WO2017081748A1

WO2017081748A1 - ストレージシステム、及び、ストレージ管理方法

Info

Publication number: WO2017081748A1
Application number: PCT/JP2015/081607
Authority: WO
Inventors: 本田　聖志; 直人椎野; 安藤　徹; 慶一郎内田
Original assignee: 株式会社日立製作所
Priority date: 2015-11-10
Filing date: 2015-11-10
Publication date: 2017-05-18
Also published as: US20180196718A1; US10509700B2

Abstract

ストレージシステムは、ストレージコントローラとＲＡＩＤグループとを有する。ストレージコントローラは、各ＲＡＩＤグループに対し複数の異なる障害回復処理の内の何れかの障害回復処理が対応付けられているポリシー管理情報を有し、ＲＡＩＤグループへ発行したコマンドに対するエラーを検知した場合、ポリシー管理情報に基づいて、そのコマンドの発行先のＲＡＩＤグループに対応付けられている障害回復処理を特定し、その特定した障害回復処理を実行する。

Description

ストレージシステム、及び、ストレージ管理方法

　本発明は、概して、ストレージシステムの技術に関する。

　ストレージシステムは、耐障害性を高めるために、複数のドライブ（例えばＨａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ（ＨＤＤ））をＲｅｄｕｎｄａｎｔ　Ａｒｒａｙｓ　ｏｆ　Ｉｎｅｘｐｅｎｓｉｖｅ　Ｄｉｓｋｓ（ＲＡＩＤ）構成にしたり、ストレージコントローラとドライブとの間のパスを多重化したりする。特許文献１には、ドライブユニットに対するコネクションパス中に障害部位を検出した場合に、当該障害部位を迂回又は回避するように当該コネクションパスを再構築するストレージサブシステムが開示されている。

特開２００９―１８７４８３号公報

　ストレージシステムの運用において、障害の検知されたドライブは閉塞され交換される。しかし、障害の原因は、必ずしもそのドライブとは限らず、別の要素（例えば別のデバイスやネットワークなど）の場合もある。このような場合、ドライブの交換コストは無駄になってしまう。一方、障害を検知する度にその障害の原因を追及していると、ストレージシステムのパフォーマンスや稼働率が低下してしまう。

　本発明の目的は、顧客の目的に応じて運用コストとパフォーマンスとを調整可能なストレージシステム及びストレージ管理方法を提供することにある。本発明の別の目的は、障害の回復や障害の原因を切り分け可能なストレージシステム及びストレージ管理方法を提供することにある。

　一実施形態に係るストレージシステムは、複数の記憶デバイスから構成される複数のＲＡＩＤグループと、ＲＡＩＤグループを制御するストレージコントローラとを含む。ストレージコントローラは、各ＲＡＩＤグループに対して複数の異なる障害回復処理の内の何れかの障害回復処理が対応付けられているポリシー管理情報を有する。ストレージコントローラは、ＲＡＩＤグループへ発行したコマンドに対するエラーを検知した場合、ポリシー管理情報に基づいて、そのコマンドの発行先のＲＡＩＤグループに対応付けられている障害回復処理を特定し、その特定した障害回復処理を実行する。

　本発明によれば、ストレージシステムにおいて、目的に応じて運用コストとパフォーマンスとを調整することができる。また、ストレージシステムにおいて、障害の回復や障害の原因の切り分けが可能となる。

一実施形態に係るストレージシステムの構成例を示す。ストレージコントローラの有する機能及びデータの例である。回復手段管理テーブルの構成例を示す。顧客ポリシー管理テーブルの構成例を示す。ドライブ障害管理テーブルの構成例を示す。顧客ポリシー設定処理の一例を示すフローチャートである。Ｉ／Ｏ処理の一例を示すフローチャートである。回復判定処理の一例を示すフローチャートである。障害部位推定処理の一例を示すフローチャートである。ドライブ回復処理の一例を示すフローチャートである。非同期型のドライブ回復処理の一例を示すフローチャートである。障害パス（リンク）回復処理の一例を示すフローチャートである。図１２の障害パス（リンク）回復処理の続きを示すフローチャートである。ＰＨＹステータス情報の構成例を示す。障害部位の切り分け方法を説明するための図である。リンク診断処理を説明するための図である。

　以下、実施形態を説明する。以下の説明では、「ｘｘｘテーブル」、「ｘｘｘキュー」又は「ｘｘｘリスト」の表現にて情報を説明することがあるが、情報は、どのようなデータ構造で表現されていてもよい。すなわち、情報がデータ構造に依存しないことを示すために、「ｘｘｘテーブル」、「ｘｘｘキュー」又は「ｘｘｘリスト」を「ｘｘｘ情報」と呼ぶことができる。

　また、以下の説明では、「プログラム」を主語として処理を説明する場合があるが、プログラムは、プロセッサ（例えばＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ））によって実行されることで、定められた処理を、適宜に記憶資源（例えばメモリ）及び通信インターフェイスデバイスのうちの少なくとも１つを用いながら行うため、処理の主語が、プロセッサ、そのプロセッサを有する装置とされてもよい。プロセッサが行う処理の一部又は全部が、ハードウェア回路で行われてもよい。コンピュータプログラムは、プログラムソースからインストールされてよい。プログラムソースは、プログラム配布サーバ又は記憶メディア（例えば可搬型の記憶メディア）であってもよい。

　また、以下の説明では、計算機システムに含まれる少なくとも１つの装置を管理する１以上の計算機の集合を「管理システム」と呼ぶことがある。管理計算機が表示用情報を表示する場合は管理計算機が管理システムでよい。また、管理計算機と表示用計算機の組み合わせも管理システムでよい。また、管理処理の高速化や高信頼化のために複数の計算機で管理計算機と同等の処理を実現してもよく、この場合はそれら複数の計算機（表示を表示用計算機が行う場合は表示用計算機も含んでよい）が管理システムでよい。本実施例では、管理計算機が管理システムである。また、管理計算機が情報を表示するとは、管理計算機が有する表示デバイスに情報を表示することであってもよいし、管理計算機（例えばサーバ）に接続された表示用計算機（例えばクライアント）に表示用情報を送信することであってもよい。後者の場合、表示用計算機が有する表示デバイスに表示用情報が表す情報が表示用計算機によって表示される。

　また、以下の説明では、同種の要素を区別して説明する場合には、「ドライブ２０ａ」、「ドライブ２０ｂ」のように、参照符号を使用し、同種の要素を区別しないで説明する場合には、「ドライブ２０」のように参照符号のうちの共通番号のみを使用することがある。

　図１は、一実施形態に係るストレージシステムの構成例を示す。

　ストレージシステム１は、複数のストレージコントローラ４と、複数のＳｅｒｉａｌ　Ａｔｔａｃｈｅｄ　ＳＣＳＩ（ＳＡＳ）エクスパンダ（「ＥＸＰ」という）６００と、複数のドライブ２０とを有する。ドライブ２０は、不揮発性の記憶デバイスの例である。ドライブ２０の例は、Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ（ＳＳＤ）２０ａ、ＳＡＳ―ＨＤＤ２０ｂ、及び、ＮｅａｒＬｉｎｅ（ＮＬ）―ＳＡＳ―ＨＤＤ２０ｄである。

　各ドライブ２０は、少なくとも２つのＥＸＰ６００に双方向通信可能に接続する。これにより、ストレージコントローラ４とドライブ２０との間の通信路が冗長化される。なお、所定の変換スイッチ６１０を介することより、ＳＡＴＡドライブ２０ｃをＥＸＰ６００に接続することもできる。

　各ＥＸＰ６００は、他のＥＸＰ６００又はストレージコントローラ４に接続する。つまり、複数のＥＸＰ６００は、多段接続される。これによってもストレージコントローラ４とドライブ２０との間の通信路が冗長化される。

　ストレージコントローラ４は、ＥＸＰ６００に接続されている複数のドライブ２０を組み合わせてＲＡＩＤグループを構築する。そして、ストレージコントローラ４は、冗長化された複数の通信路の何れか及びＥＸＰ６００を介して、ＲＡＩＤグループに属する各ドライブ２０にアクセスすることができる。

