(実施例1)
 本実施例は記憶装置100がミラーリング構成� ��場合を説明する。ミラーリング構成とは、2 以上の記録媒体が共に同一のデータを記録す る構成である。

 [システム構成]
 図1は本実施例に係る記憶装置100のハードブ ロック図である。記憶装置100は例えば、RAID(R edundant Arrays of Inexpensive Disks)装置などの記� ��装置である。本実施例では、以下記憶装置1 00をRAID装置100と呼ぶ。

 <RAID装置100>
 RAID装置100は、CPU(Central Processing Unit)モジュ ール101、ディスプレイコントローラ(Display Co ntroller)102、ディスプレイ103、LANコントローラ (LAN Controller)104、RAIDコントローラ(RAID Controll er)105、ハードディスク(HDD)112、113から構成さ� ��る。CPUモジュール101は、RAID装置100を統括的 に制御し、ディスプレイコントローラ102、LAN コントローラ104、RAIDコントローラ105を統括� �に制御する。またCPUモジュール101はメモリ� �どの記録媒体を含む構成であり、RAID装置100� ��OSをメモリ上に展開してOSを起動するもので ある。ディスプレイコントローラ102は、ディ スプレイ103における表示制御を行う。LANコン トローラ104はRAID装置100が接続するネットワ� �クの通信制御を行う。RAID装置100は、LANコン� ��ローラ104を介してRAID装置100の外部のネット ワークにより、所望のデータを取得する。

 <RAIDコントローラ105>
 RAIDコントローラ105は、プロセッサ106、メモ リ107、バスコントローラ108、データキャッシ ュ109、データバッファ110、HDDコントローラ111 から構成されている。プロセッサ106は、HDDコ ントローラ111経由でハードディスク112または ハードディスク113にデータを書き込む/読み� �す制御を行う。プロセッサ106はメモリ107に� �納されているプログラムを実行する。バス� �ントローラ108は、RAIDコントローラ105とCPUモ� ��ュール101でのデータのやりとりを制御する� ��さらにプロセッサ106はHDDコントローラ111経� ��でハードディスク112、113との接続制御を行� ��。RAIDコントローラ105とハードディスク112、 113を接続することを「オンライン」、RAIDコ� �トローラ105とハードディスク112、113を切断� �ることを「オフライン」と呼ぶ。ただしオ� �ライン、オンラインに限らず、プロセッサ10 6はHDDコントローラ111経由でハードディスク11 2、113から管理情報を読み出すことが可能で� �る。データキャッシュ109はハードディスク11 2、113のアクセスを補助し、一度ハードディ� �ク112、113にアクセスするデータを一時的に� �管し、保管された情報は、ディスクに直接� �クセスせずに高速化する。またデータバッ� �ァ111は、ハードディスク112、113に書き込む� �ータを一旦、格納する記憶部である。ハー� �ディスク112、113は一定時間に一定のデータ� �を書き込む必要があるために、データバッ� �ァ110は設けられている。換言すれば、デー� �キャッシュ109とデータバッファ110は、CPUモ� �ュール101またはプロセッサ106が書き込みを� �示するデータをハードディスク112、113に格� �する前に格納する。そしてデータ量が所定� �容量よりも大きくなった後、HDDコントロー� �111は、データキャッシュ109経由でデータバ� �ファ110からデータを読み出し、ハードディ� �ク112、113に格納する。データキャッシュ109� �データバッファ110があることによって、プ� �セッサ106はデータの転送をハンドリングす� �ことができる。

 ハードディスク112はシステム領域114、デ� ��タ領域115、RAID管理領域116より構成されてお り、ハードディスク113はシステム領域117、デ ータ領域118、RAID管理領域119より構成されて� �る。システム領域114、データ領域115、RAID管� ��領域116は、ハードディスク112を分割した領� ��である。同様にしてシステム領域117、デー� ��領域118、RAID管理領域119は、ハードディスク 113を分割した領域である。そしてシステム領 域114、117、データ領域115、118、RAID管理領域11 6、119の容量は可変な量であって、ハードデ� �スク112、113のデータ容量の範囲内で可変で� �る。

