WO2014188479A1

WO2014188479A1 - ストレージ装置及びストレージ装置の制御方法

Info

Publication number: WO2014188479A1
Application number: PCT/JP2013/063889
Authority: WO
Inventors: 貴敦鈴木; 紀夫下薗; 弘明圷; 講平鑪
Original assignee: 株式会社日立製作所
Priority date: 2013-05-20
Filing date: 2013-05-20
Publication date: 2014-11-27
Also published as: US20150378629A1; US9760296B2

Abstract

　論理アドレスと物理アドレスの異常を検出するため、ストレージ装置は、上位装置に提供される論理ボリュームを構成する記憶媒体を有する複数のドライブと、上位装置から論理ボリュームの論理記憶領域を識別する論理アドレスを含むＩ／Ｏ要求とユーザデータとを受信するフロントエンドＩ／Ｆと、論理アドレスから記憶媒体の物理記憶領域を識別する物理アドレスへの変換を制御するプロセッサと、物理アドレスに基づいて複数のドライブへのユーザデータの書込み／読出しを制御するバックエンドＩ／Ｆと、を有する。そして、ドライブには、物理アドレスと物理アドレスに対応する論理アドレスとに基づいて得られる第１の保証コードがユーザデータに付加されたデータが、記憶媒体の物理アドレスによって指定された物理記憶領域に格納される。

Description

ストレージ装置及びストレージ装置の制御方法

　ドライブ装置へデータを格納するストレージ装置に関する。

　高性能・高信頼性が求められるストレージ装置では、搭載する複数台のディスク装置でＲＡＩＤ（Ｒｅｄｕｎｄａｎｔ　Ａｒｒａｙ　Ｉｎｄｅｐｅｎｄｅｎｔ（Ｉｎｅｘｐｅｎｓｉｖｅ）　Ｄｉｓｋｓ）を構成し、１つまたは複数の仮想的なディスク装置として記憶領域をホストコンピュータなどの上位装置に提供することで、高速化及び冗長性を向上させている。上位装置は、この提供される仮想的なディスク装置の論理アドレスを指定して、ストレージ装置との間のデータの送受信を行う。一方、論理アドレスの指定を受けたストレージ装置は、内部で論理アドレスから実際のディスク装置のアドレスを指す物理アドレスにアドレス変換し、ディスク装置へのデータを書込み／読出しを行っている。

　このようなアドレス変換を伴うデータ転送に対して、信頼性をより向上させるため、例えば、特許文献１には、ディスク装置にデータを格納する際、書込み先の物理アドレスに基づいて計算される保証コード　ディスク側ＬＡ（Ｌｏｇｉｃａｌ　Ａｄｄｒｅｓｓ）をデータに付加して書き込み、データの読出しにＬＡをチェックすることで、誤ったアドレスにデータを書き込んでしまう等のアドレス異常を検出することが記載されている。

特開２０００－３４７８１５号公報

　しかしながら、特許文献１に記載のアドレス異常の検出方法では、指定された物理アドレスで指定された物理記憶領域とは異なる物理記憶領域にデータが書き込まれたことは検出できるが、指定された論理アドレスと対応する物理記憶領域と異なる物理記憶領域にデータが書き込まれてしまっていても、論理アドレスの異常は検出できないという課題がある。このような論理アドレスの異常は、論理アドレスから物理アドレスへの変換の際に起きやすい。近年のデータの大容量化に伴い、論理ボリュームの記憶領域を仮想ボリュームに動的に割当てるＴｈｉｎ　Ｐｒｏｖｉｓｉｏｎｉｎｇ機能や、複数のストレージ装置の記憶領域を統合した仮想ボリュームを提供するストレージ装置の仮想化機能等が急速に普及している。これらの機能では論理アドレスと物理アドレスとが固定的に対応づいておらず、動的に対応関係が変化する。また、アドレス変換も複雑化し、１回のアクセスでアドレス変換を行われる回数が増加している。このことからも、データの信頼性をより一層高めるため、論理アドレス異常を検出するニーズは高まっている。

　本発明に係るストレージ装置は、上位装置に提供される論理ボリュームを構成する記憶媒体を有する複数のドライブと、上位装置から論理ボリュームの論理記憶領域を識別する論理アドレスを含むＩ／Ｏ要求とユーザデータとを受信するフロントエンドＩ／Ｆと、論理アドレスから記憶媒体の物理記憶領域を識別する物理アドレスへの変換を制御するプロセッサと、物理アドレスに基づいて複数のドライブへのユーザデータの書込み／読出しを制御するバックエンドＩ／Ｆと、を有する。そして、ドライブには、物理アドレスと物理アドレスに対応する論理アドレスとに基づいて得られる第１の保証コードがユーザデータに付加されたデータが、記憶媒体の物理アドレスによって指定された物理記憶領域に格納される。

　本発明により、論理アドレスの異常を検出でき、ストレージ装置のデータの信頼性がより向上させることができる。

実施例１に係る計算機システムのハードウェア構成図である。実施例１に係る計算機システムのドライブの論理構成図である。実施例１に係る計算機システムの論理構成図である。実施例１に係るデータブロックの構成図である。実施例１に係る共有メモリの構成図である。実施例１に係るローカルメモリの構成図である。実施例１に係るドライブメモリの構成図である。実施例１に係るキャッシュ管理テーブルの構成図である。実施例１に係る構成情報テーブルの構成図である。実施例１に係るＬＡによるデータ保証範囲と論理システム構成の対応を示す図である。実施例１に係るドライブフォーマット処理のフローチャートである。実施例１に係るホストライト処理のフローチャートである。実施例１に係るフロントエンドライト処理のフローチャートである。実施例１に係るバックエンドライト処理のフローチャートである。実施例１に係るドライブライトコマンドの構造を示す図である。実施例１に係るライト時ＭＬＡ検査処理のフローチャートである。実施例１に係るライト時ＭＬＡ検査処理のフローチャートである。実施例１に係るライト時ＢＬＡ検査処理のフローチャートである。実施例１に係るホストリード処理のフローチャートである。実施例１に係るフロントエンドリード処理のフローチャートである。実施例１に係るバックエンドリード処理のフローチャートである。実施例１に係るドライブリードコマンドの構造を示す図である。実施例１に係るリード時ＭＬＡ検査処理のフローチャートである。実施例１に係る異常終了処理のフローチャートである。実施例２に係る論理構成図である。実施例２に係るＬＡによるデータ保証範囲と論理システム構成の対応を示す図である。実施例２に係るデータマッピング構造を示す図である。実施例２に係るアドレスマッピングテーブルの構成図である。実施例２に係るＬＤＥＶ空きブロック管理テーブルの構成図である。実施例２に係るフロントエンドライト処理のフローチャートである。実施例２に係るＶＶＯＬブロック割り当て処理のフローチャートである。実施例２に係るバックエンドライト処理のフローチャートである。実施例２に係るホストリード処理のフローチャートである。実施例２に係るバックエンドリード処理のフローチャートである。実施例２に係るＶＶＯＬブロック割り当て削除処理のフローチャートである。実施例２に係るＶＶＯＬブロック割り当て変更処理のフローチャートである。

　幾つかの実施例を、図面を参照して説明する。なお、以下に説明する実施例は特許請求の範囲にかかる発明を限定するものではなく、また実施例で説明されている諸要素及びその組み合わせの全てが発明の解決手段に必須であるとは限らない。

　なお、以下の説明では、「ＸＸテーブル」の表現にて各種情報を説明することがあるが、各種情報は、テーブル以外のデータ構造で表現されていても良い。データ構造に依存しないことを示すために「ＸＸテーブル」を「ＸＸ情報」と呼ぶことができる。

　また、以下の説明では、ハードウェアを主語として処理を説明する場合があるが、プログラムをハードウェアの自体、またはハードウェアが有するプロセッサ（例えば、ＭＰ（Ｍｉｃｒｏ　Ｐｒｏｃｅｓｓｏｒ））によって実行することで、定められた処理を、適宜に記憶資源（例えばメモリ）及び／又は通信インターフェースデバイス（例えばポート）を用いながら行うため、処理の主語がプログラムとされても良い。また、プログラムソースは、例えば、プログラム配布サーバ又は記憶メディアであっても良い。

　実施例１に係るストレージシステムを含む計算機システム１の概要を説明する。ストレージシステムは、例えば、図１に示すストレージ装置１００により構成される。ストレージ装置１００のＤＫＵ１７０には、ドライブ装置１８０が複数備えられている。ストレージ装置１００においては、複数のドライブ装置１８０の記憶領域により、論理ボリュームが構成される。論理ボリュームはホストコンピュータ１０から参照される。