　ストレージコントローラ４は、ＣＰＵ４００、メモリ４３０、共用メモリ４５０、キャッシュメモリ３００、チャネル制御部１００、ディスク制御部２００、及び、管理Ｉ／Ｆ１２０を有してよい。これらの要素は、双方向通信可能な内部バスに接続されてよい。

　管理Ｉ／Ｆ１２０は、通信路２１を介して管理計算機１２と双方向通信可能であり、ストレージコントローラ４と管理計算機１２との間のデータ送受信を制御する。管理計算機１２は、ストレージシステム１に含まれてもよい。

　チャネル制御部１００は、通信路１１を介してホスト計算機１０と双方向通信可能であり、ストレージコントローラ４とホスト計算機１０との間のデータ送受信を制御する。ドライブ制御部２００は、通信路１２を介してドライブ２０と双方向通信可能であり、ストレージコントローラ４とドライブ２０との間のデータ送受信を制御する。ドライブ２０に係る制御プロトコルの例は、ＳＣＳＩなどである。通信路１２に係る通信プロトコルの例は、Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ（ＩＰ）、及び、Ｆｉｂｒｅ　Ｃｈａｎｎｅｌなどである。

　キャッシュメモリ３００には、ドライブ２０及びホスト計算機１０とやり取りされるＩ／Ｏデータがキャッシュされてよい。これにより、ホスト計算機１０に対するストレージシステム１のＩ／Ｏ応答性能を向上させることができる。共用メモリ４５０には、内部バスに接続されている各要素から共用されるデータが格納されてよい。

　メモリ４３０には、ストレージコントローラ４の有する各種機能を実現するためのプログラム及びデータが格納される。キャッシュメモリ３００、共用メモリ４５０及びメモリ４３０は、１つであってもよい。これらのメモリの例は、Ｄｙｎａｍｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ（ＤＲＡＭ）、Ｆｅｒｒｏｅｌｅｃｔｒｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ（ＦｅＲＡＭ）、及び、Ｍａｇｎｅｔｏｒｅｓｉｓｔｉｖｅ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ（ＭＲＡＭ）である。

　ＣＰＵ４００は、メモリ４３０に格納されているプログラムを実行することにより、後述するストレージコントローラ４の有する各種機能を実現する。

　図２は、ストレージコントローラ４の有する機能及びデータの例である。

　ストレージコントローラ４のメモリ４３０には、障害回復制御プログラム９００、回復手段管理テーブル１０００、顧客ポリシー管理テーブル１１００、及び、ドライブ障害管理テーブル１２００が格納されてよい。

　障害回復制御プログラム９００は、ＣＰＵ４００に実行されると、ストレージシステム１に発生した障害を回復させる機能を実現する。実施形態の説明において、ストレージコントローラ４を主語とする処理は、障害回復制御プログラム９００又はＣＰＵ４００が実行する処理であってよい。

　回復手段管理テーブル１０００には、障害を回復させるための複数の異なる障害回復処理の手段（「回復手段」という）に関する情報が格納される。顧客ポリシー管理テーブル１１００には、ＲＡＩＤグループ毎の顧客の運用ポリシーに関する情報が格納される。ドライブ障害管理テーブル１２００には、ＲＡＩＤグループに属する各ドライブ２０に発生したエラーに関する情報が格納される。

　図３は、回復手段管理テーブル１０００の構成例を示す。

　障害の回復手段には、失敗したコマンドを再送するリトライ処理１００２、論理的なリセットを実行する論理リセット処理１００３、及び、物理的なリセットを実行する物理リセット処理１００４などがある。論理リセット処理１００３は、例えば、障害の発生したデバイス（例えばドライブ２０）の初期化処理であってもよい。物理リセット処理１００４は、例えば、障害の発生したデバイス（例えばドライブ２０）の再起動処理（つまり電源のオフとオンを行う処理）であってもよい。

　回復手段管理テーブル１０００には、これらの回復手段の組み合わせによる回復手段レベル１００１が定義されている。回復手段レベル１００１は、後述する顧客ポリシー管理テーブル１１００の項目値として設定されてよい。

　回復手段レベル１００１は、レベルが大きくなるほど障害が回復する可能性が高くなるが、それにつれて回復処理時間が長くなるように定義されてよい（図３の１００５参照）。回復手段レベル１００１は、例えば、次のように定義されてよい。

　回復手段レベル１００１「Ｌ０」は、リトライ処理１００２、論理リセット処理１００３、物理リセット処理１００４の何れも行わない。つまり、障害が発生しても、回復処理及び閉塞処理を実施しない。このレベルは、ドライブ２０内でリカバー済みのエラーであり、ストレージコントローラ４から回復する必要のないものに対して適用されてよい。

　回復手段レベル１００１「Ｌ１」は、リトライ処理１００２のみ行う。これで回復しない場合、閉塞処理を行い、冗長系の使用に切り替える。これに要する処理時間は比較的短い。この回復可能性は比較的低い。

　回復手段レベル１００１「Ｌ２」は、論理リセット処理１００３のみ行う。これで回復した場合、失敗したコマンドを再送する。これで回復しない場合、閉塞処理を行い、冗長系の使用に切り替える。これに要する処理時間は「Ｌ１」よりも長い。この回復可能性は「Ｌ１」よりも高い。

　回復手段レベル１００１「Ｌ３」は、物理リセット処理１００４のみ行う。これで回復した場合、失敗したコマンドを再送する。これで回復しない場合、閉塞処理を行い、冗長系の使用に切り替える。これに要する処理時間は「Ｌ２」よりも長い。この回復可能性は「Ｌ２」よりも高い。

　回復手段レベル１００１「Ｌ４」は、リトライ処理１００２を行い、これで回復しない場合、論理リセット処理１００３を行う。

　回復手段レベル１００１「Ｌ５」は、リトライ処理１００２を行い、これで回復しない場合、物理リセット処理１００４を行う。

　回復手段レベル１００１「Ｌ６」は、論理リセット処理１００３を行い、これで回復しない場合、物理リセット処理１００４を行う。

　回復手段レベル１００１「Ｌ７」は、リトライ処理１００２を行い、これで回復しない場合、論理リセット処理１００３を行い、これで回復しない場合、物理リセット処理１００４を行う。

　回復手段レベル１００１「Ｌ８」は、回復処理を行わず、直ちに閉塞処理を行い、冗長系の使用に切り替える。

　図４は、顧客ポリシー管理テーブル１１００の構成例を示す。

　顧客ポリシー管理テーブル１１００は、各ＲＡＩＤグループの顧客ポリシーを管理する。顧客ポリシー管理テーブル１１００は、項目値（カラム値）として、ＲＡＩＤグループＩＤ１１０１、ＲＡＩＤレベル１１０２、ドライブタイプ１１０３、運用性能ポリシー１１０４、運用コストポリシー１１０５、ステータス１１０６、システム系エラー１１０７、データ系エラー１１０８、Ｉ／Ｆ系エラー１１０９、及び、タイムアウト系エラー１１１０を有してよい。

　ＲＡＩＤグループＩＤ１１０１は、ＲＡＩＤグループの識別子である。

　ＲＡＩＤレベル１１０２は、ＩＤ１１０１のＲＡＩＤグループのＲＡＩＤレベルを示す値である。ＲＡＩＤレベルは、ＩＤ１１０１のＲＡＩＤグループのドライブ構成を示す値を含んでもよい。

　ドライブタイプ１１０３は、ＩＤ１１０１のＲＡＩＤグループを構成するドライブ２０のタイプを示す値である。ドライブタイプ１１０３の例は、ＳＳＤ、ＳＡＳ－ＨＤＤ、ＮＬ―ＳＡＳ―ＨＤＤである。

　運用性能ポリシー１１０４は、ＩＤ１１０１のＲＡＩＤグループに対して顧客が求める性能ポリシーを示す値である。運用性能ポリシー１１０４は、性能の優先度が高いほど小さくなる値であってもよいし、その逆であってもよい。又は、運用性能ポリシー１１０４は、Ｉ／Ｏ　ｐｅｒ　Ｓｅｃｏｎｄ（ＩＯＰＳ）に関する値であってもよい。又は、運用性能ポリシー１１０４は、性能の優先度が高い順に、例えば、「ハイパフォーマンス」、「エンタープライズ」、「バランス」、「容量メイン」、「アーカイブ」などの名称が定義されてもよい。