 システム領域114、117にはRAID装置100における OS(Operation System)、アプリケーションプログラ ムなどが格納されている。データ領域115、118 にはRAID装置100のデータが格納されている。RA ID管理領域116、119にはRAID装置100の管理情報が 格納されている。ここでデータとはユーザの 個人情報などであって、RAID装置100を制御す� �プログラムなどとは異なる情報である。管� �情報とは、ハードディスク112、113が正常か� �かを示す情報であり、プロセッサ106がHDDコ� �トローラ111経由で更新を行う。
図4(a)は、本実施例に係るシステム領域114に� �納されているデータ401である。データ401は� �RAID装置100において起動するOS404、アプリケ� �ションプログラム406から構成されている。� �様にして図4(b)は、本実施例に係るシステム� ��域117に格納されているデータである。デー� ��402は、RAID装置100において起動するOS405、ア� ��リケーションプログラム407から構成されて� ��る。
また図17に記載の設定テーブル1801はハードデ ィスク112、113、データキャッシュ109、データ バッファ110へのデータの書込み/読み出しを� �定する書き込みフラグのオン/オフを示すテ� ��ブルである。初期設定では設定テーブル403� ��書込みフラグはすべてオンになっている。� ��定テーブル1801は、メモリ107に格納されてい る。
本実施例において、RAID装置100はミラーリン� �構成であるため、データ401を構成するOS404と データ402を構成するOS405、データ401を構成す� ��アプリケーションプログラム406とデータ402� ��構成するアプリケーションプログラム407は� ��一のOS及びアプリケーションプログラムで� �る。
本実施例においてBIOS(Basic Input/Output System)設 定などにおいて、ユーザはデータキャッシュ 109、データバッファ110、ハードディスク112、 113の書込みを有効/無効にするフラグのオン/� ��フを設定する。
またハードディスク112、113への書き込みを無 効にした場合、プロセッサ106はデータをデー タキャッシュ109またはデータバッファ110から 直接読み出しが可能とする。プロセッサ106は 設定テーブル1801を図18に記載の設定テーブル 1901に更新する。ハードディスク112、113へデ� �タの書き込みフラグをオフにする。そして� �ータキャッシュ109へデータの書込みを許可� �る書き込みフラグをオンのままにして変更� �ず(1にする。書き込みフラグを立てる。)、� �ータバッファ110への書き込みを許可する書� �込みフラグもオンのままにする。
図6(a)は、RAID管理領域116に格納されているデ� ��タ601である。データ601は、管理情報603とシ� ��テムの起動時間から構成されている。管理� ��報603は、ハードディスク112、113に障害が発� ��していない場合の管理情報であり、ハード� ��ィスク112、113が正常に動作していることを� ��す。同様にして図6(b)は、RAID管理領域119に� �納されているデータ602である。データ602は� �管理情報604とシステムの起動時間から構成� �れている。管理情報604は、ハードディスク11 2、113に障害が発生していない場合の管理情� �であり、ハードディスク112、113が正常に動� �していることを示す。

 ハードディスク112に障害が発生した場合� ��HDDコントローラ111は管理情報603を図7(a)に示 す管理情報703に更新する。管理情報603は、ハ ードディスク112のRAID管理領域116に格納され� �いるため、障害により更新することができ� �場合もあるし更新できない場合もある。図7( a)に示す管理情報703に記載のハードディスク1 12の動作状態は「(異常)」と記載してあるは� �HDDコントローラ111が管理情報603を更新でき� �場合には、ハードディスク112の動作状態が� �異常」と記載されることを意味している。� �のため、HDDコントローラ111が管理情報703を� �新することができない場合には、ハードデ� �スク112の動作状態は「正常」のままである(� ��理情報603と同じ)。HDDコントローラ111はRAID� �理領域119に格納される管理情報604を図7(b)に� ��す管理情報704に更新する。HDDコントローラ1 11は、管理情報704に記載のハードディスク112� ��状態を「異常」と更新し、ハードディスク1 13の状態を「正常」のままとする。

 さらにハードディスク113に障害が発生した� ��合、HDDコントローラ111は管理情報703、704を� ��8(a)、図8(b)に示す管理情報803、804に更新す� �。図8(a)に示す管理情報803に記載のハードデ� ��スク112、113の動作状態は「(異常)」である� �HDDコントローラ111が管理情報703を更新でき� �場合には、ハードディスク112、113の動作状� �が「異常」と記載されることを意味してい� �。そのため、HDDコントローラ111が管理情報70 3を更新することができない場合には、ハー� �ディスク112、113の動作状態は「正常」のま� �である(管理情報703と同じ)。図8(b)に示す管� �情報803に記載のハードディスク112の動作状� �は「異常」であり、ハードディスク113の動� �状態は「(異常)」である。
管理情報603、604、703、704、803、804は、ハード ディスク112、113が正常に動作しているか否か を示す情報である。HDDコントローラ111は管理 情報を随時更新する。

 またHDDコントローラ111は、ハードディス� ��112、113の異常を検出する機能を有している� ��異常の検出の機構は具体的には例えば、診� ��コマンドなどをハードディスク112、113に送� ��し、それに対する応答信号がハードディス� ��112、113から正常応答信号が所定時間内に返� ��されるか否かを監視している。そしてHDDコ� ��トローラ111が所定時間内に正常応答信号を� ��信しない場合には、ハードディスク112、113� ��異常が発生したと判別する。そしてHDDコン� ��ローラ111が所定時間内に正常応答信号を受� ��した場合には、ハードディスク112、113に異� ��は発生していないと判別する。またデータ� ��書込み又はデータの読み出しが正常に行わ� ��たか否かを監視しており、正常にデータの� ��込み又はデータの読み出しが行われない場� ��には、異常が発生したと決定する。

 図2は本実施例に係るデータの記録処理の フローチャートである。

 本実施例では、ハードディスク112に障害� ��発生してハードディスク112をオフラインに� ��、その後ハードディスク113に障害が発生し� ��ハードディスク113をオフラインにして、RAID 装置100がマルチデッド状態になる場合を説明 する。ハードディスクを112、113をオフライン にする順序は、ハードディスク113に障害が発 生しハードディスク113をオフラインにし、そ の後ハードディスク112に障害が発生してハー ドディスク112をオフラインにする場合であっ てもよい。

