい。

　また、本実施例で例示した種々のソフトウェアは、電磁的、電子的及び光学式等の種々の記録媒体（例えば、非一時的な記憶媒体）に格納可能であり、インターネット等の通信網を通じて、コンピュータにダウンロード可能である。

　また、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明をわかりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。

　また、上記各実施例では、所定の周期でリモートシステム２のＤＢＭＳ２０－２の再開始処理部２１０が、リモートシステム２の正副ストレージシステムのデータのずれを検出する例を示したが、メインシステム１のＤＢＭＳ２０－１が障害の発生をリモートシステム２に通知したとき等に、リモートシステム２の正副ストレージシステムのデータのずれを検出するようにしてもよい。あるいは、リモートシステム２のホストコンピュータ１０－２が、メインシステム１と通信できなくなったとき、あるいは、ホストコンピュータ１０－２がメインシステム１のホストコンピュータ１０－２のハートビートを検出できなくなったとき等にＤＢＭＳ２０－２の再開始処理部２１０が回復処理を開始してもよい。

Claims

　データベースを提供する第１のサイトと、前記データベースの複製を格納する第２のサイトと、を有して第２のサイトの管理計算機で前記データベースを回復するデータベースシステムの制御方法であって、
　前記第１のサイトは、
　プロセッサとメモリを含んで前記データベースを制御するデータベース管理部を稼働させる第１の計算機と、
　前記データベースに関連するデータを格納する第１の正ストレージ装置と、
　前記第１の正ストレージ装置に格納される前記データの複製を格納する第１の副ストレージ装置と、を有し、
　前記第２のサイトは、
　プロセッサとメモリを含んで前記データベースを回復する再開始処理部を稼働させる第２の計算機と、
　前記第１の正ストレージ装置から受信した前記データを格納する第２の正ストレージ装置と、
　前記第１の副ストレージ装置から受信した前記データを格納する第２の副ストレージ装置と、を有し、
　前記制御方法は、
　前記第１の計算機が、前記データベースの処理を行って、前記データベースのデータを更新する第１のステップと、
　前記第１の正ストレージ装置が、前記データベース管理部とは非同期で、前記データを前記第２の正ストレージ装置へ送信する第２のステップと、
　前記第１の副ストレージ装置が、前記データベース管理部とは非同期で、前記データを前記第２の副ストレージ装置へ送信する第３のステップと、
　前記第２の計算機が、所定のタイミングで前記第２の正ストレージ装置のデータと、前記第２の副ストレージ装置のデータを比較する第４のステップと、
　前記第２の計算機が、前記比較の結果、前記第２の正ストレージ装置のデータと、前記第２の副ストレージ装置のデータが一致しない場合には、前記データベースを回復する第５のステップと、
を含むことを特徴とするデータベースシステムの制御方法。
　請求項１に記載のデータベースシステムの制御方法であって、
　前記データベースに関連するデータは、前記データベースのデータと、前記データベースの更新時に生成されたログと、所定のタイミングで生成されたチェックポイント情報と、を含み、
　前記第１のステップは、
　前記第１の計算機が、前記データベースのデータを更新する際に、前記更新するデータのログを生成して前記ログを前記第１の正ストレージ装置に格納するステップと、
　前記第１の計算機が、前記更新されたデータベースのデータを前記第１の正ストレージ装置へ書き込む際に、前記ログの位置を示すチェックポイント情報を生成し、前記更新されたデータと前記チェックポイント情報とを前記第１の正ストレージ装置に格納するステップと、を含み
　前記第４のステップは、
　前記第２の計算機が、前記第２の正ストレージ装置のチェックポイント情報と、前記第２の副ストレージ装置のチェックポイント情報とを比較し、
　前記第５のステップは、
　前記第２の計算機が、前記比較の結果、前記第２の正ストレージ装置と前記第２の副ストレージ装置のチェックポイント情報が一致しない場合には、何れか一方のチェックポイント情報を選択してログの回復開始位置を決定し、当該回復開始位置から前記ログを前記データベースに適用してデータを回復することを特徴とするデータベースシステムの制御方法。
　請求項２に記載のデータベースシステムの制御方法であって、
　前記第５のステップは、
　前記第２の計算機が、前記第２の正ストレージ装置と前記第２の副ストレージ装置のうち古い方のチェックポイント情報を選択し、前記選択したチェックポイント情報に対応するログから回復開始位置を決定し、当該回復開始位置から前記ログを前記データベースに適用してデータを回復することを特徴とするデータベースシステムの制御方法。