　運用コストポリシー１１０５は、ＩＤ１１０１のＲＡＩＤグループに対して顧客が求めるコストポリシーを示す値である。運用コストポリシーは、コストの優先度が高いほど大きくなる値であってもよいし、その逆であってもよい。又は、運用コストポリシー１１０５は、金額に係る値であってもよい。又は、運用コストポリシー１１０５は、顧客との保守契約モデルに対応する値であってもよい。又は、運用コストポリシー１１０５は、ストレージシステム１における各デバイス（例えばドライブ）の故障率と価格とに基づいて算出された値であってもよい。この算出には、ストレージシステム１及びドライブ２０の稼働時間が考慮されてもよい。又は、運用コストコストポリシー１１０５は、コストの優先度が低い順に、例えば、「コスト無制限」、「性能優先」、「コスト最適」、「コスト優先」、「コスト最小」などの名称が定義されてもよい。

　顧客は、使用するＲＡＩＤグループに対する運用性能ポリシー１１０４及び運用コストポリシー１１０５を決定又は選択できてよい。又は、ストレージコントローラ４が、ＲＡＩＤレベル１１０２及び／又はドライブタイプ１１０３から、そのＲＡＩＤグループＩＤ１１０１に対して顧客が求めていると想定される運用性能ポリシー１１０４及び運用コストポリシー１１０５を決定してもよい。例えば、ストレージコントローラ４は、ＲＡＩＤレベル１１０２が「１」であり、ドライブタイプ１１０３がＩＯＰＳの比較的高い「ＳＳＤ」であるならば、運用性能ポリシー１１０４を「ハイパフォーマンス（性能最優先）」、運用コストポリシー１１０５を「コスト無制限」に決定してもよい。例えば、ストレージコントローラ４は、ＲＡＩＤレベル１１０２が「６」であり、ドライブタイプ１１０３が「ＮＬ－ＨＤＤ」であるならば、運用性能ポリシー１１０４を「容量メイン」、運用コストポリシー１１０５を「コスト優先」に決定してもよい。

　ステータス１１０６は、ＩＤ１１０１のＲＡＩＤグループのステータスを示す値である。ステータス１１０６の例は、ＲＡＩＤグループが正常運転されていることを示す「正常」、ＲＡＩＤグループが縮退運転されていることを示す「縮退」などである。

　システム系エラー１１０７（ハードウェア系エラーと呼んでもよい）は、ＩＤ１１０１のＲＡＩＤグループにおいてシステム系のエラーが発生した場合に実行される回復手段レベル１００１を示す値である。システム系エラーとは、ドライブ２０を制御するためのプログラムやデータが格納されている記憶領域（すなわちシステム領域）、又は、ドライブ２０のハードウェア機構において発生するエラーであってよい。

　データ系エラー１１０８は、ＩＤ１１０１のＲＡＩＤグループにおいてデータ系のエラーが発生した場合に実行される回復手段レベル１００１を示す値である。データ系エラーとは、ドライブ２０のユーザデータが格納されている記憶領域（すなわちユーザ領域）において発生するエラーであってよい。

　Ｉ／Ｆ系エラー１１０９は、ＩＤ１１０１のＲＡＩＤグループにおいてＩ／Ｆ系のエラーが発生した場合に実行される回復手段レベル１００１を示す値である。Ｉ／Ｆ系エラーとは、ドライブ２０のネットワークＩ／Ｆにおいて発生するエラーであってよい。

　タイムアウト系エラー１１１０は、ＩＤ１１０１のＲＡＩＤグループにおいてタイムアウト系のエラーが発生した場合に実行される回復手段レベル１００１を示す値である。

　上記のシステム系エラー１１０７、データ系エラー１１０８、Ｉ／Ｆ系エラー１１０９は、ドライブ２０内でリカバーできなかったエラー（リカバー不能エラー）が発生した場合に参照されるとしてよい。また、ドライブ２０内でリカバー済みのエラーが発生した場合のシステム系エラー１１０７、データ系エラー１１０８、Ｉ／Ｆ系エラー１１０９は何れも回復手段レベル１００１「Ｌ０」であってよい。既にエラーが回復されているので、ストレージコントローラ４が改めて回復処理を行う必要は無いからである。

　ＲＡＩＤグループの各エラー１１０７、１１０８、１１０９に設定される回復手段レベル１００１は、ストレージコントローラ４が、そのＲＡＩＤグループの運用性能ポリシー１１０４及び／又は運用コストポリシー１１０５に基づいて自動的に決定してよい。

　例えば、運用ポリシーにおいてコストよりも性能が優先されている場合、ストレージコントローラ４は、各エラーの回復手段レベル１００１を、比較的短時間で回復処理が完了する「Ｌ１」又は「Ｌ２」に決定してよい。

　例えば、運用ポリシーにおいて性能よりもコストが優先されている場合、ストレージコントローラ４は、各エラーの回復手段レベル１００１を、比較的回復可能性の高い「Ｌ３」、「Ｌ５」、「Ｌ６」又は「Ｌ７」に決定してよい。

　例えば、運用コストポリシー１１０５において「コスト最小」が設定されている場合、ストレージコントローラ４は、各エラーの回復手段レベル１００１を、最も回復可能性の高い「Ｌ７」に決定してよい。

　例えば、運用コストポリシー１１０５において「コスト無制限」が設定されている場合、ストレージコントローラ４は、各エラーの回復手段レベル１００１を、最も回復処理時間の短い「Ｌ１」又は「Ｌ８」に決定してよい。

　ストレージコントローラ４は、顧客ポリシー管理テーブル１１００を参照することにより、エラーの発生したＲＡＩＤグループの構成とそのエラーの種別とに応じて、適切な回復手段レベル１００１を選択することができる。これにより、ストレージコントローラ４は、より短時間且つより高い可能性で、エラーを回復させることができる。

　回復処理の実行タイミングには、エラーが発生したら直ちに回復処理を実行する「同期型」と、エラーが発生したら回復処理の実行時刻をスケジューリングする「非同期型」とがあってよい。ストレージコントローラ４は、リトライ処理のように比較的短時間で完了する回復処理を実行する場合、「同期型」を選択してもよい。ストレージコントローラ４は、物理リセット処理のように比較的長時間を要する回復処理を実行する場合、「非同期型」を選択してもよい。

　図４に示す顧客ポリシー管理テーブル１１００のＲＡＩＤグループＩＤ１１０１「Ｆ－２」において、エラー１１０７、１１０９、１１１０を「Ｌ５」としているのは、ドライブタイプ１１０３に示す「ＳＳＤ」は、物理リセット処理及びその後の再起動に要する時間が比較的短く、運用性能にそれほど悪影響を及ぼさないからである。

　図５は、ドライブ障害管理テーブル１２００の構成例を示す。

　ドライブ障害管理テーブル１２００は、ＲＡＩＤグループを構成する各ドライブ２０に発生したエラーを管理する。ドライブ障害管理テーブル１２００は、項目値（カラム値）として、ＲＡＩＤグループＩＤ１２０１、ドライブ番号１２０２、ステータス１２０３、システム系エラー数１２０４、データ系エラー数１２０５、Ｉ／Ｆ系エラー数１２０６、及び、タイムアウト系エラー数１２０７を有して良い。

　ＲＡＩＤグループＩＤ１２０１は、顧客ポリシー管理テーブル１１００のＲＡＩＤグループＩＤ１１０１と同じである。ドライブ番号１２０２は、ＩＤ１２０１のＲＡＩＤグループ内の各ドライブ２０を識別するための値である。

　ステータス１２０３は、ドライブ番号１２０２のドライブ２０のステータスを示す値である。ステータスの例は、ドライブ２０が正常稼働していることを示す「アクティブ」、ドライブ２０が閉塞されていることを示す「閉塞」、ドライブ２０が非同期型で回復処理中であることを示す「診断」である。この「診断」は、後述するリンク診断処理であってよい。