　図１は、実施例１に係る計算機システム１のハードウェア構成図である。　計算機システム１とは、１以上のホスト計算機（以下、ホストという）１０と、管理サーバ２０と、ストレージ装置１００とから構成される。ホスト１０、管理サーバ２０、ストレージ装置１００は、ネットワーク３０を介して接続されている。ネットワーク３０は、ローカルエリアネットワーク（ＬＡＮ）であってもよく、ワイドエリアネットワーク（ＷＡＮ）であってもよい。ホスト１０は、例えば、アプリケーションを実行する計算機であり、ストレージ装置１００から、アプリケーションで必要なデータを読み込んだり、アプリケーションで作成されたデータを書き込んだりする。管理サーバ２０は、計算機システム１を管理するためのアプリケーションを実行する計算機であり、システムの管理処理を実行する管理者により使用される計算機である。ストレージシステムは、例えば、図１に示すストレージ装置１００より構成される。ストレージ装置は、ＤＫＣ（Ｄｉｓｋ　Ｃｏｎｔｒｏｌｌｅｒ）１９０とＤＫＵ（Ｄｉｓｋ　Ｕｎｉｔ）１７０により構成される。ＤＫＣ１９０は、１以上のフロントエンドパッケージ（ＦＥＰＫ）１１０と、保守インタフェース（保守Ｉ／Ｆ）１２０と、１以上のマイクロプロセッサパッケージ（ＭＰＰＫ）１３０と、１以上のキャッシュメモリパッケージ（ＣＭＰＫ）１４０と、１以上のバックエンドパッケージ（ＢＥＰＫ）１５０と、内部ネットワーク１６０とを有する。ＦＥＰＫ１１０、保守Ｉ／Ｆ１２０、ＭＰＰＫ１３０、ＣＭＰＫ１４０、及びＢＥＰＫ１５０は、内部ネットワーク１６０を介して接続されている。ＢＥＰＫ１５０は、複数系統のパス１７１やスイッチ１７２を介してＤＫＵ１７０と接続されている。ＤＫＵ１７０には、ドライブ装置１８０が複数供えられている。

　ＦＥＰＫ１１０は、フロントエンドのインタフェースデバイスの一例であり、１以上のポート１１１、フロントエンドコントローラ（ＦＥコントローラ）１１２、ＤＭＡ(ＦＥ　ＤＭＡ)１１３、フロントエンド転送バッファ（ＦＥ　ＤＸＢＦ）１１４を有する。ポート１１１は、ストレージ装置１００を、ネットワーク等を介して種々の装置と接続する。保守Ｉ／Ｆ１２０は、ストレージ装置１００を管理サーバ２０と接続するためのインタフェースである。フロントエンド転送バッファ（ＦＥ　ＤＸＢＦ）１１４は、ホスト１０から送信されたデータや、ホスト１０へ送信するデータを一時的に格納する。ＦＥコントローラ１１２は、ホスト１０との間で各種コマンドや、ライトデータ、リードデータ等の通信を行う。ＦＥ　ＤＭＡ１１３は、ＦＥ　ＤＸＢＦ１１４とＣＭ１４１の間で各種コマンドやデータの通信を行う。

　ＭＰＰＫ１３０は、マイクロプロセッサ（ＭＰ）１３１と、ローカルメモリ（ＬＭ）１３２とを有する。ＬＭ１５０は、各種プログラムや、各種情報を記憶する。ＭＰ１３１は、ＬＭ１３２に格納されたプログラムを実行して各種処理を実行する。ＭＰ１３１は、ＢＥＰＫ１５０を介して、各種コマンド（例えばＳＣＳＩにおけるリードコマンドやライトコマンドなど）をＤＫＵ１７０のドライブ装置１８０に送信し、また、ＤＫＵ１７０のドライブ装置１８０から各種コマンドの結果を受信する。また、ＭＰ１３１は、ＦＥＰＫ１１０を介して、各種コマンドを外部ストレージ装置に送信する。

　ＣＭＰＫ１４０は、キャッシュメモリ（ＣＭ）１４１と共有メモリ（ＳＭ）１４２を有する。ＣＭ１４１は、ホスト１０からドライブ等に書き込むデータ（ライトデータ）や、ドライブから読み出したデータ（リードデータ）を一時的に格納するためのメモリである。ＳＭ１４２は、各種プログラムが処理を行うための制御情報を格納するためのメモリである。

　ＢＥＰＫ１５０は、バックエンドのインタフェースデバイスの一例であり、１以上のポート１５１と、バックエンドコントローラ（ＢＥコントローラ）１５２と、ＤＭＡ（ＢＥ　ＤＭＡ）１５３と、バックエンド転送バッファ（ＢＥ　ＤＸＢＦ）１５４とを有する。ポート１５１は、ストレージ装置１００を、ネットワーク等を介してドライブ装置１８０と接続する。バックエンド転送バッファ（ＢＥ　ＤＸＢＦ）１５４は、ドライブ装置１８０から送信されたデータや、ドライブ装置１８０へ送信するデータを一時的に格納する。ＢＥコントローラ１５２は、ＤＫＵ１７０のドライブ装置１８０との間で各種コマンドや、ライトデータ、リードデータ等の通信を行う。ＢＥ　ＤＭＡ１５３は、ＢＥ　ＤＸＢＦ１５４とＣＭ１４１の間で各種コマンドやデータの通信を行う。

　図２は、実施例１に係る計算機システム１のドライブ装置１８０のハードウェア構成図である。ドライブ装置１８０は、１以上のドライブコントローラ１８１と１以上の記憶デバイス１８２を有する。ドライブコントローラ１８１は、１以上のポート１８３と、キャッシュメモリ１８４（ＤＭと呼ぶ）と、マイクロプロセッサ１８５（ＤＭＰと呼ぶ）を有する。ドライブ装置１８０は、スイッチ１７２とポート１８３を介して接続されている。記憶デバイス１８２は、不揮発性の記憶媒体であって、例えば、磁気ディスク、フラッシュメモリ、その他半導体メモリ（ＰＲＡＭ，ＲｅＲＡＭ等）等の記憶媒体である。ドライブ装置１８０は、ストレージ装置１００との間では、ＳＣＳＩコマンド処理の最小単位であるブロック１８６（例えば、５１２Ｂ）を単位として、データの受け渡しが可能である。また、ドライブコントローラ１８１を有するドライブ装置１８０を用いることにより、従来ＤＫＣ１９０で行っていた処理をドライブコントローラ１８１で行うことができ、ＤＫＣ１９０の負荷を軽減し、Ｉ／Ｏ性能の向上等を見込むことができる。しかし、ドライブ装置１８０に代えて、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）やＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）を用いてることもでき、この際、ドライブコントローラ１８１が行う演算などの処理は、ドライブコントローラ１８１に代えてＤＫＣ１９０で行ってもよい。

　図３は、実施例１に係る計算機システム１の論理構成図である。ストレージ装置１００は、複数のドライブ装置１８０（ＰＤＥＶ３４０と呼ぶ）を束ねて、ＲＡＩＤ（Ｒｅｄｕｎｄａｎｔ　Ａｒｒａｙ　ｏｆ　Ｉｎｄｅｐｅｎｄｅｎｃｅ（Ｉｎｅｘｐｅｎｓｉｖｅ）　Ｄｉｓｋｓ）グループ３３０（ＰＧと呼ぶ）を構成することで、データの冗長性を確保している。たとえば、４個のＰＤＥＶ３４０を束ねてＰＧ３３０を構成する。ＲＡＩＤにはいくつかのレベル（以下、「ＲＡＩＤレベル）という）がある。例えば、ＲＡＩＤ５では、ドライブ装置に障害が発生したことにより、そのドライブ装置から読み出せなくなったデータをリビルドするために、各データに対して、“パリティ”と呼ばれる冗長な情報（以下、「冗長コード」）が生成され、その冗長コードもドライブ装置に書き込む。ＲＡＩＤ５以外にも、ＲＡＩＤレベルは存在し（例えばＲＡＩＤ１～４、６等）、また、データの冗長化技術として、３重ミラー（Ｔｒｉｐｌｉｃａｔｉｏｎ）、パリティを３個用いたトリプルパリティ技術等もある。
ＰＧ３３０を仮想的に１つのボリュームとみなしたものをＶＤＥＶ３２０と呼ぶ。ＬＤＥＶ３１０は仮想的なデバイスで、ホスト１０からホストＬＢＡを用いて参照する。また、ＰＤＥＶ３４０は、物理ＬＢＡを用いて参照する。ストレージ装置管理者は、保守Ｉ／Ｆ１２０を介してＬＤＥＶ３１０を作成する。ＬＤＥＶ３１０はＶＤＥＶ３２０を構成するＰＤＥＶ３４０のブロック（ＰＤＥＶ中の記憶領域の一単位）を複数割り当てて構成される。ここで、物理ＬＢＡ及びホストＬＢＡとは、ブロックを指定するＬＢＡに限定されるものではなく、物理アドレスや論理アドレスなど、それぞれＰＤＥＶ３４０とＬＤＥＶ３１０の記憶領域を識別できる情報であればよい。また、ストレージシステムにおいて、ＬＤＥＶ３１０、ＶＤＥＶ３２０、ＰＤＥＶ３４０はそれぞれユニークな番号（ＬＤＥＶ＃、ＶＤＥＶ＃、ＰＤＥＶ＃）を持つ。