　請求項１に記載のデータベースシステムの制御方法であって、
　前記データベースに関連するデータは、前記データベースのデータと、前記データベースの更新時に生成されたログと、所定のタイミングで生成されたチェックポイント情報と、を含み、
　前記第１のステップは、
　前記第１の計算機が、前記データベースのデータを更新する際に、前記更新するデータのログを生成して前記ログを前記第１の正ストレージ装置に格納するステップと、
　前記第１の計算機が、前記更新されたデータベースのデータを前記第１の正ストレージ装置へ書き込む際に、前記ログの位置を示すチェックポイント情報を生成し、前記更新されたデータと前記チェックポイント情報とを前記第１の正ストレージ装置に格納するステップと、
　前記第１の正ストレージ装置が、前記チェックポイント情報を前記第１の正ストレージ装置に格納した第１の書き込み時刻を保持するステップと、
　前記第１の副ストレージ装置が、前記チェックポイント情報を前記第１の副ストレージ装置に格納した第２の書き込み時刻を保持するステップと、を含み
　前記第４のステップは、
　前記第２の計算機が、前記第２の正ストレージ装置のチェックポイント情報について、前記第１の計算機が前記第１の正ストレージ装置に格納した第１の書き込み時刻を取得し、前記第２の副ストレージ装置のチェックポイント情報について、前記第１の計算機が前記第１の副ストレージ装置に格納した第２の書き込み時刻を取得し、これら第１の書き込み時刻と第２の書き込み時刻とを比較し、
　前記第５のステップは、
　前記第２の計算機は、前記比較の結果、前記第１の書き込み時刻と前記第２の書き込み時刻が一致しない場合には、何れか一方のチェックポイント情報を選択してログの回復開始位置を決定し、当該回復開始位置から前記ログを前記データベースに適用してデータを回復することを特徴とするデータベースシステムの制御方法。
　請求項４に記載のデータベースシステムの制御方法であって、
　前記第５のステップは、
　前記第２の計算機は、前記第１の書き込み時刻と前記第２の書き込み時刻が一致しない場合には、前記第１の書き込み時刻と前記第２の書き込み時刻のうち古い方を選択し、当該選択した書き込み時刻に対応するチェックポイント情報からログの回復開始位置を決定し、当該回復開始位置から前記ログを前記データベースに適用してデータを回復することを特徴とするデータベースシステムの制御方法。
　請求項２に記載のデータベースシステムの制御方法であって、
　前記第５のステップは、
　前記第２の計算機が、前記比較の結果、前記第２の正ストレージ装置と前記第２の副ストレージ装置のチェックポイント情報が一致しない場合には、何れか一方のチェックポイント情報を選択し、当該選択したチェックポイント情報の内容で前記選択されなかったチェックポイント情報を上書き、または選択されなかったチェックポイント情報を初期化するステップをさらに含むことを特徴とするデータベースシステムの制御方法。
　請求項１に記載のデータベースシステムの制御方法であって、
　前記データベースに関連するデータは、前記データベースのデータと、前記データベースの更新時に生成されたログと、所定のタイミングで生成されたチェックポイント情報と、を含み、
　前記第１のステップは、
　前記第１の計算機が、前記データベースのデータを更新する際に、前記更新するデータのログを生成して前記ログを前記第１の正ストレージ装置に格納するステップと、
　前記第１の計算機が、前記更新されたデータベースのデータを前記第１の正ストレージ装置へ書き込む際に、前記ログの位置を示すチェックポイント情報を生成し、前記更新されたデータと前記チェックポイント情報とを前記第１の正ストレージ装置に格納するステップと、を含み
　前記第４のステップは、
　前記第２の計算機が、前記第２の正ストレージ装置のデータベースのデータと、前記第２の副ストレージ装置のデータベースのデータとを比較し、
　前記第５のステップは、
　前記第２の計算機が、前記比較の結果、前記第２の正ストレージ装置と前記第２の副ストレージ装置のデータベースのデータが一致しない場合には、何れか一方のデータベースのデータを選択するステップと、
　前記第２の計算機が、前記選択したデータベースのデータで、前記選択されなかったデータベースのデータを上書きするステップと、
　前記第２の計算機が、前記選択したデータベースのデータを格納する第２の正ストレージ装置または第２の副ストレージ装置を特定し、前記特定したストレージ装置のチェックポイント情報からログの回復開始位置を決定し、当該回復開始位置から前記ログを前記データベースに適用してデータを回復することを特徴とするデータベースシステムの制御方法。
　請求項１に記載のデータベースシステムの制御方法であって、
　前記データベースに関連するデータは、前記データベースのデータと、前記データベースの更新時に生成されたログと、所定のタイミングで生成されたチェックポイント情報と、を含み、