 本実施例では、RAID装置100はミラーリング 構成になっている。そのためハードディスク 112、113には同一のデータが格納される。換言 すれば、RAID装置100において、ハードディス� �112、113が冗長構成となっている。

 まずユーザはRAID装置100の電源を投入する (ステップS201)。プロセッサ106は、RAID管理領� �116、119に格納されている管理情報を参照す� �(ステップS202)。プロセッサ106は、管理情報� �りディスク112、113が正常か否かを判別する(� ��テップS203)。

 プロセッサ106がハードディスク112、113共� ��オンラインでないと判別した場合には、RAID 装置100はデータの記録処理を終了する(ステ� �プS204)。プロセッサ106がハードディスク112又 は、113のどちらかがオンラインであると判別 した場合には、CPUモジュール101はハードディ スク112のシステム領域114、又はハードディス ク113のシステム領域117からOSをメモリ107に読� ��出しシステムを起動する(ステップS205)。そ� ��てHDDコントローラ111はRAID管理領域116、119に システムの起動時刻とシステムの管理情報を 書き込む(ステップS206)。RAID装置100は、RAID装� ��100の外部から入力されるデータをデータ領� ��115、118に記録しデータの更新を行う(ステッ プS207)。

 そしてハードディスク112に障害が発生す� ��(ステップS208)。プロセッサ106は、ハードデ� ��スク112をオフラインにする(ステップS209)。� ��してRAID装置100は、RAID装置100の外部から入� �されるデータをデータ領域118に記録しデー� �の更新を行う(ステップS210)。ハードディス� �112はオフラインのため、データ領域115はデ� �タの更新を行うことができない(ステップS211 )。

 ハードディスク113に障害が発生する(ステ ップS212)。HDDコントローラ111は、ハードディ� ��ク113をオフラインにする(ステップS213)。ハ� ��ドディスク112、113をオフラインにしたため� ��RAID装置100はシステムダウンする(ステップS2 14)。

 図3は本実施例に係るデータの記録復旧の フローチャートである。

 RAID装置100は、ハードディスク112、113の両 方をオフラインにしてシステムダウンすると 、ユーザもしくは、CPUモジュール101がシステ ムをリセットする(ステップS301)。そしてプロ セッサ106は、RAID管理領域116、119に格納され� �いる管理情報の参照を試みる(ステップS302)� �プロセッサ106はRAID管理領域116、119の管理情� ��を読み出し可能か否かを判別する(ステップ S303)。

 RAID管理領域116、119の管理情報を読み出し 可能な場合には、プロセッサ106はRAID管理領� �116、119の管理情報を参照する。

 そしてプロセッサ106は、RAID管理領域116、 119の管理情報にお互いのハードディスク状態 が異常として記録されるなどの矛盾があるか 否か判別する(ステップS304)。

 プロセッサ106は、RAID管理領域116、119の管 理情報に矛盾がないと判別した場合には、RAI D管理領域116に格納されている管理情報とRAID� ��理領域119に格納されている管理情報を比較� ��冗長構成喪失直後の状態を解析する。

 プロセッサ106はハードディスク112がRAID装 置100から切り離された後、ハードディスク113 が切り離されたことを判別する。そしてプロ セッサ106はハードディスク113のみオンライン にして冗長構成喪失直後の状態にした後にCPU モジュール101はシステムを起動する(ステッ� �S305)。

 RAID管理領域116の管理情報には、HDDコント ローラ111がハードディスク112へアクセスした アクセス時刻などのログが記録されている。 同様にRAID管理領域119の管理情報には、HDDコ� �トローラ111がハードディスク113へアクセス� �たアクセス時刻などのログが記録されてい� �。プロセッサ106はこのハードディスク112、11 3へのアクセス時刻を比較して、ハードディ� �ク112、ハードディスク113が切り離された順� �を判別して冗長構成喪失直後の状態を解析� �る。またプロセッサ106はシステム領域114、11 7に記録されている起動時刻も参照すること� �可能であり、起動時刻よりハードディスク11 2、ハードディスク113が切り離された順序を� �別して冗長構成喪失直後の状態を解析して� �よい。

 RAID管理領域116、119の管理情報を読み出し 不可能な場合(ステップS303 NO)や、RAID管理領� ��116、119の管理情報にお互いのハードディス� ��状態が異常として記録されるなどの矛盾が� ��り、冗長構成喪失直後の状態を解らない場� ��には(ステップS304 YES)、プロセッサ106は、� �長構成喪失直後の状態を示す情報がメモリ10 7にある場合かを確認する。プロセッサ106はHD Dコントローラ111にハードディスク112への書� �み禁止の設定を行う。またプロセッサ106は� �ハードディクをオンラインにした情報がメ� �リ107に記憶されているかを確認すると、記� �されていないため、メモリ107にディスク112� �オンラインにした事を記憶し、ハードディ� �ク112をオンラインにする。(ステップS306)。� �れによりハードディスク112をオンラインに� �た場合であっても、HDDコントローラ111はハ� �ドディスク112への書込みを行わない。HDDコ� �トローラ111はハードディスク112の全ての書� �込み内容(システムの起動時刻と起動状態な� ��を含む)をデータキャッシュ109に記録する。 HDDコントローラ111はシステムの起動時刻と起 動状態をデータバッファ110に記録する構成で あってもよい。起動状態とは、ハードディス ク112がオンラインかオフラインかを示す状態 である。