　図４は、実施例１に係る計算機システム１のデータブロック４００の構成図である。

　データは、データブロック４００を１単位として、転送され、ＰＤＥＶ３４０に格納される。データブロック４００は、ユーザデータ部（例えば、５１２Ｂ）４１０と保証コード部４２０（例えば、８Ｂ）から構成されており、保証コード部４２０の一部をＬＡ領域４２１として使用し、残りをビットエラー訂正のためのＣＲＣ領域４２２として使用する。ユーザデータ部４１０と保証コード部４２０の大きさは任意であり、必ずしもこの通りである必要はない。また、保証コード部４２０の全領域をＬＡとして使ってもよい。

　ここで、ホストＬＢＡから計算されるＬＡをＦＬＡとする。ＦＬＡとして、例えば、ホストＬＢＡをそのまま使ってもよいし、ホストＬＢＡのハッシュ値としてもよい。物理ＬＢＡから計算されるＬＡをＢＬＡとする。ＢＬＡとして、例えば、物理ＬＢＡをそのまま使ってもよいし、物理ＬＢＡのハッシュ値としてもよい。ＦＬＡとＢＬＡのＸＯＲ値をＭＬＡとする。ここで、ＭＬＡは必ずしもＦＬＡとＢＬＡのＸＯＲ値である必要はなく、例えば、ＦＬＡとＢＬＡをＬＡ領域に両方格納してもよい。他にも、ＭＬＡは、Ｉ／Ｏ時にアドレス間違いを起こしていないか、与えられたＦＬＡ又は／及びＢＬＡと比較することにより確認できる値であればよい。

　以降、本発明におけるテーブル構造について説明する。下記で説明するテーブルはメモリ使用量や検索時間削減のため、ポインタ構造やハッシュテーブルとしてもよいし、逆引きテーブルを持ってもよい。

　図５は、実施例１に係るＳＭ１４２内に格納されているテーブルを示す図である。実施例１では、ＳＭ１４２は、ＣＭＰＫ１４０上に領域を確保するが、例えば、ドライブ装置１８０、及びＬＭ１３２等複数の構成の記憶領域を用いて論理的なＳＭ１４２を構成してもよい。ＳＭ１４２は、キャッシュ管理テーブル１４２１と、構成情報管理テーブル１４２２とを格納する。

　図６は、実施例１に係るローカルメモリ１３２の構成図である。ＬＭ１３２は、ホストＩ／Ｏ処理プログラム１３２１と、ドライブＩ／Ｏ処理プログラム１３２２と、構成情報制御処理プログラム１３２３と、ＤＭＡ制御処理プログラム１３２４と、ドライブフォーマット処理プログラム１３２５と、ＬＡ計算処理プログラム１３２６と、ＬＡ検査処理プログラム２１３５とを格納する。ホストＩ／Ｏ処理プログラム１３２１は、ホストリード／ホストライト処理を実行させるためのプログラムである。

　図７は、実施例１に係るドライブ装置１８０のドライブメモリ１８４の構成図である。ＤＭ１８４は、Ｉ／Ｏ処理プログラム１８４１と、フォーマット処理プログラム１８４２と、ＬＡ計算処理プログラム１８４３と、ＬＡ検査処理プログラム１８４４とを格納する。Ｉ／Ｏ処理プログラム１８４１は、リード／ライト処理を実行させるためのプログラムである。

　図８は、実施例１に係る計算機システム１のキャッシュ管理テーブル１４２１の構成図である。キャッシュ管理テーブル１４２１は、ＬＤＥＶ＃と、ＬＤＥＶ　ＬＢＡと、キャッシュメモリの物理のアドレス対応関係を示す情報であり、ＬＤＥＶ＃１４２１１はＬＤＥＶ＃を格納し、ＬＤＥＶ　ＬＢＡ１４２１２はＬＤＥＶ　ＬＢＡを格納し、キャッシュメモリアドレス１４２１３は対応するＬＤＥＶ　ＬＢＡで示されるブロックのデータがキャッシュメモリに格納されている場合、そのデータが格納されているキャッシュメモリ上のアドレスを格納する。例えば、ＬＤＥＶ＃２のＬＤＥＶ　ＬＢＡ０にはキャッシュメモリが割り当てられているため、対応するキャッシュメモリのアドレスがＬＤＥＶ＃２のＬＤＥＶ　ＬＢＡ０が格納されている行に格納される。ＬＤＥＶ＃２のＬＤＥＶ　ＬＢＡ１には、キャッシュメモリが割り当てられていないため、ＬＤＥＶ＃２のＬＤＥＶ　ＬＢＡ１が格納されている行に、割り当てられていないことを示す定数（列１４２１３におけるＮｏｔ－ａｌｌｏｃａｔｅｄに相当）が格納される。本テーブルにより、ＭＰ１３１は、ホスト１０がアクセスに使用したＬＤＥＶ　ＬＢＡに対応するブロックのデータがキャッシュ上に存在するか否かを調べることができる。

　図９は、実施例１に係る計算機システム１の構成情報テーブル１４２２の構成図である。構成情報テーブル１４２２は、ＶＤＥＶ＃１４２２１と、ＬＤＥＶ＃１４２２２と、ＬＤＥＶ３１０のアドレス（ホストＬＢＡ）１４２２３と、ＰＤＥＶ＃１４２２４と、ＰＤＥＶ３４０のアドレス（物理ＬＢＡ）１４２２５との対応関係を示す情報であり、ＶＤＥＶ＃を格納する列１４２２１と、ＬＤＥＶ＃を格納する列１４２２２と、ＬＤＥＶ　ＬＢＡを格納する１４２２３と、ＰＤＥＶ＃を格納する列１４２２４と、ＰＤＥＶ　ＬＢＡ（物理ＬＢＡ）を格納する列１４２２５から構成される。ホスト１０は、ストレージ装置へのアクセスの際、ホストＬＢＡとして、ＬＤＥＶ　ＬＢＡを指定するが、本テーブルにより、ＭＰ１３１は、ホスト１０がアクセスに使用するＬＤＥＶ　ＬＢＡがどの物理ＬＢＡに対応するのか調べることができる。

　図１０は、実施例１に係る計算機システム１における、ＬＡによるデータ保証概要と論理システム構成の対応を示す図である。ストレージ装置１００内のデータ転送において、ホスト１０ら参照される論理ボリューム（ＬＤＥＶ３１０）のもつ論理アドレスから計算される保証コード（以下、ＦＬＡと呼ぶ）と、ドライブ装置１８０の持つ物理アドレスから計算される保証コード（以下、ＢＬＡと呼ぶ）を合成した保証コード（以下、ＭＬＡと呼ぶ）をデータに付加することで、異常なアドレスに対するＩ／Ｏを検出し、データ破壊や誤ったデータの読み込みを防ぐ効果がある。ホスト１０がストレージ装置１００からデータをリードする際、ドライブ装置１８０内に目的のデータが存在する場合は、データはドライブ装置１８０からＢＥ　ＤＸＢＦ１５４へ転送され、その後、ＢＥ　ＤＸＢＦ１５４からＣＭ１４１、ＣＭ１４１からＦＥ　ＤＸＢＦ１１４へ転送され、その後、ポート１１１を介してホスト１０へ転送される。ホスト１０がデータへのアクセスに使用するホストＬＢＡを、ＭＰ１３１がＳＭ１４２上の構成情報テーブル１４２２を利用して、物理ＬＢＡに変換する。物理ドライブ装置１８０中のデータへのアクセスには物理ＬＢＡを使用する。ドライブ装置１８０中のデータはＭＬＡで保護されている。ドライブ装置１８０から、ＢＥ　ＤＸＢＦ１５４へ転送する際、ドライブ装置１８０中のＤＭＰ１８５が、アクセスに係るＢＬＡとＦＬＡから得られたＭＬＡと記憶デバイス１８２から読み出し先に格納されたＭＬＡとが一致する、すなわちＭＬＡが正常であることを確認し、読み出したデータの保証コードをＭＬＡからＢＬＡへ変更する。ＢＥ　ＤＭＡ１５３がデータをＢＥ　ＤＸＢＦ１５４からＣＭ１４１へ転送する際、ＢＬＡが正常であることを確認し、ＭＰ１３１より与えられたＦＬＡをデータに付加する。データをＣＭ１４１に格納後、ＭＰ１３１はＳＭ１４２上のキャッシュ管理テーブル１４２１を更新する（以上バックエンドリード処理、以後ＢＥＲＤ処理と言う）。ＦＥ　ＤＭＡ１１３が、ＣＭ１４１上のデータをＦＥ　ＤＸＢＦ１１４に転送する際、ＦＬＡが正常であることを確認し、ＦＬＡを外す。ＦＥ　ＤＸＢＦ１１４に転送されたデータは、ＦＥコントローラ１１２によりホスト１０へ転送される(以上フロントエンドリード処理、以後ＦＥＲＤ処理と言う)。目的のデータがＣＭ１４１上にある場合、ＦＥＲＤ処理のみを行う。