　システム系エラー数１２０４（ハードウェア系エラー数と呼んでもよい）は、ＩＤ１２０２のＲＡＩＤグループ内のドライブ番号１２０２のドライブ２０において発生したシステム系エラーの数を示す値である。

　データ系エラー数１２０５は、ＩＤ１２０２のＲＡＩＤグループ内のドライブ番号１２０２のドライブ２０において発生したデータ系エラーの数を示す値である。

　Ｉ／Ｆ系エラー数１２０６は、ＩＤ１２０２のＲＡＩＤグループ内のドライブ番号１２０２のドライブ２０において発生したＩ／Ｆ系エラーの数を示す値である。

　タイムアウト系エラー数１２０７は、ＩＤ１２０２のＲＡＩＤグループ内のドライブ番号１２０２のドライブ２０において発生したタイムアウト系エラーの数を示す値である。

　上記のエラー数１２０４、１０５、１２０６は、所定期間（例えば２４時間）内に発生したエラーの数であってよい。この場合、所定期間より以前に発生したエラー数は、その所定期間経過後に削除されてもよい。

　ストレージコントローラ４は、エラー数が所定の閾値以上となったドライブ２０に対して、そのドライブ２０の属するＲＡＩＤグループについて顧客ポリシー管理テーブル１１００で設定されている回復手段レベル１００１に基づく回復処理を行ってよい。この閾値は、ＲＡＩＤグループ及びエラー種別毎に異なってよい。また、運用ポリシーにおいてコストよりも性能が優先されているＲＡＩＤグループの閾値は、運用ポリシーにおいて性能よりもコストが優先されているＲＡＩＤグループの閾値よりも小さくてよい。

　なお、ドライブ障害管理テーブル１２００は、エラー数に加えて、エラーの発生時刻も管理できてよい。また、ストレージコントローラ４は、このドライブ障害管理テーブル１２００と同様に、ＥＸＰ６００やその他のデバイスの障害を管理するためのテーブルを有してもよい。

　図６は、顧客ポリシー設定処理の一例を示すフローチャートである。

　（Ｓ１０１）ホスト計算機１０は、顧客からの指示により又は所定の条件に基づいて、ストレージコントローラ４へ顧客ポリシー設定要求を送信する。顧客ポリシー設定要求には、ＲＡＩＤグループに対する運用性能ポリシー１１０４及び／又は運用コストポリシー１１０５が含まれてよい。

　（Ｓ１０２）ストレージコントローラ４は、顧客ポリシー設定要求を受領すると、ストレージシステム１の構成情報を読み出す。この構成情報は、ＲＡＩＤグループを構成するドライブ２０の情報などを含む。そして、Ｓ１０３へ進む。

　（Ｓ１０３）ストレージコントローラ４は、読み出した構成情報に基づいて、顧客ポリシー設定要求が指定するＲＡＩＤグループを特定する。そして、ストレージコントローラ４は、顧客ポリシー管理テーブル１１００に、その特定したＲＡＩＤグループの情報と、顧客ポリシー設定要求に含まれる情報とを対応付けて登録する。そして、Ｓ１０４へ進む。

　（Ｓ１０４）ストレージコントローラ４は、ホスト計算機１０に対して、顧客ポリシー設定要求の完了応答を送信する。

　以上の処理により、各ＲＡＩＤグループに、顧客の運用ポリシーと、その運用ポリシーに応じたエラーの回復手段レベル１００１とが対応付けられる。

　図７は、ストレージコントローラ４におけるＩ／Ｏ処理の一例を示すフローチャートである。

　（Ｓ２０１）ストレージコントローラ４は、ホスト計算機１０からＩ／Ｏ要求を受領すると、Ｓ２０２へ進む。

　（Ｓ２０２）ストレージコントローラ４は、受領したＩ／Ｏ要求に含まれる情報から、アクセス対象のドライブ２０（ＲＡＩＤグループ）を特定する。図７の説明において、この特定したドライブ２０を「対象ドライブ」という。そして、Ｓ２０３へ進む。

　（Ｓ２０３）ストレージコントローラ４は、ホスト計算機１０から受領したＩ／Ｏ要求を対象ドライブ２０へ発行する。そして、Ｓ２０４へ進む。

　（Ｓ２０４）ストレージコントローラ４は、ドライブ２０からＩ／Ｏ応答を受領した場合（ＹＥＳ）、Ｓ２１０へ進み、Ｉ／Ｏ応答を未受領の場合（ＮＯ）、Ｓ２０５へ進む。

　（Ｓ２０５）ストレージコントローラ４は、Ｉ／Ｏ応答がタイムアウトとなった場合（ＹＥＳ）、Ｓ２１１へ進み、まだタイムアウトではない場合（ＮＯ）、Ｓ２０４へ戻る。

　（Ｓ２１０）ストレージコントローラ４は、Ｉ／Ｏ応答が「成功」であった場合（ＹＥＳ）、Ｓ２２１へ進み、「エラー」であった場合（ＮＯ）、Ｓ２１１へ進む。

　（Ｓ２１１）ストレージコントローラ４は、「エラー」又はタイムアウトなどＩ／Ｏ要求に失敗した場合、回復判定処理を実行する。この処理の詳細については後述する（図８参照）。そして、Ｓ２１２へ進む。

　（Ｓ２１２）ストレージコントローラ４は、回復判定処理によって「ドライブ回復処理を実行する」と判定したならば、Ｓ２１３へ進み、「ドライブ回復処理を実行しない」と判定したならば、Ｓ２２１へ進む。

　（Ｓ２１３）ストレージコントローラ４は、ドライブ回復処理の実行タイミングとして「同期型」を選択した場合、Ｓ２２０へ進み、「非同期型」を選択した場合、Ｓ２１６へ進む。

　（Ｓ２１６）ストレージコントローラ４は、ドライブ回復処理の実行タイミングをスケジューリングする。そして、Ｓ２２１へ進む。

　（Ｓ２２０）ストレージコントローラ４は、ドライブ回復処理を実行し、Ｓ２２１へ進む。

　（Ｓ２２１）ストレージコントローラ４は、各種テーブルの更新などのデータ処理を実行する。そして、Ｓ２２２へ進む。

　（Ｓ２２２）ストレージコントローラ４は、ホスト計算機へＩ／Ｏ応答を返す。

　以上の処理により、ストレージコントローラ４は、障害の発生した対象ドライブ２０に対して、必要に応じてドライブ回復処理を実行することができる。

　図８は、回復判定処理の一例を示すフローチャートである。本処理は、図７のＳ２１１に相当する。

　（Ｓ３０１）ストレージコントローラ４は、エラーの発生したドライブ２０が属するＲＡＩＤグループを特定する。そして、ストレージコントローラ４は、顧客ポリシー管理テーブル１１００から、その特定したＲＡＩＤグループのＩＤに対応するエントリを特定する。そして、Ｓ３０２へ進む。

　（Ｓ３０２）ストレージコントローラ４は、ドライブ２０から受領したエラーがドライブ２０内でリカバー済みであるか否かを判定し、その判定結果が肯定的ならば（ＹＥＳ）、図７のＳ２１１以降の処理へ戻り、否定的ならば（ＮＯ）、Ｓ３０３へ進む。

　（Ｓ３０３）ストレージコントローラ４は、障害部位推定処理を実行する。この処理の詳細については後述する（図９参照）。そして、ストレージコントローラ４は、Ｓ３０４へ進む。

　（Ｓ３０４）ストレージコントローラ４は、障害部位推定処理によってドライブ２０を障害部位と推定したならば（ＹＥＳ）、Ｓ３１１へ進み、ドライブ２０以外を障害部位と推定したならば（ＮＯ）、ドライブ回復処理を終了する、この場合、他の障害部位の回復処理を実行してもよい。

　（Ｓ３１１）ストレージコントローラ４は、ドライブ障害管理テーブル１２００において、障害の発生したＲＡＩＤグループＩＤ１２０１及びドライブ番号１２０２によって特定されるエントリの、その障害によって発生したエラー種別に対応する項目値（つまり、項目値１２０４～１２０７の何れかのエラー数）をカウントアップする。このとき、この項目値１２０４～１２０７に、エラー発生時刻を登録してもよい。そして、Ｓ３１２へ進む。