 CPUモジュール101はOSがパニックや、ハン� �アップしシステムが正常に起動しないこと� �判別する(ステップS307)。ユーザもしくは、CP Uモジュール101がシステムをリセットする(ス� ��ップS308)。プロセッサ106は、冗長構成喪失� �後の状態を示す情報がメモリ107にあるかを� �認する。プロセッサ106はHDDコントローラ111� �ハードディスク113の書込み禁止の設定を行� �。プロセッサ106は直前にハードディク112を� �ンラインにした情報がメモリ107に記憶され� �いるかを確認し、ハードディスク112がオン� �インになっていることを確認するため、プ� �セッサ106はハードディスク112をオフライン� �する(ステップS309)。そしてプロセッサ106は� �ードディスク113をオンラインにし、メモリ10 7にディスク112をオフライン、ディスク113を� �ンラインにした事を記憶しておく。(ステッ� ��S310)。

 CPUモジュール101は、OSが正常に立ち上が� �と、プロセッサ106に対してシステムが正常� �動作した事を通知する。そしてメモリ107に� �納される設定テーブルに示す書き込みフラ� �をすべてONにしてOSを再起動する。プロセッ� ��106は、冗長構成喪失直後の状態を示す情報( RAID装置100が、ハードディスク112がオフライ� �で、ハードディスク113がオンラインの状態� �あることを示す情報)をメモリ107より参照す� ��。

 そしてプロセッサ106は、ハードディク112� ��オフライン、ハードディスク113をオンライ� ��にして正常に起動する(ステップS311)。

 その後、ハードディスク112は、障害の可能� ��が高いため新しいハードディスクに交換し� ��ハードディスク113からリビルドを実施する� ��リビルドが完了後、同様にハードディスク1 13を新しいディスクに交換し最初のミラー構� ��にし、システムを完全に復旧する。

デイジーチェイン接続のハードディスクにお いてバス系に異常がある場合などは、RAID装� �が不揮発性メモリなどに記録するログから� �けでは、ログを記録する周期の間隔内に複� �のハードディスクの切り離しが発生する事� �ある。これによりログからだけではハード� �ィスクの切り離しの順序を特定することが� �きず、適切にRAID装置を復旧することができ� ��い。本願発明によればハードディスクをオ� ��ラインにしても起動時刻などを書き込まず� ��起動するため、正常に起動するか否かを判� ��して立ち上げの順序を特定することができ� ��。 (実施例2)
 本実施例は記憶装置900がデータ領域を複数� ��ハードディスクに分割(ストライピングとい う)してデータのパリティを固定されたディ� �クに冗長化したRAID3の場合を例に説明する。 また記憶装置900は、RAID3に限定されることは� ��く、RAID5のようなパリティが複数のハード� �ィスクに分散してもあってもよい。

 図9は、本実施例に係るRAID装置900のハー� �ブロック図である。

 <RAID装置900>
 RAID装置900は、CPU(Central Processing Unit)モジュ ール901、ディスプレイコントローラ(Display Co ntroller)902、ディスプレイ903、LANコントローラ (LAN Controller)904、RAIDコントローラ(RAID Controll er)905、ハードディスク(HDD)912、913、914から構� ��される。CPUモジュール901は、RAID装置900を統 括的に制御し、ディスプレイコントローラ902 、LANコントローラ904、RAIDコントローラ905を� �括的に制御する。またCPUモジュール901はメ� �リなどの記録媒体を含む構成であり、RAID装� ��900のOSをメモリ上に展開してOSを起動するも のである。ディスプレイコントローラ902は、 ディスプレイ903における表示制御を行う。LAN コントローラ904はRAID装置900が接続するネッ� �ワークの通信制御を行う。RAID装置900は、LAN� ��ントローラ904を介してRAID装置900の外部のネ ットワークより、所望のデータを取得する。

 <RAIDコントローラ905>
 RAIDコントローラ905は、プロセッサ906、メモ リ907、バスコントローラ908、データキャッシ ュ909、データバッファ910、HDDコントローラ911 から構成されている。プロセッサ906は、HDDコ ントローラ911経由でハードディスク912または ハードディスク913にデータを書き込む/読み� �す制御を行う。プロセッサ906はメモリ907に� �納されている所定のプログラムを実行する� �バスコントローラ908は、RAIDコントローラ905� ��CPUモジュール901でのデータのやりとりを制� ��する。さらにプロセッサ906はHDDコントロー� ��911経由でハードディスク912、913、914との接� ��制御を行う。RAIDコントローラ105とハードデ ィスク912、913、914を接続することを「オンラ イン」、RAIDコントローラ105とハードディス� �912、913、914を切断することを「オフライン� �と呼ぶ。ただしオフライン、オンラインに� �らず、プロセッサ906はHDDコントローラ911経� �でハードディスク912、913から管理情報を読� �出すことが可能である。データキャッシュ90 9はハードディスク912、913、914のアクセスを� �助し、一度ハードディスク912、913、914にア� �セスするデータを一時的に保管し、保管さ� �た情報は、ディスクに直接アクセスせずに� �速化する。そまたデータバッファ911は、ハ� �ドディスク912、913、914に書き込むデータを� �旦、格納する記憶部である。ハードディス� �912、913、914は一定時間に一定のデータ量を� �き込む必要があるために、データバッファ91 0は設けられている。換言すれば、データキ� �ッシュ909とデータバッファ910は、CPUモジュ� �ル901またはプロセッサ906が書き込みを指示� �るデータをハードディスク912、913、914に格� �する前に格納する。そしてデータ量が所定� �容量よりも大きくなった後、HDDコントロー� �911は、データキャッシュ909経由でデータバ� �ファ910からデータを読み出し、ハードディ� �ク912、913、914に格納する。データキャッシ� �109と、データバッファ910があることによっ� �、RAID装置900はデータの転送をハンドリング� ��ることができる。