　ホスト１０がストレージ装置１００へデータをライトする際、ホスト１０から転送されたライトデータは、ＦＥ　ＤＸＢＦ１１４で受信され、ＦＥ　ＤＭＡ１１３でＣＭ１４１へ転送される。ＣＭ１４１へデータを転送する際、ＭＰ１３１がＦＥ　ＤＭＡ１１３にホストＬＢＡより計算したＦＬＡを入力し、ＦＥ　ＤＭＡ１１３がデータにＦＬＡを付加した後、ＦＥ　ＤＸＢＦ１１４からＣＭ１４１へデータを転送する。データをＣＭ１４１に格納後、ＭＰ１３１がキャッシュ管理テーブル１４２１を更新する（以上フロントエンドライト処理、以後ＦＥＷＲ処理と言う）。ＣＭ１４１からＢＥ　ＤＸＢＦ１５４を経由し、ドライブ装置１８０へ書き込む際、ＭＰ１３１がホストＬＢＡから物理ＬＢＡに変換を行う。ＣＭ１４１からＢＥ　ＤＸＢＦ１５４へ転送する場合、ＢＥ　ＤＭＡ１５３がＦＬＡが正常であることを確認後、ＭＰ１３１から入力されたＢＬＡをデータに付加する。ＢＥ　ＤＸＢＦ１５４からドライブ装置１８０へ転送されたデータは、一時的にＤＭ１８４に保持され、データに付加されたＢＬＡと、ＤＫＣ１９０がドライブ装置１８０に対して発行するドライブライトコマンドに付加されたＦＬＡと、ドライブライトコマンド中の書き込み先物理ＬＢＡから、書き込み先物理ＬＢＡに格納されたＭＬＡが正常であることをＤＭＰ１８５が確認した後、ＤＭＰ１８５がデータにＭＬＡを付加して書き込みを行う（以上バックエンドライト処理、以後ＢＥＷＲ処理と言う）。

　図１１は、実施例１に係る計算機システム１のドライブフォーマット処理のフローチャートである。ドライブフォーマット処理（単にフォーマット処理とも呼ぶ）は、ストレージ装置が保守Ｉ／Ｆ１２０を介してドライブフォーマット指示を受信した場合に実行される。

　ドライブフォーマット処理では、ＭＰ１３１が保守Ｉ／Ｆ１２０からフォーマット指示を出す受信すると（ステップ１１０１）、まず始めにフォーマット指示を受け取ったＭＰ１３１が、ＢＥ　ＤＭＡ１５３に、ＭＬＡ初期値を付加したフォーマット用データを作成する処理を指示する（ステップ１１０３）。フォーマット用データは、図４のユーザデータ部４１０の全領域を０とし、保証コード部４２０のＬＡ領域４２１に、ＭＬＡ初期値として、ドライブ装置の物理アドレスから求めたＢＬＡを記録したものである。ここで、ＭＬＡ初期値は、必ずしもＢＬＡである必要はなく、初期値だと判別可能な値であればどのような値でもよい。

　ＢＥ　ＤＭＡ１５３は、作成したデータをＢＥ　ＤＸＢＦ１５４に書き込む（ステップ１１０５）。ＢＥ　ＤＸＢＦ１５４に書き込まれたフォーマット用データをＢＥコントローラ１５２がドライブ装置１８０に書き込み（ステップ１１０７）、ドライブフォーマット処理が完了する。ドライブフォーマット処理が完了すると、ホスト１０から送信されたデータをドライブ装置１８０に書き込むことができるようになる。

　図１２は、実施例１に係る計算機システム１のホストライト処理のフローチャートである。ホストライト処理は、ホスト１０から送信されたデータをＦＥ　ＤＭＡ１１３がキャッシュに書き込む処理であるフロントエンドライト処理（ステップ１２０１。以下、ＦＥＷＲ処理と呼ぶ）と、キャッシュ中のデータをＢＥコントローラ１５２がドライブに書き込むバックエンドライト処理（ステップ１２０３。以下、ＢＥＷＲ処理と呼ぶ）とからなる。

　図１３は、実施例１に係る計算機システム１のフロントエンドライト処理のフローチャートである。ＦＥＷＲ処理は、ＭＰ１３１がＦＥＰＫ１１０のポート１１１を介して、ホスト１０からライトコマンドを受信した場合に実行される。

　ＦＥコントローラ１１２がホスト１０から送信されたライトデータを受信し、ＦＥ　ＤＸＢＦ１１４に書き込む（ステップ１３０１）。ホスト１０から受信し、格納されたＦＥ　ＤＸＢＦ１１４中のライトデータにはＬＡは付加されていない。次に、ＭＰ１３１がＦＥ　ＤＭＡ１１３を起動する（ステップ１３０３）。ＦＥ　ＤＸＢＦ１１４からＣＭ１４１に転送する際、ＦＥ　ＤＭＡ１１３が、ＭＰ１３１から入力されたＬＤＥＶ　ＬＢＡ（以下、ホストＬＢＡと呼ぶ）を元にＦＬＡを計算し、データに付加する（ステップ１３０５）。ＦＬＡ付加時に、同時にＣＲＣチェックを行うが、ＦＬＡ付加とＣＲＣチェックの順番は問わない。ＭＰ１３１は、ＦＬＡを付加したデータをＣＭ１４１に書き込み（ステップ１３０７）、ホスト１０に完了報告を送信する（ステップ１３０９）。

　図１４は、実施例１に係る計算機システム１の、バックエンドライト処理のフローチャートである。ＢＥＷＲ処理は、ＣＭ１４１上のライトデータをドライブ装置１８０に書き込む処理である。ＢＥＷＲ処理は、ホスト１０からのライトデータがＣＭ１４１に書き込まれた時点で同期的に行ってもよいし、ＣＭ１４１への書き込みとは非同期で、ＭＰ１３１の負荷が低いとき、ＣＭ１４１にドライブ装置１８０に未反映のデータの量や割合がある閾値を超えたとき等に行ってもよい。

　ホスト１０から送信されるライトコマンドには、例えば、アクセス対象とするＬＤＥＶの識別子であるボリューム番号及びホストＬＢＡ（Ｌｏｇｉｃａｌ　Ｂｌｏｃｋ　Ａｄｄｒｅｓｓ）が含まれている。ＭＰ１３１は、ボリューム番号及びホストＬＢＡから、ＳＭ１４２上の構成情報テーブル１４２２を参照して、ＰＧ上の対応する物理ＬＢＡを求める（ステップ１４０１）。

　ＭＰ１３１がホストＬＢＡから計算したＦＬＡと、ホストＬＢＡを元にＳＭ１４２上の構成情報テーブル１４２２から求めた物理ＬＢＡをＢＥ　ＤＭＡ１５３に入力し、ＢＥ　ＤＭＡ１５３がＣＭ１４１からＢＥ　ＤＸＢＦ１５４へライトデータの転送を行う（ステップ１４０３）。ＢＥ　ＤＭＡ１５３が、データの転送を行う際、ＭＰ１３１から入力されたＦＬＡと、転送するライトデータに付加されたＦＬＡとを比較し（ステップ１４０５）、一致するかどうかを確認する（ステップ１４０７）。不一致の場合（ステップ１４０７のＮ）、管理サーバ２０へ異常通知を行い（ステップ１４２７）、図２４で説明する異常終了処理を行う。ＭＰ１３１から入力されたＦＬＡと、転送するライトデータに付加されたＦＬＡとを比較し、確認する処理により、ドライブ装置へ書き込む対象ではないＬＤＥＶ　ＬＢＡを持つデータを転送しようとしたことがわかるため、誤ったドライブ装置への書き込みによるデータ破壊を防ぐことができる。書き込み対象が変わってしまう原因としては、キャッシュ管理テーブル１４２１更新時に、ＬＤＥＶ　ＬＢＡもしくはキャッシュメモリアドレスが、ソフトウェア不良で意図しない値に書き換えられてしまうことで、ＬＤＥＶ　ＬＢＡからキャッシュメモリアドレスへのアドレス変換を間違えてしまうことが考えられる。