　（Ｓ３１２）ストレージコントローラ４は、顧客ポリシー管理テーブル１１００から、障害の発生したＲＡＩＤグループＩＤ１１０１によって特定されるエントリの、その障害によって発生したエラー種別に対応する項目値（つまり項目値１１０７～１１１０の何れかの回復手段レベル１００１）を取得する。そして、Ｓ３２０へ進む。

　（Ｓ３２０）ストレージコントローラ４は、ドライブ障害管理テーブル１２００のＳ３１１でカウントアップしたエラー数を取得し、その取得したエラー数が閾値未満であるか否かを判定する。ストレージコントローラ４は、この判定結果が肯定的ならば（ＹＥＳ）、Ｓ３２１へ進み、否定的ならば（ＮＯ）、Ｓ３２２へ進む。

　（Ｓ３２１）ストレージコントローラ４は、回復判定処理の結果として、「ドライブ回復処理を実行する」と判定し、図７のＳ２１１以降の処理へ戻る。

　（Ｓ３２２）ストレージコントローラ４は、障害の発生したドライブ２０を閉塞する。そして、ストレージコントローラ４は、回復判定処理の結果として、「ドライブ回復処理を実行しない」と判定し、図７のＳ２１１以降の処理へ戻る。

　以上の処理により、ストレージコントローラ４は、ドライブ回復処理を実行するか否かを判定することができる。

　図９は、障害部位推定処理の一例を示すフローチャートである。本処理は、図８のＳ３０３に相当する。

　（Ｓ５０１）ストレージコントローラ４は、ストレージシステム１の全体の障害情報を取得し、その取得した障害情報からエラーの発生したデバイスとそのエラーの種別とを特定する。そして、Ｓ５０２へ進む。

　（Ｓ５０２）ストレージコントローラ４は、エラーの発生したデバイスをドライブ２０と特定した場合（ＹＥＳ）、Ｓ５０３へ進み、エラーの発生したデバイスをドライブ２０以外と特定した場合（ＮＯ）、障害部位をドライブ２０以外と推定し（Ｓ５３２）、図８のＳ３０３以降へ戻る。

　（Ｓ５０３）ストレージコントローラ４は、エラー種別がタイムアウト系エラーであるか否かを判定し、その判定結果が肯定的ならば（ＹＥＳ）、Ｓ５０４へ進み、否定的ならば（ＮＯ）、Ｓ５１０へ進む。

　（Ｓ５０４）ストレージコントローラ４は、エラーの発生したドライブ２０から、そのドライブ２０のステータス情報を取得する。そして、Ｓ５０５へ進む。このステータス情報は、ドライブ２０の内部処理（内部エラーも含む）に関する情報を含んでよい。

　（Ｓ５０５）ストレージコントローラ４は、その取得したドライブ２０のステータス情報などから、障害部位がドライブ２０であるか否かを推定し、障害部位をドライブ２０と推定した場合（ＹＥＳ）、Ｓ５３０へ進み、障害部位をドライブ２０以外と推定した場合（ＮＯ）、Ｓ５３２へ進む。

　（Ｓ５１０）ストレージコントローラ４は、エラー応答の内容から、そのエラーがドライブ２０で検出されたものか否かを判定し、その判定結果が肯定的ならば（ＹＥＳ）、Ｓ５１１へ進み、否定的ならば（ＮＯ）、Ｓ５２０へ進む。

　（Ｓ５１１）ストレージコントローラ４は、エラー応答の内容から、そのエラーがＩ／Ｆ系の障害か否かを推定し、Ｉ／Ｆ系の障害と推定した場合（ＹＥＳ）、Ｓ５２１へ進み、Ｉ／Ｆ系以外の障害と推定した場合（ＮＯ）、Ｓ５１２へ進む。

　（Ｓ５１２）ストレージコントローラ４は、エラーの発生したドライブ２０から、そのドライブ２０の拡張エラー情報を取得する。拡張エラー情報は、エラーの更なる詳細な情報を含んでよい。そして、Ｓ５３０へ進む。

　（Ｓ５２０）ストレージコントローラ４は、エラー応答の内容から、そのエラーがリンク系の障害か否かを推定し、リンク系の障害と推定した場合（ＹＥＳ）、Ｓ５２１へ進み、リンク系以外の障害と推定した場合（ＮＯ）、Ｓ５３２へ進む。

　（Ｓ５２１）ストレージコントローラ４は、エラーの発生したドライブ２０から、障害ログの例であるＰＨＹステータス情報１３００を取得する。ＰＨＹステータス情報１３００の詳細については後述する（図１４参照）。そして、Ｓ５２２へ進む。

　（Ｓ５２２）ストレージコントローラ４は、その取得したＰＨＹステータス情報１３００などから障害部位がドライブ２０であるか否かを推定し、障害部位をドライブ２０と推定した場合（ＹＥＳ）、Ｓ５３０へ進み、障害部位をドライブ２０以外と推定した場合（ＮＯ）、Ｓ５３２へ進む。

　（Ｓ５３０）ストレージコントローラ４は、障害部位をドライブ２０と推定し、図８のＳ３０３以降へ戻る。

　（Ｓ５３２）ストレージコントローラ４は、障害部位をドライブ２０以外と推定し、図８のＳ３０３以降へ戻る。

　以上の処理によれば、障害部位がドライブ２０であるか否かを切り分けることができる。これにより、障害の発生していないドライブ２０が誤って交換される可能性が減るので、顧客の運用コストを下げることができる。

　図１０は、ドライブ回復処理の一例を示すフローチャートである。本処理は、図７のＳ２２０に相当する。

　（Ｓ４０１）ストレージコントローラ４は、図８のＳ３１２で特定した回復手段レベル（図１０の説明において「特定回復手段レベル」という）が「Ｌ８」ならば（ＹＥＳ）、障害部位と推定したドライブ２０を閉塞し（Ｓ４３０）、図７のＳ２２０以降へ戻り、特定回復手段レベルがそれ以外ならば（ＮＯ）、Ｓ４０２へ進む。

　（Ｓ４０２）ストレージコントローラ４は、特定回復手段レベルが「Ｌ０」ならば（ＹＥＳ）、何もせずに図７のＳ２２０へ戻り、特定回復手段レベルがそれ以外ならば（ＮＯ）、Ｓ４０３へ進む。

　（Ｓ４０３）ストレージコントローラ４は、特定回復手段レベルが「Ｌ１、Ｌ４、Ｌ５、Ｌ７」の何れかならば（ＹＥＳ）、Ｓ４０４へ進み、特定回復手段レベルがそれ以外ならば（ＮＯ）、Ｓ４０６へ進む。

　（Ｓ４０４）ストレージコントローラ４は、回復処理としてリトライ処理を実行する。例えば、ストレージコントローラ４は、エラー応答となったＩ／Ｏ要求を、障害部位と推定したドライブ２０へ再送信する。そして、Ｓ４０５へ進む。

　（Ｓ４０５）ストレージコントローラ４は、その再送信が成功したならば（ＹＥＳ）、障害が回復したとして図７のＳ２２０以降へ戻り、その再送信も失敗したならば（ＮＯ）、Ｓ４０６へ進む。

　（Ｓ４０６）ストレージコントローラ４は、特定回復処理レベルが「Ｌ２、Ｌ４、Ｌ６、Ｌ７」の何れかならば（ＹＥＳ）、Ｓ４０７へ進み、特定回復手段レベルがそれ以外ならば（ＮＯ）、Ｓ４０９へ進む。

　（Ｓ４０７）ストレージコントローラ４は、回復処理として、論理リセット処理を実行する。例えば、ストレージコントローラ４は、障害部位と推定したドライブ２０に対して、論理リセット処理を実行するよう指示する。そして、ストレージコントローラ４は、そのドライブ２０の論理リセット処理が完了した後、Ｓ４０８へ進む。

　（Ｓ４０８）ストレージコントローラ４は、エラー応答となったＩ／Ｏ要求を、障害部位と推定したドライブ２０へ再送信し、その再送信が成功したならば（ＹＥＳ）、障害が回復したとして図７のＳ２２０以降へ戻り、その再送信も失敗したならば（ＮＯ）、Ｓ４０９へ進む。