 ハードディスク912はシステム領域915、デ� ��タ領域916、RAID管理領域917より構成されてい る。同様にしてハードディスク913はシステム 領域918、データ領域919、RAID管理領域920より� �成されている。ハードディスク914はシステ� �領域921、データ領域922、RAID管理領域923より� ��成されている。

 システム領域915、データ領域916、RAID管理 領域917は、ハードディスク912を分割した領域 である。同様にしてシステム領域918、データ 領域919、RAID管理領域920は、ハードディスク91 3を分割した領域であり、システム領域921、� �ータ領域922、RAID管理領域923は、ハードディ� ��ク914をパーティション分割した領域である� ��そしてシステム領域915、918、921、データ領� ��916、919、922、RAID管理領域917、920、923の容量 は可変な量であって、ハードディスク912、913 、914のデータ容量の範囲内で可変である。

 RAID3は、データのパリティ情報を格納す� �ハードディスクをストライプアレイに付加� �た構成である。これによりハードディスク� �障害が発生した場合、RAID3はパリティ情報よ りデータの再構築を行うことができる。本実 施例において、ストライピングアレイはハー ドディスク912、913である。パリティ情報を格 納するハードディスクはハードディスク914で ある。

 システム領域915には、RAID装置900における OS、アプリケーションプログラムなどのスト� ��イプデータ1201が格納されている。同様にし てシステム領域918には、RAID装置900におけるOS 、アプリケーションプログラムなどのストラ イプデータ1202が格納されている。ストライ� �データ1201、1202は、RAID装置900におけるOS、ア プリケーションプログラムなどのデータを分 散したデータである。ストライプデータ1201� �1202の分散比率等は、ユーザが設定すること� ��できる。そしてシステム領域921には、スト� ��イプデータ1201とストライプデータ1202の排� �的論理和であるパリティデータ9211が格納さ� ��ている。

 データ領域916、919にはRAID装置900のデータ が分散され、それぞれにストライプデータ916 1、9191格納されている。そしてデータ領域921� ��はデータ領域916に格納されるストライプデ� ��タ9161とデータ領域919に格納されるストライ プデータ9191との排他的論理和であるパリテ� �データ9221が格納されている。ここでデータ� ��はユーザの個人情報などであって、RAID装置 100を制御するプログラムなどとは異なる情報 である。

 RAID管理領域917、920、923にはRAID装置900の� �理情報が分散されずそれぞれに独立して管� �データ917、920、923に格納されている。管理� �報とは、ハードディスク912、913、914が正常� �否かを示す情報であり、プロセッサ906がHDD� �ントローラ911経由で更新を行う。

 図12(a)は、本実施例に係るシステム領域91 5に格納されているストライプデータ1201であ� ��。ストライプデータ1201は、RAID装置900にお� �て起動するOS1205から構成されている。スト� �イプデータ1201は、RAID装置900におけるOS、ア� ��リケーションプログラムから構成されるデ� ��タを分散したデータであるため、OS1205、ア� ��リケーションプログラム1207は、これらOS、� ��プリケーションプログラム、設定テーブル� ��一部分である。同様にして図12(b)は、本実� �例に係るシステム領域918に格納されている� �トライプデータ1202である。ストライプデー� ��1202は、RAID装置900において起動するOS1206、� �プリケーションプログラム1208から構成され� ��いる。OS1205とOS1206の和がRAID装置900のOSであ� ��。同様にしてアプリケーションプログラム1 207とアプリケーションプログラム1208の和がRA ID装置900のアプリケーションプログラムであ� ��。本実施例において、ストライプデータ1201 、1202は共に、OS、アプリケーションプログラ ムの一部分を有するが、分散の仕方はこれに 限定されることはない。例えばシステム領域 915にはRAID装置900のOSを格納し、システム領域 918はRAID装置900のアプリケーションプログラ� �を格納する構成であってもよい。

 図19に記載の設定テーブル2001はハードデ� ��スク912、ハードディスク913、ハードディス� ��914、データキャッシュ909、データバッファ1 10へのデータの書込み/読み出しを決定する書 き込みフラグのオン/オフの一部を示すテー� �ルである。初期設定では設定テーブル2001の� ��込みフラグはすべてオンになっている。設� ��テーブル2001はメモリ907に格納されている。