　ＢＥ　ＤＭＡ１５３は、データに付加されたＦＬＡと、ＭＰ１３１から入力されたＦＬＡの一致する場合（ステップ１４０７のＹ）、ＭＰ１３１から入力された物理ＬＢＡを基にＢＬＡを計算し、計算したＢＬＡをデータに付加し、ＣＲＣチェックを行い、ＢＬＡを負荷したデータをＢＥ　ＤＸＢＦ１５４へ転送する（ステップ１４０９）。

　図１５は、実施例１に係る計算機システム１のドライブライトコマンド１５００の構造である。ドライブライトコマンド１５００は、例えば、データ書込み先となるドライブ装置１８０の識別子および物理ＬＢＡからなる物理アドレス１５１０、そして、データ書込み先の物理アドレス１５１０と対応するＬＤＥＶ　ＬＢＡより求められたＦＬＡ１５２０が含まれている。なお、ステップ１４０９において、計算したＢＬＡに代えて、ＦＬＡをデータに付加し、ドライブライトコマンド１５００に、ＦＬＡ１５２０に代えて計算したＢＬＡを含んでもよい。また、ＦＬＡ１５２０に代えて論理アドレスを含み、ＭＬＡ計算時に論理アドレスに基づいてＦＬＡを再計算してもよい。

　再び図１４の説明に戻る。ＭＰ１３１は、ドライブ用ライトコマンド１５００をＢＥコントローラ１５２に入力し、ＢＥコントローラ１５２を起動する（ステップ１４１１）。ＢＥコントローラ１５２は、ＭＰ１３１からの指示により、ドライブライトコマンド１５００と、ＢＥ　ＤＸＢＦ１５４中のライトデータをドライブ装置１８０に送信する（ステップ１４１３）。次に、ドライブコントローラ１８１が、受信したドライブライトコマンドに格納された物理ＬＢＡで参照されるデータに付加されたＭＬＡを読み出す（ステップ１４１７）。ＭＬＡが初期値でなければ（ステップ１４１９のＮ）、ドライブ装置１８０中のＤＭＰ１８５が、図１６、図１７で示されるＭＬＡ検査処理を全ステップ行い、ＭＬＡ検査を行う（ステップ１４２０）。ＭＬＡが初期値であるか（ステップ１４１９のＹ）、ＭＬＡ検査の結果正常（ステップ１４２１のＹ）であれば、ドライブ装置１８０中のＤＭＰが、ドライブライトコマンドに格納されたＦＬＡと、ドライブライトコマンドに格納された物理ＬＢＡから計算されたＢＬＡのＸＯＲ値をデータに付加し、ドライブ装置１８０中の記憶デバイス１８２に書き込みを行う。書き込み完了後、ドライブ装置１８０はＤＫＣ１９０に完了を通知し、処理を終了する。ＭＬＡ検査の結果が異常の場合（ステップ１４２１のＮ）、ドライブ装置１８０はＤＫＣ１９０へ異常を通知し、ＤＫＣ１９０が管理サーバ２０に異常を通知することで処理を終了する。

　図１６は、実施例１に係る計算機システム１のライト時ＭＬＡ検査処理処理のフローチャートである。ライト時ＭＬＡ検査処理は、ドライブ装置１８０がＢＥコントローラ１５０より送信されたドライブライトコマンド１５００とライトデータを受信したときに実行する。

　ドライブコントローラ１８１が、ドライブライトコマンド１５００に含まれる物理ＬＢＡで示される領域に格納されたデータを読み出し、ＤＭＰ１８５が、読み出したデータの保証コード部４２０に格納されたＭＬＡとドライブライトコマンド１５００に含まれているＦＬＡのＸＯＲ値（ＢＬＡ１とする）を計算する（ステップ１６０１）。ＤＭＰ１８５は、ドライブライトコマンド１５００に含まれている物理ＬＢＡから求められるＢＬＡ（ＢＬＡ２とする）とＢＬＡ１とを比較し（ステップ１６０３）、一致するか確認する（ステップ１６０５）。ＢＬＡ１とＢＬＡ２の値が一致した場合（ステップ１６０５のＹ）、ドライブライトコマンド１５００で指定された書き込みは、正常なアドレスへの書き込みであると判断する（ステップ１６０７）。ＢＬＡ１とＢＬＡ２の値が不一致の場合（ステップ１６０５のＮ）、異常なアドレスへの書き込みであると判断し、管理サーバ２０へ以上を通知する（ステップ１６０９）。ＢＬＡ１とＢＬＡ２とが一致するか確認することにより、異常なアドレスへの書き込みによるデータの破壊を防ぐことができる。
なお、ＭＬＡとＦＬＡのＸＯＲ値と、ＢＬＡと、の比較でなくともよく、例えば、ドライブライトコマンド１５００中の物理ＬＢＡから求められたＢＬＡとドライブライトコマンド１５００に付加されたＦＬＡとのＸＯＲ値と、ドライブ装置中に保存されていたＭＬＡと、の比較を行ってもよい。また、ドライブ装置中に保存されていたＭＬＡとドライブライトコマンド１５００に含まれる物理ＬＢＡから計算されたＢＬＡとのＸＯＲ値と、ドライブライトコマンド１５００に含まれるＦＬＡと、の比較を行ってもよい。
なお、ＭＬＡ検査を行うのは図２のようなドライブ装置でなくてもよく、ＤＫＣ１９０が行ってもよい。その場合、ドライブライトコマンド１５００に含まれる物理ＬＢＡで示されるブロックをＣＭ１４１上に読み込み、ＭＰ１３１がＭＬＡ検査処理を行う。ここで、読み込む先はＣＭ１４１である必要はなく、ＢＥ　ＤＸＢＦ１５４でもよい。また、ＭＬＡ検査処理を行うのはＭＰ１３１である必要はなく、ＢＥ　ＤＭＡ１５３やＢＥコントローラ１５２であってもよい。

　図１７は、実施例１に係る計算機システム１のライト時ＭＬＡ検査処理処理のフローチャートである。ライト時ＭＬＡ検査処理は、ドライブ装置１８０がＤＫＣ１９０より送信されたドライブライトコマンド１５００とライトデータを受信したときに実行する。

　ドライブコントローラ１８１が、ドライブライトコマンド１５００に含まれる物理ＬＢＡで示されるデータを読み出し、ＤＭＰ１８５が、読み出したデータの保証コード部に格納されたＭＬＡとドライブライトコマンド１５００に含まれているＦＬＡのＸＯＲ値（ＢＬＡ１とする）を求め（ステップ１７０１）、ライトデータに付加されているＢＬＡ（ＢＬＡ２とする）を比較する（ステップ１７０３）。ＢＬＡ１とＢＬＡ２とが一致するか確認し（ステップ１７０５）、２つの値が一致した場合（ステップ１７０５のＹ）、ドライブライトコマンド１５００で指定された書き込みは、正常なアドレスへの書き込みであると判断する（ステップ１７０７）。ＢＬＡ１とＢＬＡ２とが不一致の場合（ステップ１７０５のＮ）、異常なアドレスへの書き込みであると判断し、管理サーバへ以上なアドレスへの書き込みを通知する。（ステップ１７０９）。このライト時ＭＬＡ検査処理により、アドレス変換間違いよるアドレス間違いを検出でき、異常なアドレスへの書き込みによるデータの破壊を防ぐことができる。アドレス変換間違いは、例えば、図８のキャッシュ管理テーブルの更新時に、ソフトウェア不良により、ＬＤＥＶ　ＬＢＡもしくはキャッシュアドレスが不正な値に書き換わってしまうこと等で発生する。

　なお、ＭＬＡとＦＬＡのＸＯＲ値と、ＢＬＡと、の比較しなくともよい。例えば、ライトデータ中のＢＬＡとドライブライトコマンド１５００に付加されたＦＬＡとのＸＯＲ値と、ドライブ装置中に保存されていたＭＬＡと、の比較を行ってもよいし、ドライブ装置中に保存されていたＭＬＡとライトデータに付加されたＢＬＡとのＸＯＲ値と、ドライブライトコマンド１５００に含まれるＦＬＡと、の比較を行ってもよい。

　なお、ＭＬＡ検査を行うのは図２のようなドライブ装置１８０でなくてもよく、ＤＫＣ１９０が行ってもよい。その場合、ドライブライトコマンド１５００に含まれる物理ＬＢＡで示されるブロックをＣＭ１４１上に読み込み、ＭＰ１３１がＭＬＡ検査処理を行う。ここで、読み込む先はＣＭ１４１である必要はなく、ＢＥ　ＤＸＢＦ１５４でもよい。また、ＭＬＡ検査処理を行うのはＭＰ１３１である必要はなく、ＢＥ　ＤＭＡ１５３やＢＥコントローラ１５２であってもよい。また、ＭＬＡ検査をドライブコントローラ１８１で行うことにより、ＤＫＣ１９０のＭＬＡ検査処理にかかる負荷を減らすことができ、Ｉ／Ｏ性能の向上等が見込める。一方、ＭＬＡ検査をＤＫＣ１９０で行うことにより、検査処理を行うドライブコントローラ１８１を有さない市販のＨＤＤやＳＳＤを用いることができる。