　（Ｓ４０９）ストレージコントローラ４は、特定回復手段レベルが「Ｌ３、Ｌ５、Ｌ６、Ｌ７」の何れかならば（ＹＥＳ）、Ｓ４１０へ進み、特定回復手段レベルがそれ以外ならば（ＮＯ）、障害部位と推定したドライブ２０を閉塞し（Ｓ４３０）、図７のＳ２２０以降へ戻る。

　（Ｓ４１０）ストレージコントローラ４は、回復処理として物理リセット処理を実行する。例えば、ストレージコントローラ４は、障害部位と推定したドライブ２０に対して、物理リセット処理を実行するよう指示する。そして、ストレージコントローラ４は、そのドライブ２０の物理リセット処理が完了した後、Ｓ４１１へ進む。

　（Ｓ４１１）ストレージコントローラ４は、エラー応答となったＩ／Ｏ要求を障害部位と推定したドライブ２０へ再送信し、その再送信が成功したならば（ＹＥＳ）、障害が回復したとして図７のＳ２２０以降へ戻り、その再送信も失敗したならば（ＮＯ）、障害部位と推定したドライブ２０を閉塞し、図７のＳ２２０以降へ戻る。

　以上の処理によれば、エラーが発生した際、顧客ポリシー管理テーブル１１００に設定された回復手段レベル１００１に基づく障害回復処理が実行される。すなわち、顧客の設定した運用ポリシーに適した障害回復処理が選択されて実行される。

　図１１は、非同期型のドライブ回復処理の一例を示すフローチャートである。本処理は、図７のＳ２１６でスケジューラに登録された時刻に実行されるドライブ回復処理に相当する。

　（Ｓ６０１）ストレージコントローラ４は、回復処理対象のドライブ２０（図１１の説明において「対象ドライブ」という）を診断モードに設定する。すなわち、ストレージコントローラ４は、ドライブ障害管理テーブル１２００において、対象ドライブ２０のステータス１２０３を「診断」に変更する。このとき、ストレージコントローラ４は、対象ドライブ２０を一時的に閉塞し、その一時的な閉塞期間に受領したＩ／Ｏデータを予備のドライブ２０に格納するようにしてよい。予備のドライブ２０が存在しない場合、ストレージコントローラ４は、対象ドライブ２０の属するＲＡＩＤグループを縮退運転させてもよい。この場合、ストレージコントローラ４は、顧客ポリシー管理テーブル１１００において、対象ドライブ２０の属するＲＡＩＤグループのステータス１１０６を「縮退」に変更する。そして、Ｓ６０２へ進む。

　（Ｓ６０２）ストレージコントローラ４は、ドライブ回復処理を実行する。この処理は、図１０に示すドライブ回復処理と同様であってよい。そして、Ｓ６０３へ進む。

　（Ｓ６０３）ストレージコントローラ４は、Ｓ６０２のドライブ回復処理によって障害が回復したか否かを判定し、障害が回復したならば（ＹＥＳ）、Ｓ６０４へ進み、障害が回復しなかったならば（ＮＯ）、Ｓ６１０へ進む。

　（Ｓ６０４）ストレージコントローラ４は、所定のデータ処理を行う。例えば、ストレージコントローラ４は、対象ドライブ２０の一時的な閉塞期間に予備のドライブ２０に格納されたＩ／Ｏデータを対象ドライブ２０へ反映した後、その対象ドライブ２０の閉塞を解除する。そして、Ｓ６０５へ進む。

　（Ｓ６０５）ストレージコントローラ４は、ドライブ障害管理テーブル１２００において、対象ドライブ２０のステータス１２０３を「アクティブ」に変更する。また、ストレージコントローラ４は、ＲＡＩＤグループを縮退運転していた場合、顧客ポリシー管理テーブル１１００において、対象ドライブ２０の属するＲＡＩＤグループのステータス１１０６を「正常」に変更する。そして、本処理を終了する。

　（Ｓ６１０）ストレージコントローラ４は、ドライブ障害管理テーブル１２００において、対象ドライブ２０のステータス１２０３を「閉塞」に変更する。対象ドライブ２０は障害回復せず、図１０にＳ４３０において閉塞されているからである。そして、本処理を終了する。

　以上の処理によれば、障害が発生したタイミングで直ちに回復処理を行うのではなく、その後の適切なタイミングで回復処理を実行することができる。適切なタイミングは、上述のようなスケジューラに登録された時刻に限らず、例えば、ストレージコントローラ４のＩ／Ｏ処理負荷の低い（所定の閾値未満の）タイミングなどであってもよい。

　図１２は、障害パス（リンク）回復処理の一例を示すフローチャートである。

　本処理は、図９のＳ５２１及びＳ５２２の処理の一例であってもよい。又は、本処理は、顧客ポリシー管理テーブル１１００において、エラーの発生したドライブ２０の属するＲＡＩＤグループに対応付けられている回復手段レベル１００１が、物理リセット処理を含むものであった場合にのみ実行される処理であってもよい。

　（Ｓ７０１）ストレージコントローラ４は、障害の発生したパス（「異常系パス」という）に接続されているドライブ２０を特定する。この特定されたドライブを図１２及び図１３の説明において「対象ドライブ」という。そして、Ｓ７０２へ進む。

　（Ｓ７０２）ストレージコントローラ４は、障害の発生していないパス（「正常系パス」という）を介して、対象ドライブ２０に障害ログ採取要求を送信する。

　（Ｓ７０３）対象ドライブ２０は、障害ログ採取要求を受領すると、障害ログ（例えばＰＨＹステータス情報１３００）を採取する。ＰＨＹステータス情報１３００及びその採取方法の詳細については後述する。そして、対象ドライブ２０は、その採取した障害ログを、正常系パスを介して、ストレージコントローラ４へ送信する。

　（Ｓ７０４）ストレージコントローラ４は、障害ログを受領すると、その受領した障害ログに基づき、ドライブ２０とＥＸＰ６００のどちらが障害部位であるかを切り分ける。この切り分け方法の詳細については後述する（図１５参照）。そして、Ｓ７０５へ進む。

　（Ｓ７０５）ストレージコントローラ４は、障害部位の更なる切り分け処理が必要か否かを判定する。ストレージコントローラ４は、Ｓ７０４によってもドライブ２０とＥＸＰ６００のどちらが障害部位であるかを切り分けることができなかった場合、更なる切り分け処理が必要と判定してよい。ストレージコントローラ４は、当該判定結果が肯定的ならば（ＹＥＳ）、図１３のＳ７１０へ進む。ストレージコントローラ４は、当該判定結果が否定的ならば（ＮＯ）、図９のＳ５２１以降に戻る。ドライブ２０とＥＸＰ６００のどちらが障害部位であるかを推定できたからである。なお、ストレージコントローラ４は、Ｓ７０４においてＥＸＰ６００を障害部位と推定した場合に、図１３のＳ７１０へ進んでもよい。

　図１３は、図１２の障害パス回復処理の続きを示すフローチャートである。

　（Ｓ７１０）ストレージコントローラ４は、障害ログから、対象ドライブ２０の異常系パスに繋がっているポート（図１３の説明において「対象ポート」という）が正常であるか否かを判定し、その判定結果が肯定的ならば（ＹＥＳ）、Ｓ７１１へ進み、否定的ならば（ＮＯ）、本処理を終了する。

　（Ｓ７１１）ストレージコントローラ４は、正常系パスを介して、対象ドライブ２０に対象ポートのリンク初期化要求を送信する。

　（Ｓ７１２）対象ドライブ２０は、そのリンク初期化要求を受領すると、対象ポートのリンク初期化処理を開始する。

　（Ｓ７１３）対象ポートと繋がっているＥＸＰ６００も、このリンク初期化処理によって、その対象ポートとの間で、リンク初期化処理及び再ネゴシエーション処理を実行する。これにより、対象ドライブ２０とＥＸＰ６００との間のリンク（つまり異常系パス）が初期化される。