 本実施例において、RAID装置900はパラレル アクセスアレイ構成になっているため、OS1205 とOS1206は異なる内容を示すデータである。同 様にして、アプリケーションプログラム1207� �1208も異なる内容を示すデータである。

 さらにパリティデータ1301はストライプデ ータ1201とストライプデータ1202の排他的論理� ��のデータである。プロセッサ906は、パリテ� ��データ1301を算出する。パリティデータ1301� �、そのため例えばハードディスク912に障害� �発生し、ストライプデータ1201を読み出すこ� ��ができない場合、パリティデータ1301とスト ライプデータ1202からストライプデータ1201を� ��元することができる。同様にしてハードデ� ��スク913に障害が発生し、ストライプデータ1 202を読み出すことができない場合、パリティ データ1301とストライプデータ1201からストラ� ��プデータ1202を復元することができる。

 本実施例において、BIOS(Basic Input/Output Sy stem)設定などにおいて、ユーザはデータキャ� ��シュ109、データバッファ110、ハードディス� ��912、913、914の書込みを有効/無効にするフラ グのオン/オフを設定する。ハードディスク91 2、913、914への書込みフラグをオフにすると� �設定テーブル2001が更新される。データキャ� ��シュ909へデータの書込みを許可する書き込� ��フラグをオンのままにして変更せず、デー� ��バッファ110への書き込みを許可する書き込� ��フラグもオンのままにする。ユーザ若しく� ��CPUモジュール901がRAID装置900をリブートした とき、ハードディスク912、913、914の書込みフ ラグをオフに設定することによって、ハード ディスク912、913、914へ起動に伴う初期データ の書き込みを禁止することができる。初期デ ータはOSの起動時刻、起動状態などを含み、� ��ステムの起動に伴う設定データやログデー� ��である。

 図14(a)は、RAID管理領域917に格納されてい� ��管理データ1401である。管理データ1401は、� �理情報1403とシステムの起動時間1405から構成 されている。管理情報1403は、ハードディス� �912、913、914に障害が発生していない場合の� �理情報であり、ハードディスク912、913、914� �正常に動作していることを示す。同様にし� �図14(b)は、RAID管理領域920に格納されている� �理データ1402である。管理データ1402は、管理 情報1404とシステムの起動時間1406から構成さ� ��ている。管理情報1404は、ハードディスク912 、913、914に障害が発生していない場合の管理 情報であり、ハードディスク912、913、914が正 常に動作していることを示す。同様にして図 14(c)は、RAID管理領域923に格納されている管理 データ1407である。管理データ1407は、管理情� ��1408とシステムの起動時間1409から構成され� �いる。管理情報1408は、ハードディスク912、9 13、914に障害が発生していない場合の管理情� ��であり、ハードディスク912、913、914が正常� ��動作していることを示す。

 ハードディスク912に障害が発生した場合� ��プロセッサ906は、HDDコントローラ911経由で� ��管理情報1403を図15(a)に示す管理情報1603に更 新する。管理情報1603は、ハードディスク912� �RAID管理領域917に格納されているため、障害� ��より更新することができる場合もあるし更� ��できない場合もある。図15(a)に示す管理情� �1603に記載のハードディスク912の動作状態は� ��(異常)」と記載してあるは、HDDコントロー� �911が管理情報1403を更新できた場合には、ハ� ��ドディスク912の動作状態が「異常」と記載� ��れることを意味している。プロセッサ906は� ��ハードディスク913、914の状態を「正常」の� ��まとする。そのため、プロセッサ906は、HDD� ��ントローラ911経由で、管理情報1403を更新す ることができない場合には、ハードディスク 912の動作状態は「正常」のままである。プロ セッサ906はRAID管理領域920に格納される管理� �報1404を図15(b)に示す管理情報1604に更新する� ��プロセッサ906は、管理情報1404に記載のハー ドディスク912の状態を「異常」と更新し、ハ ードディスク913、914の状態を「正常」のまま とする。プロセッサ906はRAID管理領域923に格� �される管理情報1407を図15(c)に示す管理情報16 07に更新する。プロセッサ906は、管理情報1407 に記載のハードディスク912の状態を「異常」 と更新し、ハードディスク913、914の状態を「 正常」のままとする。

 さらにハードディスク913に障害が発生し� ��場合、プロセッサ906は管理情報1603、1604、16 07を図16(a)、図16(b)、図16(c)に示す管理情報1703 、1704、1708に更新する。図16(a)に示す管理情� �1603に記載のハードディスク912、913の動作状� ��は「(異常)」である。プロセッサ906が管理� �報1603を更新できた場合には、ハードディス� ��112、113の動作状態が「異常」と記載される� ��とを意味している。そのため、プロセッサ9 06が管理情報1603を更新することができない場 合には、ハードディスク912、913の動作状態は 「正常」のままである(管理情報1603と同じ)。 図16(b)に示す管理情報1703に記載のハードディ スク912の動作状態は「異常」であり、ハード ディスク913の動作状態は「(異常)」であり、� ��ードディスク914の動作状態は「正常」のま� ��である。図16(c)に示す管理情報1707に記載の� ��ードディスク912、913の動作状態は「異常」� ��あり、ハードディスク914の動作状態は「正� ��」のままである。