　ＭＬＡ検査処理は、少なくとも、図１６と図１７で示した処理のいずれか一方を実行することで異常アドレスへの書き込みを検出できる。図１６と図１７で示した処理の両方行った場合、異常アドレスへの書き込みを検出する能力が向上し、より信頼性が向上する効果がある。また、一層の信頼性向上のため、図１６と図１７の処理に加えて、図１８にて後述するＢＬＡ処理を追加で行ってもよい。

　図１８は、実施例１に係る計算機システム１のライト時ＢＬＡ検査処理のフローチャートである。ライト時ＭＬＡ検査処理は、ドライブ装置１８０がＤＫＣ１９０より送信されたドライブライトコマンド１５００とライトデータを受信したときに実行する。

　ＤＭＰ１８５が、ドライブライトコマンド１５００に含まれる物理ＬＢＡから計算されるＢＬＡ（ＢＬＡ１とする）と、ライトデータに付加されたＢＬＡ（ＢＬＡ２とする）を比較する（ステップ１８０１）。ＢＬＡ１とＢＬＡ２とが一致しているか確認し（ステップ１８０３）、一致した場合（ステップ１８０３のＹ）、ドライブライトコマンド１５００で指定された物理ＬＢＡが正常であると判断する（ステップ１８０５）。ＢＬＡ１とＢＬＡ２とが一致しない場合（ステップ１８０３のＮ）、異常なアドレスへの書き込みであると判断する（ステップ１８０７）。

　前述したとおり、この処理だけではＭＬＡ検査処理にならないが、信頼性向上のために、図１６と図１７で示したＭＬＡ検査処理に加えて行ってもよい。ＭＬＡ検査処理とは、従来のＬＡ検査処理による書き込み先アドレスの保証に加えて、アドレス変換を行う前のアドレスから計算される保証コードで、アドレス変換の結果を保証するものであり、アドレス変換を行っていないＬＤＥＶ　ＬＢＡから計算されるＦＬＡを検査に利用しなければならない。そのため、図１６と図１７のいずれかの処理は必須である。図１８の処理はアドレス変換の結果を保証しないため必須ではないが、書き込み先の物理ＬＢＡの保証を行うため、追加で行うことで信頼性向上を見込める。

　ＭＬＡ検査を通過したら、ドライブライトコマンド１５００に付加されたＦＬＡとＢＬＡのＸＯＲ値を、ライトデータのＬＡ領域に格納し、ドライブ装置１８０の記憶デバイス１８２への書き込みを行う（図１４のステップ１４１９）、書き込みが完了後にＤＫＣ１９０へ処理完了を通知し、バックエンドライト処理を終了する。

　図１９は、実施例１に係る計算機システム１のホストリード処理のフローチャートである。ホストリード処理は、ＭＰ１３１がＦＥＰＫ１１０のポート１１１を介して、ホスト１０からリードコマンドを受信した場合に実行される（ステップ１９０１）。

　ホスト１０からのリードコマンドには、例えば、アクセス対象とするＬＤＥＶの識別子であるボリューム番号及びホストＬＢＡが含まれている。ボリューム番号及びホストＬＢＡから、共有メモリ上のキャッシュ管理テーブル１４２１を参照し、ＣＭ１４１上のアドレスを求める。ＭＰ１３１は、ＣＭ１４１上にリードコマンドで指定されたデータがあるか確認する（ステップ１９０３）。ＣＭ１４１上にデータがない場合（ステップ１９０３のＮ）、ＭＰ１３１は、ドライブ装置１８０から読み込んだデータをＣＭ１４１に書き込む処理であるバックエンドリード処理を行う（ステップ２００５。以下、ＢＥＲＤ処理と呼ぶ）。ＢＥＲＤ処理の詳細は図２１で説明する。ＣＭ１４１上にデータがある場合（ステップ１９０３のＹ）または、ＢＥＲＤ処理が完了すると、ＭＰ１３１は、ＣＭ１４１中のデータをホスト１０に送信するフロントエンドリード処理（ステップ１９０７。以下、ＦＥＲＤ処理と呼ぶ）を行う。ＦＥＲＤ処理の詳細は図２０で説明する。

　図２０は、実施例１に係る計算機システム１のフロントエンドリード処理のフローチャートである。ＭＰ１３１は、リードコマンド中のホストＬＢＡと、ホストＬＢＡから計算したＦＬＡを入力し、ＦＥ　ＤＭＡ１１３を起動する（ステップ２００１）。ＦＥ　ＤＭＡ１１３は、ホストリードコマンドに対応するＣＭ１４１上のリードデータに関して、入力されたＦＬＡと、リードデータに付加されたＦＬＡとを比較する（ステップ２００３）。ＦＥ　ＤＭＡ１１３は、入力されたＦＬＡと、リードデータに付加されたＦＬＡとが一致するか確認する（ステップ２００５）。入力されたＦＬＡと、リードデータに付加されたＦＬＡとが一致する場合（ステップ２００５のＹ）、ＦＥ　ＤＭＡ１１３はリードデータのＦＬＡを削除し、ＣＲＣチェックを行った後、ＦＥ　ＤＸＢＦ１１４に転送する（ステップ２００７）。ＣＲＣチェックとＦＬＡ削除は順不同である。また、入力されたＦＬＡと、リードデータに付加されたＦＬＡとが一致しない場合（ステップ２００５のＮ）は、異常なアドレスへの書き込みであると判断する（ステップ２０１３）。ここでのＦＬＡ検査により、異常なアドレスへデータが書き込まれていることを検出でき、ホスト１０へ異常なデータを転送しないようにできるため、ストレージ装置１００の信頼性向上に効果がある。

　ＦＥ　ＤＸＢＦ１１４へのデータの転送完了後、ＭＰ１３１がＦＥコントローラ１１２を起動し、ＦＥコントローラ１１２が、ＦＥＰＫ１１０のポート１１０を介して、ホスト１０にリードデータを送信する（ステップ２００９）。ホスト１０へリードデータ送信後、ＭＰ１３１が完了通知をホスト１０へ送信し、ＦＥＲＤ処理を終了する（ステップ２０１１）。

　図２１は、実施例１に係る計算機システム１のバックエンドリード処理のフローチャートである。ＢＥＲＤ処理は、ＣＭ１４１上にリードデータが存在しない場合に、ドライブ装置１８０からＣＭ１４１上にリードデータを読み出すときの処理である。

　図２２は、実施例１に係る計算機システム１のドライブリードコマンド２２００の構造である。ドライブリードコマンドは、例えば、アクセス対象とするドライブ装置１８０の識別子および物理ＬＢＡからなる物理アドレス２２１０、そして対応するホストＬＢＡから求められたＦＬＡ２２２０が含まれている。

　再び、図２１に戻る。ＭＰ１３１は、構成情報テーブル１４２２から物理ＬＢＡを取得し、ホストＬＢＡからＦＬＡを計算し、ＦＬＡを付加したドライブリードコマンド２２００を作成する（ステップ２２０１）。ＭＰ１３１は、ＢＥコントローラ１５２にドライブリードコマンド２２００を入力し、ＢＥコントローラ１５２を起動する（ステップ２１０３）。ＭＰ１３１からの指示により、ＢＥコントローラ１５２は、ドライブリードコマンド２２００をドライブ装置１８０へ送信する（ステップ２１０５）。ドライブリードコマンド２２００を受信すると、ドライブコントローラ１８１は、リード時ＭＬＡ検査処理を行う(ステップ２１０９)。

　図２３は、実施例１に係る計算機システム１のリード時ＭＬＡ検査処理のフローチャートである。リード時ＭＬＡ検査処理は、ドライブ装置１８０がＤＫＣ１９０より送信されたドライブリードコマンド２２００を受信したときに実行する。

　ドライブコントローラ１８１が、ドライブリードコマンドに含まれる物理ＬＢＡで示されるデータを読み出し、ＤＭＰ１８５が、読み出したデータの保証コード部に格納されたＭＬＡとドライブリードコマンド２２００に含まれるＦＬＡのＸＯＲ値（ＢＬＡ１とする）を計算する（ステップ２３０１）。ＤＭＰ１８５が、計算したＸＯＲ値と、ドライブリードコマンドに含まれる物理ＬＢＡから計算されるＢＬＡ（ＢＬＡ２とする）を比較する（ステップ２３０３）。ＢＬＡ１とＢＬＡ２との値が一致しているか確認し（ステップ２３０５）、一致した場合（ステップ２３０５のＹ）、ドライブリードコマンド２２００で指定された読み込みは、正常なアドレスへの読み込みであると判断する（ステップ２３０７）。ＢＬＡ１とＢＬＡ２とが不一致の場合（ステップ２３０５のＮ）、異常なアドレスの読み込みであると判断する（ステップ２３０９）。リード時ＭＬＡ検査処理により、異常なアドレスからの読み込みを検出でき、異常なアドレスからの読み込みを防ぐことができる）。