　（Ｓ７１４）対象ドライブ２０は、対象ポートのリンク初期化処理の結果を、ストレージコントローラ４へ送信する。この結果には、リンク初期化の成功又は失敗を示す情報、及び、テストデータの送受信の成功又は失敗を示す情報が含まれてよい。

　（Ｓ７１５）ストレージコントローラ４は、対象ドライブ２０からリンク初期化の結果を受領すると、その結果から、障害パスが回復したか否かを判定する。その判定結果が肯定的ならば（ＹＥＳ）、ストレージコントローラ４は、本処理を終了する。障害パスが回復したからである。その判定結果が否定的ならば（ＮＯ）、ストレージコントローラ４は、Ｓ７１６へ進む。より強力な障害パス回復処理を行うためである。

　（Ｓ７１６）ストレージコントローラ４は、正常系パスを介して、対象ドライブ２０に対象ポートのリンク診断開始要求を送信する。

　（Ｓ７１７）対象ドライブ２０は、ストレージコントローラ４からリンク診断処理の開始要求を受領すると、対象ポートに接続されているＥＸＰ６００に対してリンク診断処理を開始するよう指示する。

　（Ｓ７１８）対象ドライブ２０は、対象ポートに接続されているＥＸＰ６００との間でリンク診断処理を実行する。当該リンク診断処理の詳細については後述する（図１６参照）。

　（Ｓ７１９）対象ドライブ２０は、そのリンク診断処理の結果を、正常系パスを介して、ストレージコントローラ４へ送信する。

　（Ｓ７２０）ストレージコントローラ４は、対象ドライブ２０からリンク診断処理の結果を受領すると、対象デバイスに対してリンク診断処理の終了要求を送信する。

　（Ｓ７２１）対象ドライブ２０は、そのリンク診断処理の終了要求を受領すると、対象ポートに接続されているＥＸＰ６００に対して、リンク診断処理を終了するよう指示する。

　（Ｓ７２２）ストレージコントローラ４は、対象ドライブ２０から受領したリンク診断処理の結果から、障害パスが回復したか否かを判定する。その判定結果が肯定的ならば（ＹＥＳ）、ストレージコントローラ４は、本処理を終了する。障害パスが回復したからである。その判定結果が否定的ならば（ＮＯ）、ストレージコントローラ４は、障害部位の対象ポート（又は対象ドライブ２０）を閉塞し、本処理を終了する。回復処理によっては障害を回復できなかったからである。

　以上の処理によれば、障害パスが回復する可能性がある。なぜなら、リンク初期化処理及びリンク診断処理は、通信Ｉ／Ｆデバイスの物理リセット処理に類似する処理であるためである。

　図１４は、ＰＨＹステータス情報の構成例を示す。

　ＰＨＹステータス情報１３００は、ドライブ２０の有する各ポートにおいて、どのようなタイプのリンクエラーが何回発生したかの情報を含む。

　リンクエラーのタイプは、ＳＡＳ規格に準拠するものであってよい。例えば、Ｉｎｖａｌｉｄ　Ｄｗｏｒｄ　Ｃｏｕｎｔ、Ｒｕｎｎｉｎｇ　Ｄｉｓｐａｒｉｔｙ　Ｅｒｒｏｒ　Ｃｏｕｎｔ、Ｌｏｓｓ　Ｏｆ　Ｄｗｏｒｄ　Ｓｙｃｈｒｏｉｎｉｚａｔｉｏｎ、ＰＨＹ　Ｒｅｓｅｔ　Ｐｒｏｂｌｅｍなどである。

　ストレージコントローラ４は、図１２のＳ７０２においてドライブ２０からこのＰＨＹステータス情報１３００を取得し、それを分析することにより、ドライブ２０とＥＸＰ６００の何れが障害部位であるかを切り分けることができる場合がある。次に、障害部位の切り分け方法の一例を述べる。

　図１５は、障害部位の切り分け方法を説明するための図である。

　ＥＸＰ－ＡのポートＰ１とドライブ２０のポートＰ１とが接続されており、ＥＸＰ－ＢのポートＰ２とドライブ２０のポートＰ２とが接続されているとする。

　ストレージコントローラ４は、ＰＨＹステータス情報１３００の分析の結果、図１５のパターン「１」に相当すると判定した場合、ＥＸＰ―Ａを障害部位と推定してよい。すなわち、ＥＸＰ―Ａの何れのポートＰ１、Ｐ３のエラー数も増加しており、ＥＸＰ―Ａと接続されているドライブ２０のポートＰ１のエラー数は増加しており、ＥＸＰ－Ａと接続されていないドライブ２０のポートＰ２のエラー数は増加していない場合、ストレージコントローラ４は、ＥＸＰ－Ａを障害部位と推定してよい。

　ストレージコントローラ４は、ＰＨＹステータス情報１３００の分析の結果、図１５のパターン「２」に相当すると判定した場合、ドライブ２０を障害部位と推定して良い。すなわち、ドライブ２０の何れのポートＰ１、Ｐ２のエラー数も増加しており、ドライブ２０と接続されているＥＸＰ－ＡのポートＰ１とＥＸＰ－ＢのポートＰ２のエラー数は共に増加しており、ドライブ２０と接続されていないＥＸＰ―ＡのポートＰ３とＥＸＰ－ＢのポートＰ４のエラー数は共に増加していない場合、ストレージコントローラ４は、ドライブ２０を障害部位と推定してよい。

　図１４のパターン「１」又は「２」に相当とすると判定した場合、ストレージコントローラ４は、図１２のＳ７０５において、障害部位の更なる切り分けを不要と判定してよい。

　ストレージコントローラ４は、ＰＨＹステータス情報１３００の分析の結果、図１５のパターン「３」に相当すると判定した場合、ドライブ２０とＥＸＰ６００の何れが障害部位であるかを切り分けることができない。すなわち、ドライブ２０と接続されているＥＸＰ－ＡのポートＰ１のエラー数は増加しているが、そのＥＸＰ－Ａと接続されているドライブ２０のポートＰ１のエラー数は増加していない場合、又は、ＥＸＰ－Ａと接続されているドライブ２０のポートＰ１のエラー数は増加しているが、そのドライブ２０と接続されているＥＸＰ－ＡのポートＰ１のエラー数は増加していない場合、ストレージコントローラ４は、ドライブ２０とＥＸＰ６００の何れが障害部位であるかを切り分けることができない。この場合、ストレージコントローラ４は、図１２のＳ７０５において、障害部位の更なる切り分けが必要と判定し、図１３の処理を実行してよい。

　以上の処理によれば、障害部位がドライブ２０であるか否かを切り分けることができる。これにより、障害の発生していないドライブ２０が誤って交換されるという可能性が減るので、顧客の運用コストを下げることができる。

　図１６は、リンク診断処理を説明するための図である。本処理は、図１３のＳ７１８の処理に相当する。

　図１６において、ドライブ２０のポート部２１と、ＥＸＰ６００のポート部６０１とが接続されている。

　ドライブ２０のポート部２１から送信されるデータ信号は、物理層及びデータリンク層において、そのポート部２１に含まれる送信部２２から送信され、ＥＸＰ６００のポート部６０１に含まれる受信部６０２で受信される。ＥＸＰ６００のポート部６０１から送信されるデータ信号は、ＥＸＰ６００のポート部６０１に含まれる送信部６０３から送信され、ドライブ２０のポート部２１に含まれる受信部２３で受信される。

　ドライブ２０のポート部２１は、受信部２３と送信部２２との間のオン／オフを切り替え可能なスイッチ２５を有してよい。ＥＸＰ６００のポート部６０１は、受信部６０２と送信部６０３との間のオン／オフを切り替え可能なスイッチ６０５を有してよい。

　ドライブ２０がポート部２１のリンク診断処理を行う場合、ドライブ２０は、ＥＸＰ６００のポート部６０１のスイッチ６０５をオンにする。これにより、ドライブ２０は、送信部２２から送信したデータ信号を、ＥＸＰ６００のオンのスイッチ６０５を介して、受信部２３で受信することができる。このようなリンク診断処理を、ループバック診断処理と呼んでもよい。