　前記第１のステップは、
　前記第１の計算機が、前記データベースのデータを更新する際に、前記更新するデータのログを生成して前記ログを前記第１の正ストレージ装置に格納するステップと、
　前記第１の計算機が、前記更新されたデータベースのデータを前記第１の正ストレージ装置へ書き込む際に、前記ログの位置を示すチェックポイント情報を生成し、前記更新されたデータと前記チェックポイント情報とを前記第１の正ストレージ装置に格納するステップと、
　前記第１の正ストレージ装置が、前記チェックポイント情報を前記第１の正ストレージ装置に格納した第１の書き込み時刻を保持するステップと、
　前記第１の副ストレージ装置が、前記チェックポイント情報を前記第１の副ストレージ装置に格納した第２の書き込み時刻を保持するステップと、
　前記第１の正ストレージ装置が、前記ログを前記第１の正ストレージ装置に格納した第３の書き込み時刻を保持するステップと、
　前記第１の副ストレージ装置が、前記ログを前記第１の副ストレージ装置に格納した第４の書き込み時刻を保持するステップと、を含み
　前記第４のステップは、
　前記第２の計算機が、前記第２の正ストレージ装置のチェックポイント情報について、前記第１の計算機が前記第１の正ストレージ装置に格納した第１の書き込み時刻を取得し、前記第２の副ストレージ装置のチェックポイント情報について、前記第１の計算機が前記第１の副ストレージ装置に格納した第２の書き込み時刻を取得し、これら第１の書き込み時刻と第２の書き込み時刻とを比較し、前記第１の書き込み時刻と第２の書き込み時刻が等しい場合には、前記第３の書き込み時刻と第４の書き込み時刻を比較し、
　前記第５のステップは、
　前記第２の計算機は、前記比較の結果、前記第３の書き込み時刻と前記第４の書き込み時刻が一致しない場合には、何れか一方のログを選択し、当該選択したログを格納する前記第２の正ストレージ装置または第２の副ストレージ装置を特定し、前記特定したストレージ装置の内容で他方のストレージ装置を上書きし、前記選択したログから回復開始位置を決定し、当該回復開始位置から前記ログを前記データベースに適用してデータを回復することを特徴とするデータベースシステムの制御方法。
　データベースを提供する第１のサイトと、
　前記データベースの複製を格納する第２のサイトと、を有して第２のサイトの管理計算機で前記データベースを回復するデータベースシステムであって、
　前記第１のサイトは、
　プロセッサとメモリを含んで前記データベースを制御するデータベース管理部を稼働させる第１の計算機と、
　前記データベースに関連するデータを格納する第１の正ストレージ装置と、
　前記第１の正ストレージ装置に格納される前記データの複製を格納する第１の副ストレージ装置と、を有し、
　前記第２のサイトは、
　プロセッサとメモリを含んで前記データベースを回復する再開始処理部を稼働させる第２の計算機と、
　前記第１の正ストレージ装置から受信した前記データを格納する第２の正ストレージ装置と、
　前記第１の副ストレージ装置から受信した前記データを格納する第２の副ストレージ装置と、を有し、
　前記第１の計算機の前記データベース管理部は、
　前記第１の計算機が、前記データベースの処理を行って、前記データベースのデータを更新し、
　前記第１の正ストレージ装置が、前記データベース管理部とは非同期で、前記データを前記第２の正ストレージ装置へ送信し、
　前記第１の副ストレージ装置が、前記データベース管理部とは非同期で、前記データを前記第２の副ストレージ装置へ送信し、
　前記第２の計算機の前記再開始処理部は、
　所定のタイミングで前記第２の正ストレージ装置のデータと、前記第２の副ストレージ装置のデータを比較して、前記第２の正ストレージ装置のデータと、前記第２の副ストレージ装置のデータが一致しない場合には、前記データベースを回復することを特徴とするデータベースシステム。
　請求項９に記載のデータベースシステムであって、
　前記データベースに関連するデータは、前記データベースのデータと、前記データベースの更新時に生成されたログと、所定のタイミングで生成されたチェックポイント情報と、を含み、
　前記第１の計算機の前記データベース管理部は、
　前記データベースのデータを更新する際に、前記更新するデータのログを生成して前記ログを前記第１の正ストレージ装置に格納し、前記更新されたデータベースのデータを前記第１の正ストレージ装置へ書き込む際に、前記ログの位置を示すチェックポイント情報を生成し、前記更新されたデータと前記チェックポイント情報とを前記第１の正ストレージ装置に格納し、
　前記第２の計算機の前記再開始処理部は、