　ここで、バックエンドライト処理時と同様にして、ストレージ装置１００がＭＬＡ検査処理を行ってもよい。

　再び、図２１に戻る。ドライブコントローラ１８１は、リード時ＭＬＡ検査処理を通過したか確認し（ステップ２１１１）、ＭＬＡ検査を通過したら（ステップ２１１１のＹ）、リードデータにドライブリードコマンド２２００に含まれる物理ＬＢＡから計算したＢＬＡをデータに付加し、ＤＫＣ１９０へ転送する（ステップ２１１３）。ＢＥコントローラ１５２が、ドライブ装置１８０から転送されたリードデータをＢＥ　ＤＸＢＦ１５４に格納した（ステップ２１１５）後、ＭＰ１３１が、ＢＥ　ＤＭＡ１５３にリード対象の物理ＬＢＡから計算したＢＬＡと共有メモリ上の構成情報テーブルから得たホストＬＢＡを入力し、ＢＥ　ＤＭＡ１５３を起動する（ステップ２１１７）。

　ＢＥ　ＤＭＡ１５３は、ＢＥ　ＤＸＢＦ１５４からＣＭ１４１へリードデータを転送する際、ＢＥ　ＤＸＢＦ１５４中のリードデータに付加されたＢＬＡと、ＭＰ１３１から入力されたＢＬＡとを比較する（ステップ２１１９）。リードデータに付加されたＢＬＡと、ＭＰ１３１から入力されたＢＬＡとが一致するか確認し（ステップ２１２１）、一致したら（ステップ２１２１のＹ）、ＢＥ　ＤＭＡ１５３はＢＥ　ＤＸＢＦ１５４中のリードデータに、ＭＰ１３１から入力されたホストＬＢＡより計算したＦＬＡを付加し、ＣＲＣチェックを行った後、ＣＭ１４１への書き込み（ステップ２１２３）、バックエンドリード処理を終了する。ここでも、ＣＲＣチェックとＦＬＡ付加は順不同である。また、リードデータに付加されたＢＬＡと、ＭＰ１３１から入力されたＢＬＡとが一致ない場合（ステップ２１２１のＮ）、管理サーバに異常を通知し（ステップ２１２５）、図２４で説明する異常終了処理を行う。

　図２４は、実施例１に係る計算機システム１のＬＡ不一致の場合の処理のフローチャートである。ＬＡ不一致時は、ストレージ装置１００が、管理Ｉ／Ｆ１２０を通じて、管理者にＬＡ不一致を検出したことを通知する。ＢＥ　ＤＭＡ１５３がＣＭ１４１からＢＥ　ＤＸＢＦ１５４にデータを転送する際、または、ＦＥ　ＤＭＡ１１３がＣＭ１４１からＦＥ　ＤＸＢＦ１１４へデータを転送する際、ＭＰ１３１がデータに付加されたＦＬＡと、ＭＰ１３１から入力されたＦＬＡが一致するかどうかをチェックし、不一致時はＢＥ　ＤＭＡ１５３またはＦＥ　ＤＭＡ１５３がＭＰ１３１にＦＬＡ異常を通知する。ＦＬＡ異常通知を受けたＭＰ１３１は、管理サーバ２０に管理Ｉ／Ｆ１２０を通じてＦＬＡ異常を通知する（ステップ２４０１のＹ、ステップ２４０３）。ＭＰ１３１がドライブ装置１８０からＭＬＡ異常通知を受けた場合、管理サーバ２０に管理Ｉ／Ｆ１２０を通じてＢＬＡ異常を通知する（ステップ２４０５のＹ、ステップ２４０７）。ＢＥ　ＤＸＢＦ１５４からＣＭ１４１にデータを送る際、または、ＢＥ　ＤＸＢＦ１５４からドライブ装置１８０にデータを転送する際、ＢＥ　ＤＭＡ１５３が、データに付加されたＢＬＡと、ＭＰ１３１から入力されたＢＬＡが一致するかどうかをチェックし、不一致時はＢＥ　ＤＭＡ１５３がＭＰ１３１にＢＬＡ異常を通知する。

　実施例２に係るストレージシステムを含む計算機システム１の概要を説明する。実施例２では、実施例１と同様のハードウェア構成用い、共通処理も実行するため、実施例１との差分のみ説明し、同一部分は割愛する。

　図２５は、実施例２に係る計算機システム１の、論理システム構成図である。
ストレージ装置１００は、ＬＤＥＶ３１０を複数束ねて、論理的な記憶容量の集合であるプール３５０を構成する。
プール３５０内には仮想ボリューム（ＶＶＯＬ）３６０が複数存在する。ＶＶＯＬ３６０は、仮想的なデバイスで、ホスト１０から参照する。ストレージ装置１００の管理者は、保守Ｉ／Ｆ１２０を介して、任意のサイズのＶＶＯＬ３６０を作成する。このサイズは、実際のドライブの合計容量に依存しない。ホスト１０からＩ／ＯアクセスがあったＶＶＯＬ３６０の仮想的な一記憶領域（ＶＶＯＬブロック）に対して、ＭＰ１３１がＬＤＥＶ３１０の一記憶領域（ＬＤＥＶブロック）を動的に割り当てる。割り当て後、ＶＶＯＬ　ＬＢＡとＬＤＥＶ　ＬＢＡの対応を共有メモリ１４２上のアドレスマッピングテーブル１４２３に記憶する。

　図２６は、実施例２に係る計算機システム１における、ＬＡによるデータ保証概要と論理システム構成の対応を示す図である。ストレージ装置１００内のデータ転送において、ホスト１０が参照する論理ボリューム（ＶＶＯＬ）のもつ論理アドレスから計算される保証コード（以下、ＦＬＡと呼ぶ）と、ドライブ装置の持つ物理アドレスから計算される保証コード（以下、ＢＬＡと呼ぶ）を合成した保証コード（以下、ＭＬＡと呼ぶ）をデータに付加することで、異常なアドレスに対するＩ／Ｏを検出し、データ破壊や誤ったデータの読み込みを防ぐ効果がある。

　ホスト１０がストレージ装置１００からデータをリードする際、ドライブ装置１８０内に目的のデータが存在する場合は、データはドライブ装置１８０からＢＥ　ＤＸＢＦ１５４へ転送され、その後、ＢＥ　ＤＸＢＦ１５４からＣＭ１４１、ＣＭ１４１からＦＥ　ＤＸＢＦ１１４へ転送され、その後、ポート１１１を介してホスト１０へ転送される。ホスト１０がデータへのアクセスに使用するホストＬＢＡ（ＶＶＯＬ　ＬＢＡ）を、ＭＰ１３１がＳＭ１４２上のアドレスマッピングテーブル１４２３を利用してＬＤＥＶ　ＬＢＡに変換し、変換して得たＬＤＥＶ　ＬＢＡを、構成情報テーブル１４２１を利用して、物理ＬＢＡに変換する。物理ドライブ装置１８０中のデータへのアクセスには物理ＬＢＡを使用する。ドライブ装置１８０中のデータはＭＬＡで保護されている。ドライブ装置１８０から、ＢＥ　ＤＸＢＦ１５４へ転送する際、ドライブ装置１８０中のＤＭＰ１８５が、ＤＫＣ１９０がドライブ装置１８０へ発行するドライブリードコマンド１５００に格納された物理ＬＢＡ、ＦＬＡを利用して、ＭＬＡが正常であることを確認し、保証コードをＭＬＡからＢＬＡへ変更する。ＢＥ　ＤＭＡ１５３がデータをＢＥ　ＤＸＢＦ１５４からＣＭ１４１へ転送する際、ＢＬＡが正常であることを確認し、ＭＰ１３１よりＶＶＯＬ　ＬＢＡを利用して計算されたＦＬＡをデータに付加する。データをＣＭ１４１に格納後、ＭＰ１３１はＳＭ１４２上のキャッシュ管理テーブルを更新する（以上シン・プロビジョニングバックエンドリード処理、以後Ｔｈｉｎ－ｐｒｏ　ＢＥＲＤ処理と言う）。ＦＥ　ＤＭＡ１１３が、ＣＭ１４１上のデータをＦＥ　ＤＸＢＦ１１４に転送する際、ＦＬＡが正常であることを確認し、ＦＬＡを外す。ＦＥ　ＤＸＢＦ１１４に転送されたデータは、ＦＥコントローラ１１２によりホスト１０へ転送される(以上シン・プロビジョニングバックフロントエンドリード処理、以後Ｔｈｉｎ－ｐｒｏ　ＦＥＲＤ処理と言う)。目的のデータがキャッシュ上にある場合、Ｔｈｉｎ－ｐｒｏ　ＦＥＲＤ処理のみを行う。