　ドライブ２０は、このリンク診断処理の結果をＰＨＹステータス情報１３００に格納してもよい。そして、ドライブ２０は、図１３のＳ７１９において、このＰＨＹステータス情報１３００を診断結果としてストレージコントローラ４へ送信してもよい。

　以上の処理によれば、障害パスが回復する可能性がある。なぜなら、リンク診断処理は、通信Ｉ／Ｆデバイスの物理リセット処理に類似する処理であるためである。

　なお、次のような実施例も考えられる。

　＜障害部位の推定の例＞
　ストレージコントローラ４は、ストレージ装置全体のログと、エラーの発生したドライブ２０の障害ログと、当該ドライブ２０と関連するログとに基づいて、エラー種別及び障害部位を推定してよい。例えば、タイムアウト系エラーの場合、ストレージコントローラ４は、エラーの発生したドライブ２０の障害ログにおいて、ドライブ２０の処理が完了しているならば、ドライブ２０以外（例えばリンク系）を障害部位と推定し、ドライブ２０の処理が途中ならば、ドライブ２０を障害部位と推定してもよい。ここでドライブ２０を障害部位と推定した場合、そのドライブ２０の物理リセット処理により、障害が回復する可能性がある。

　＜回復処理の選択の例＞
　ストレージコントローラ４は、エラーの発生したドライブ２０が属するＲＡＩＤグループのその時点における冗長度に基づいて、回復手段レベル１００１を選択してもよい。例えば、ＲＡＩＤグループのＲＡＩＤレベルが「６」であり、その時点においてＲＡＩＤグループ内に閉塞中のドライブ２０が存在しない場合、ストレージコントローラ４は、回復手段レベル１００１「Ｌ１」を選択してよい。例えば、ＲＡＩＤグループのＲＡＩＤレベルが「６」であり、その時点においてＲＡＩＤグループ内に閉塞中のドライブ２０が１台存在する場合、ストレージコントローラ４は、回復手段レベル１００１「Ｌ２」を選択してよい。例えば、ＲＡＩＤグループのＲＡＩＤレベルが「６」であり、その時点においてＲＡＩＤグループ内に閉塞中のドライブ２０が２台存在する場合、ストレージコントローラ４は、回復手段レベル１００１「Ｌ５」（つまり閉塞しない）を選択してよい。なぜなら、これ以上ストレージを閉塞させると冗長性が大きく失われるからである。

　ストレージコントローラ４は、過去に発生したエラー種別と、そのエラーに対して実行した回復処理によって障害が回復した確率とに基づいて、顧客ポリシー管理テーブル１１００の回復手段レベル１００１を調整してもよい。例えば、ストレージコントローラ４は、リトライ処理によって障害が回復した確率が比較的高い（所定の閾値以上である）場合、顧客ポリシー管理テーブル１１００において、リトライ処理を含む回復手段レベル１００１「Ｌ１、Ｌ４、Ｌ５、Ｌ７」を増やしてよい。例えば、ストレージコントローラ４は、リトライ処理によって障害が回復した確率が比較的低い（所定の閾値未満である）場合、顧客ポリシー管理テーブル１１００において、リトライ処理を含まない回復手段レベル１００１「Ｌ２、Ｌ３、Ｌ６」を増やしてよい。

　上述した実施形態は、本発明の説明のための例示であり、本発明の範囲を実施形態にのみ限定する趣旨ではない。当業者は、本発明の要旨を逸脱することなしに、他の様々な態様で本発明を実施することができる。

　１：ストレージシステム　４：ストレージコントローラ　１０：ホスト計算機　１２：管理計算機　２０：ドライブ　６００：ＳＡＳエクスパンダ

Claims

　複数の記憶デバイスから構成される複数のＲＡＩＤグループと、ＲＡＩＤグループを制御するストレージコントローラとを含むストレージシステムであって、
　前記ストレージコントローラは、各ＲＡＩＤグループに対し、複数の異なる障害回復処理の内の何れかの障害回復処理が対応付けられているポリシー管理情報、を有し、
　前記ストレージコントローラは、ＲＡＩＤグループへ発行したコマンドに対するエラーを検知した場合、前記ポリシー管理情報に基づいて、そのコマンドの発行先のＲＡＩＤグループに対応付けられている障害回復処理を特定し、その特定した障害回復処理を実行する
ストレージシステム。
　各ＲＡＩＤグループには、そのＲＡＩＤグループの運用ポリシーが設定されており、
　前記ポリシー管理情報では、各ＲＡＩＤグループに対し、前記複数の異なる障害回復処理の内のそのＲＡＩＤグループに設定されている運用ポリシーに適合する障害回復処理が対応付けられている
請求項１に記載のストレージシステム。
　前記複数の異なる障害回復処理は、少なくとも、記憶デバイスの論理的なリセット処理を行う障害回復処理と、記憶デバイスの物理的なリセット処理を行う障害回復処理とを含む
請求項２に記載のストレージシステム。
　前記複数の異なる障害回復処理は、少なくとも、記憶デバイスの論理的なリセット処理によって障害が回復しない場合に記憶デバイスの物理的なリセット処理を行う障害回復処理を含む
請求項３に記載のストレージシステム。
　前記ポリシー管理情報では、
　　コスト優先の運用ポリシーが設定されているＲＡＩＤグループに対し、前記物理的なリセット処理を含む障害回復処理が対応付けられており、
　　性能優先の運用ポリシーが設定されているＲＡＩＤグループに対し、前記論理的なリセット処理を含む障害回復処理が対応付けられている
請求項３に記載のストレージシステム。
　前記ポリシー管理情報では、検出されたエラーの種別毎に障害回復処理が対応付けられており、
　前記ストレージコントローラは、前記ポリシー管理情報において、前記コマンドの発行先のＲＡＩＤグループと前記検出されたエラーの種別とによって特定される障害回復処理を実行する
請求項３に記載のストレージシステム。
　前記エラーの種別は、少なくとも、記憶デバイスのハードウェアに関するエラーと、記憶デバイスのデータに関するエラーとを含み
　前記ポリシー管理情報の少なくとも一部では、
　　前記記憶デバイスのハードウェアに関するエラーと、前記物理的なリセット処理を含む障害回復処理とが対応付けられており、
　　前記記憶デバイスのデータに関するエラーと、前記論理的なリセット処理を含む障害回復処理とが対応付けられている
請求項６に記載のストレージシステム。
　前記エラーの種別は、さらに、記憶デバイスのネットワークインタフェースに関するエラーを含み、
　前記ポリシー管理情報の少なくとも一部において、前記記憶デバイスのネットワークインタフェースに関するエラーと、前記物理的なリセット処理を含む障害回復処理とが対応付けられている場合、前記ストレージコントローラは、前記記憶デバイスと前記ネットワークインタフェースの接続先のデバイスとの間で、リンク診断処理を実行させる
請求項７に記載のストレージシステム。
　前記ストレージコントローラは、
　　前記検知したエラーがタイムアウトエラーであった場合、前記コマンドの発行先の記憶デバイスのステータス情報を取得し、
　　その取得したステータス情報に基づいて、そのエラーの原因がその記憶デバイスであるか否かを推定し、
　　その記憶デバイスをエラーの原因と推定した場合、前記ポリシー管理情報においてその記憶デバイスの属するＲＡＩＤグループに対応付けられている障害回復処理を実行する
請求項１に記載のストレージシステム。
　前記ストレージコントローラは、所定の計算機から、ＲＡＩＤグループに対する運用ポリシーの設定要求を受領すると、そのＲＡＩＤグループに対して、その要求された運用ポリシーを設定する
請求項２に記載のストレージシステム。
　複数の記憶デバイスから構成される複数のＲＡＩＤグループと、ＲＡＩＤグループを制御するストレージコントローラとを含むストレージの管理方法であって、
　前記ストレージコントローラは、
　　ＲＡＩＤグループへ発行したコマンドに対するエラーを検知すると、
　　各ＲＡＩＤグループに対し複数の異なる障害回復処理の内の何れかの障害回復処理が対応付けられている前記ポリシー管理情報に基づいて、そのコマンドの発行先のＲＡＩＤグループに対応付けられている障害回復処理を特定し、
　その特定した障害回復処理を実行する
ストレージ管理方法。