　前記第２の計算機が、前記第２の正ストレージ装置のチェックポイント情報と、前記第２の副ストレージ装置のチェックポイント情報とを比較した結果、前記第２の正ストレージ装置と前記第２の副ストレージ装置のチェックポイント情報が一致しない場合には、何れか一方のチェックポイント情報を選択してログの回復開始位置を決定し、当該回復開始位置から前記ログを前記データベースに適用してデータを回復することを特徴とするデータベースシステム。
　請求項１０に記載のデータベースシステムであって、
　前記第２の計算機の前記再開始処理部は、
　前記第２の正ストレージ装置と前記第２の副ストレージ装置のうち古い方のチェックポイント情報を選択し、前記選択したチェックポイント情報に対応するログから回復開始位置を決定し、当該回復開始位置から前記ログを前記データベースに適用してデータを回復することを特徴とするデータベースシステム。
　請求項９に記載のデータベースシステムであって、
　前記データベースに関連するデータは、前記データベースのデータと、前記データベースの更新時に生成されたログと、所定のタイミングで生成されたチェックポイント情報と、を含み、
　前記第１の計算機の前記データベース管理部は、
　前記データベースのデータを更新する際に、前記更新するデータのログを生成して前記ログを前記第１の正ストレージ装置に格納し、前記更新されたデータベースのデータを前記第１の正ストレージ装置へ書き込む際に、前記ログの位置を示すチェックポイント情報を生成し、前記更新されたデータと前記チェックポイント情報とを前記第１の正ストレージ装置に格納し、
　前記第１の正ストレージ装置が、前記チェックポイント情報を前記第１の正ストレージ装置に格納した第１の書き込み時刻を保持し、
　前記第１の副ストレージ装置が、前記チェックポイント情報を前記第１の副ストレージ装置に格納した第２の書き込み時刻を保持し、
　前記第２の計算機の前記再開始処理部は、
　前記第２の正ストレージ装置のチェックポイント情報について、前記第１の計算機が前記第１の正ストレージ装置に格納した第１の書き込み時刻を取得し、前記第２の副ストレージ装置のチェックポイント情報について、前記第１の計算機が前記第１の副ストレージ装置に格納した第２の書き込み時刻を取得し、これら第１の書き込み時刻と第２の書き込み時刻とを比較した結果、前記第１の書き込み時刻と前記第２の書き込み時刻が一致しない場合には、何れか一方のチェックポイント情報を選択してログの回復開始位置を決定し、当該回復開始位置から前記ログを前記データベースに適用してデータを回復することを特徴とするデータベースシステム。
　請求項１２に記載のデータベースシステムであって、
　前記第２の計算機の前記再開始処理部は、
　前記第１の書き込み時刻と前記第２の書き込み時刻が一致しない場合には、前記第１の書き込み時刻と前記第２の書き込み時刻のうち古い方を選択し、当該選択した書き込み時刻に対応するチェックポイント情報からログの回復開始位置を決定し、当該回復開始位置から前記ログを前記データベースに適用してデータを回復することを特徴とするデータベースシステム。
　請求項１０に記載のデータベースシステムであって、
　前記第２の計算機の前記再開始処理部は、
　前記比較の結果、前記第２の正ストレージ装置と前記第２の副ストレージ装置のチェックポイント情報が一致しない場合には、何れか一方のチェックポイント情報を選択し、当該選択したチェックポイント情報の内容で前記選択されなかったチェックポイント情報を上書き、または選択されなかったチェックポイント情報を初期化することを特徴とするデータベースシステム。
　請求項９に記載のデータベースシステムであって、
　前記データベースに関連するデータは、前記データベースのデータと、前記データベースの更新時に生成されたログと、所定のタイミングで生成されたチェックポイント情報と、を含み、
　前記第１の計算機の前記データベース管理部は、
　前記データベースのデータを更新する際に、前記更新するデータのログを生成して前記ログを前記第１の正ストレージ装置に格納し、前記更新されたデータベースのデータを前記第１の正ストレージ装置へ書き込む際に、前記ログの位置を示すチェックポイント情報を生成し、前記更新されたデータと前記チェックポイント情報とを前記第１の正ストレージ装置に格納し、
　前記第２の計算機の前記再開始処理部は、
　前記第２の正ストレージ装置のデータベースのデータと、前記第２の副ストレージ装置のデータベースのデータとを比較した結果、前記第２の正ストレージ装置と前記第２の副ストレージ装置のデータベースのデータが一致しない場合には、何れか一方のデータベースのデータを選択し、前記選択したデータベースのデータで、前記選択されなかったデータベースのデータを上書きし、前記第２の計算機が、前記選択したデータベースのデータを格納する第２の正ストレージ装置または第２の副ストレージ装置を特定し、前記特定したストレージ装置のチェックポイント情報からログの回復開始位置を決定し、当該回復開始位置から前記ログを前記データベースに適用してデータを回復することを特徴とするデータベースシステム。