 管理情報1403、1404、1407、1603、1604、1407、1703 、1704、1407は、ハードディスク912、913、914が� ��常に動作しているか否かを示す情報である� ��プロセッサ906は、管理情報を随時更新する� ��また管理情報を比較して矛盾がある場合あ� ��、矛盾とは、管理情報に記載されているハ� ��ドディスク912、913、914の「正常」、「異常� ��の一致が取れないことである。

またHDDコントローラ911は、ハードディスク912 、913、914の異常を検出する機能を有している 。異常の検出の機構は例えば、HDDコントロー ラ911が診断コマンドなどの信号をハードディ スク912、913、914に送信し、それに対する正常 応答信号がハードディスク912、913、914から所 定時間内に返信されるか否かを監視している 。そしてHDDコントローラ911が所定時間内に正 常応答信号を受信しない場合には、ハードデ ィスク912、913、914に異常が発生したと判別す る。そしてHDDコントローラ911が所定時間内に 応答信号を受信した場合には、ハードディス ク912、913、914に異常は発生していないと判別 する。またデータの書込み又はデータの読み 出しが正常に行われたか否かを監視しており 、正常にデータの書込み又はデータの読み出 しが行われない場合には、異常が発生したと 決定する。 図10は本実施例に係るデータの� �録処理のフローチャートである。

 本実施例では、ハードディスク912に障害� ��発生しハードディスク912をオフラインにし� ��その後ハードディスク913に障害が発生して� ��ードディスク913をオフラインにして、RAID装 置900がマルチデッド状態になる場合を説明す る。ハードディスク912、913をオフラインにす る順序は、ハードディスク913をオフラインに し、その後ハードディスク912をオフラインに する場合であってもよい。

 まずユーザはRAID装置900の電源を投入する (ステップS1001)。プロセッサ906は、RAID管理領� ��917、920、923に格納されている管理情報を参� ��する(ステップS1002)。

 CPUモジュール901はシステム領域915、918、9 21からOSをメモリ907に読み出し、システムを� �動する(ステップS1003)。そしてプロセッサ906� ��、HDDコントローラ911経由で、RAID管理領域917 、920、923にシステムの起動時刻とシステムの 管理情報を書き込み、管理データを更新する (ステップS1004)。RAID装置900は、RAID装置900の外 部から入力されるデータをデータ領域916、918 、922に記録しデータの更新を行う(ステップS1 005)。プロセッサ906は、データ領域916のスト� �イプデータとデータ領域919のストライプデ� �タの排他的論理和を計算し、パリティデー� �を算出する(ステップS1006)。そしてプロセッ� ��906は、HDDコントローラ911経由で、パリティ� ��ータをデータ領域922に格納する(ステップS10 07)。

 そしてハードディスク912に障害が発生す� ��(ステップS1008)。プロセッサ906は、HDDコント ローラ911経由で、ハードディスク912をオフラ インにする(ステップS1009)。そしてRAID装置900� ��、RAID装置900の外部から入力されるデータを データ領域919に記録しデータの更新を行う(� �テップS1010)。プロセッサ906は、HDDコントロ� �ラ911経由で、データ領域922のパリティデー� �の更新を行う(ステップS1011)ハードディスク9 12はオフラインのため、データ領域916はデー� ��の更新を行うことができない(ステップS1012) 。

 ハードディスク913に障害が発生する(ステ ップS1013)。プロセッサ906は、HDDコントローラ 911経由で、ハードディスク913をオフラインに する(ステップS1014)。ハードディスク912、913� �オフラインにしたため、RAID装置900はシステ� ��ダウンする(ステップS1015)。

 図11は本実施例に係るデータの記録復旧� �フローチャートである。

 RAID装置900は、ハードディスク912、913の両 方を切り離してシステムダウンすると、ユー ザもしくは、CPUモジュール101がシステムをリ セットする(ステップS1101)。そしてプロセッ� �906は、RAID管理領域917、920、923に格納されて� ��る管理情報の参照を試みる(ステップS1102)。 プロセッサ906はRAID管理領域917、920、923の管� �情報を読み出し可能か否かを判別する(ステ� ��プS1103)。

 RAID管理領域917、920、923の管理情報を読み 出し可能な場合には、プロセッサ906はRAID管� �領域917、920、923の管理情報を参照する。

 そしてプロセッサ906は、RAID管理領域917、 920、923の管理情報にハードディスク状態が異 常として記録されるなどの矛盾があるか否か 判別する(ステップS1104)。

 プロセッサ906は、RAID管理領域917、920、923 の管理情報に矛盾がないと判別した場合には 、RAID管理領域917、920、923に格納されている� �理情報を比較し、冗長構成喪失直後の状態� �解析する。

 プロセッサ906はハードディスク912をオフ� ��インにした後に、ハードディスク913をオフ� ��インにしたことを判別する。そしてプロセ� ��サ906はハードディスク913のみオンラインに� ��て(クリティカル状態にして)、ユーザ若し� �は、CPUモジュール901はシステムを起動する(� ��テップS1105)。

 RAID管理領域917には、HDDコントローラ911が ハードディスク912へアクセスしたアクセス時 刻などのログが記録されている。同様にRAID� �理領域920には、HDDコントローラ911がハード� �ィスク913へアクセスしたアクセス時刻など� �ログが記録されている。同様にRAID管理領域9 23には、HDDコントローラ911がハードディスク9 14へアクセスしたアクセス時刻などのログが� ��録されている。プロセッサ906はこのHDDコン� ��ローラ911がハードディスク912、913、914へア� ��セスしたアクセス時刻を比較して、ハード� ��ィスク912、ハードディスク913をオフライン� ��した順序を判別し、冗長構成喪失直後の状� ��を解析する。

 またプロセッサ906はシステム領域915、918� ��記録されている起動時刻、及びシステム領� ��921のパリティデータを参照することも可能� ��ある。起動時刻よりハードディスク912、ハ� ��ドディスク913がオフラインになった順序を� ��別する構成であってもよい。

 RAID管理領域917、920、923の管理情報を読み 出し不可能な場合(ステップS1103 NO)や、RAID管 理領域917、920、923の管理情報にハードディス ク状態が異常として記録されるなどの矛盾が あり、冗長構成喪失直後の状態を解らない場 合には(ステップS1104 YES)、プロセッサ906は、 冗長構成喪失直後の状態を示す情報がメモリ 907にある場合かを確認する。プロセッサ906は HDDコントローラ911にハードディスク912への書 込み禁止の設定を行う。またプロセッサ906は 、ハードディク112をオンラインにした情報が メモリ907に記憶されているかを確認すると、 記憶されていないため、メモリ907にディスク 912をオンラインにした事を記憶し、ハードデ ィスク912をオンラインにする(ステップS1106)� �HDDコントローラ911がハードディスク912への� �込みは行わないように、ユーザは予めメモ� �907に格納されている設定テーブルのハード� �ィスク912、913、914の書き込みフラグをオフ� �しておく。そのためハードディスク912をオ� �ラインにした場合であっても、HDDコントロ� �ラ911はハードディスク912への書込みを行わ� �い。HDDコントローラ911はハードディスク912� �914の全ての書き込み内容(システムの起動時� ��と起動状態などを含む)をデータキャッシュ 909に記録する。HDDコントローラ911は912、914の 全ての書き込み内容をデータバッファ910に記 録する構成であってもよい。ハードディスク 912の起動状態とは、ハードディスク912がオン ラインかオフラインかを示す状態である。

 CPUモジュール901はOSがパニックや、ハン� �アップしシステムが正常に起動しないこと� �判別する(ステップS1107)。ユーザもしくは、C PUモジュール901がシステムをリセットする(ス テップS1108)。プロセッサ906はハードディスク 912をオフラインにする(ステップS1109)。そし� �プロセッサ906はハードディスク913をオンラ� �ンにし、メモリ907にディスク912をオフライ� �、ディスク913、914をオンラインにした事を� �憶しておく。(ステップS1110)。

 CPUモジュール901は、OSが正常に立ち上が� �と、プロセッサ906に対してシステムが正常� �動作した事を通知する。そしてメモリ907に� �納される設定テーブルに示す書き込みフラ� �をすべてONにしてOSを再起動する。プロセッ� ��906は、冗長構成喪失直後の状態を示す情報( RAID装置900が、ハードディスク912がオフライ� �で、ハードディスク913、914がオンラインの� �態であることを示す情報)をメモリ907より参� ��する。

 そしてプロセッサ906は、ハードディク912� ��オフライン、ハードディスク913、914をオン� ��インにして正常に起動する(ステップS1111)。 またこのとき、RAID管理領域920、923に格納さ� �ている管理情報に示すハードディスク913の� �作状態を「正常」に更新する。

 その後、ハードディスク912は、障害の可能� ��が高いため新しいハードディスクに交換し� ��ハードディスク913、914からリビルドを実施� ��る。リビルドが完了後、同様にハードディ� ��ク913を新しいディスクに交換し最初のRAID3� �成にし、システムを完全に復旧する。

本実施例におけるRAID装置900では、ハードデ� �スク912、913、914のうち複数のハードディス� �に障害が発生した場合であっても、正しい� �序でハードディスクをオンラインにしてシ� �テムを正常に起動することができる。ハー� �ディスクのオンラインにする順序を特定し� �、ハードディスク912、913、914へのデータの� �書込みを防止できるため、RAID装置900はハー� ��ディスク912、913、914のデータを救済するこ� ��ができる。
本発明に係る判別手段が行う処理は、プロセ ッサが行う処理に含まれる。本発明における 起動手段が行う処理は、CPUモジュールが行う 処理に含まれる。本発明における格納手段が 行う処理は、データキャッシュ、データバッ ファが行う処理に含まれる。本発明に係る稼 動手段、特定手段が行う処理は、CPU、プロセ ッサが行う処理に含まれる。本発明に係る書 込み手段が行う処理は、HDDコントローラが行 う処理に含まれる。 また本実施例において� ��データを記録する記録媒体はハードディス� ��912、913、914であるが、これに限られること� ��なく、揮発性記録媒体であるメモリや不揮� ��性記録媒体のフラッシュメモリなどであっ� ��もよい。