　ホスト１０がストレージ装置１００へデータをライトする際、ホスト１０から転送されたライトデータは、ＦＥ　ＤＸＢＦ１１４で受信され、ＦＥ　ＤＭＡ１１３でＣＭ１４１へ転送される。ＣＭ１４１へデータを転送する際、ＭＰ１３１がＦＥ　ＤＭＡ１１３にホストＬＢＡ（ＶＶＯＬ　ＬＢＡ）より計算したＦＬＡを入力し、ＦＥ　ＤＭＡ１１３がデータにＦＬＡを付加した後、ＦＥ　ＤＸＢＦ１１４からＣＭ１４１へデータを転送する。データをＣＭ１４１に格納後、ＭＰ１３１がキャッシュ管理テーブルを更新する（以上シン・プロビジョニングフロントエンドライト処理、以後Ｔｈｉｎ－ｐｒｏ　ＦＥＷＲ処理と言う）。ＣＭ１４１からＢＥ　ＤＸＢＦ１５４を経由し、ドライブ装置１８０へ書き込む際、ＭＰ１３１がＳＭ１４２上のアドレスマッピングテーブル１４２３を用いて、ホストＬＢＡからＬＤＥＶ　ＬＢＡに変換し、変換して得たＬＤＥＶ　ＬＢＡを、構成情報テーブル１４２１を利用して、物理ＬＢＡに変換する。ＣＭ１４１からＢＥ　ＤＸＢＦ１５４へ転送する場合、ＢＥ　ＤＭＡ１５３がＦＬＡが正常であることを確認後、ＭＰ１３１から入力されたＢＬＡをデータに付加する。ＢＥ　ＤＸＢＦ１５４からドライブ装置１８０へ転送されたデータは、一時的にＤＭ１８４に保持され、データに付加されたＢＬＡと、ＤＫＣ１９０がドライブ装置１８０に対して発行するドライブライトコマンドに付加されたＦＬＡと、ドライブライトコマンド１５００中の書き込み先物理ＬＢＡから、書き込み先物理ＬＢＡに格納されたＭＬＡが正常であることをＤＭＰ１８５が確認した後、ＤＭＰ１８５がデータにＭＬＡを付加して書き込みを行う（以上シン・プロビジョニングバックエンドライト処理、以後Ｔｈｉｎ－ｐｒｏ　ＢＥＷＲ処理と言う）。

　図２７は、実施例２に係る計算機システム１のデータマッピング構造図である。

　ホスト１０により認識可能なＶＶＯＬ３６０は、複数のＶＶＯＬブロック３６１により構成される。ＶＶＯＬブロック３６１には、ＬＤＥＶ３１０－１、ＬＤＥＶ３１０－２のＬＤＥＶブロック３１１－１、ＬＤＥＶブロック３１１－２が割り当てられる。この関係をページマッピングと呼び、ＳＭ１４２上のアドレスマッピングテーブル１４２３により、ＭＰ１３１が動的に関係を管理する。ＶＶＯＬ３６０は、ストレージ装置１００において、各ＶＶＯＬ３６０を識別する識別子であるユニークな番号（ＶＶＯＬ＃）を持つ。

　図２８は、実施例２に係る計算機システム１のアドレスマッピングを管理するアドレスマッピングテーブル１４２３を示す図である。実施例２において、ホスト１０はデータへのアクセスにＶＶＯＬ　ＬＢＡを利用する。アドレスマッピング管理テーブルは、Ｐｏｏｌ＃１４２３１と、ＶＶＯＬ＃１４２３２と、ＶＶＯＬ　ＬＢＡ１４２３３と、ＬＤＥＶ＃１４２３４と、ＬＤＥＶ　ＬＢＡ１４２３５の対応関係を示す情報である。本テーブルにより、ＭＰ１３１は、ホスト１０がアクセスに使用したＶＶＯＬ　ＬＢＡに対応するブロックが、どのＬＤＥＶ　ＬＢＡに対応するのかを調べることができる。

　図２９は、実施例２に係る計算機システム１のＬＤＥＶ割当ブロックを管理するＬＤＥＶ空きブロック管理テーブル１４２４を示す図である。ＬＤＥＶ割当ブロック管理テーブル１４２４は、Ｐｏｏｌ＃を格納する列１４２４１と、ＬＤＥＶ＃を格納する列１４２４２と、ＬＤＥＶ　ＬＢＡを格納する列１４２４３と、当該ＬＤＥＶ　ＬＢＡで識別されるブロックがＶＶＯＬブロックに割当てられているか否かを示す割り当てフラグを格納する列１４２４４からなり、ＳＭ１４２上に格納されている。例えば、Ｐｏｏｌ＃０を構成するＬＤＥＶ＃１のＬＤＥＶ　ＬＢＡ１には、既にＶＶＯＬへ割り当てられていることを示すフラグが立っている。ＶＶＯＬへ割り当てられていない場合、Ｐｏｏｌ＃０を構成するＬＤＥＶ＃１のＬＤＥＶ　ＬＢＡ３のように、割り当てしていないことを示す「Ｎｏｔ－ａｌｌｏｃａｔｅｄ」が格納される。

　ＬＤＥＶ割当ブロック管理テーブルは、Ｐｏｏｌ＃と、ＬＤＥＶ＃と、ＬＤＥＶ　ＬＢＡと、使用中か否かの対応関係を示す情報である。本テーブルにより、ＭＰ１３１は、ＶＶＯＬにＬＤＥＶブロックを割り当てる際、割り当て可能なＬＤＥＶブロックを調べることができる。

　実施例２に係る計算機システム１のホストライト処理は、実施例１に係る計算機システム１と同じく、ＦＥＷＲ処理（実施例２ではＴｈｉｎ－ｐｒｏ　ＦＥＷＲ処理と呼ぶ）とＢＥＷＲ処理（実施例２では、Ｔｈｉｎ－ｐｒｏ　ＢＥＷＲ処理と呼ぶ）から構成される。以後、実施例１との差分のみ説明する。

　図３０は、実施例２に係る計算機システム１の、ＦＥＷＲ処理（Ｔｈｉｎ－ｐｒｏ　ＦＥＷＲ処理）のフローチャートである。ＦＥＷＲ処理は、ストレージ装置１００がホスト１０からホストライトコマンドを受信したときに実行する処理である。

　ＭＰ１３１がホストライトコマンドをホスト１０から受領すると（ステップ３００１）、ＭＰ１３１は、ホストライトコマンド内のホストＬＢＡで示されるライトの対象となったＶＶＯＬブロックに、共有メモリ１４２上のＬＤＥＶ割当ブロック管理テーブル１４２４を参照し、ＬＤＥＶブロックが割り当てられているか判定する（ステップ３００３）。ＶＶＯＬブロックにＬＤＥＶブロックが割り当てられている場合（ステップ３００３でＮ）、実施例１の図１３におけるＦＥＷＲ処理を行う（ステップ３０１３）。

　割り当てが必要な場合（ステップ３００３でＹ）、ＭＰ１３１が割り当てられる、すなわちいずれのＶＤＥＶブロックにも割当てられていないＬＤＥＶブロックが存在するかを判定する（ステップ３００５）。割当て可能なＬＤＥＶブロックが存在する場合（ステップ３００５でＹ）、図３１で説明する割り当て処理を行い（ステップ３００９）、その後ＦＥＷＲ処理を行う（ステップ３０１３）。割当て可能なＬＤＥＶブロックが存在しない場合（ステップ３００５でＮ）、ストレージ装置１００は、ライトデータ送信が不可能であることをホスト１０に通知する（ステップ３０１３）。

　図３１は、実施例２に係る計算機システム１の、ＶＶＯＬブロック割り当て処理のフローチャートである。ＭＰ１３１が、ＳＭ１４２上のＬＤＥＶブロック割当管理テーブル１４２４を参照し、割り当て可能なＬＤＥＶブロックのＬＤＥＶ　ＬＢＡを求め、求めたＬＤＥＶ　ＬＢＡと構成情報テーブル１４２２から、物理ＬＢＡを求める。。求めた物理ＬＢＡと、物理ＬＢＡを割り当てるＶＶＯＬ　ＬＢＡをＢＥ　ＤＭＡ１５３に入力し、ＢＥ　ＤＭＡ１５３を起動する（ステップ３１０１）。ＢＥ　ＤＭＡ１５３は、図４のユーザデータ部４１０の全領域を０とし、保証コード部４２０のＬＡ領域４２１に、ＶＶＯＬ　ＬＢＡから計算したＦＬＡと、物理ＬＢＡから計算したＢＬＡのＸＯＲ値（ＭＬＡ）を格納した初期割り当て用データを作成し、ＢＥ　ＤＸＢＦ１５４へ書き込む（ステップ３１０３）。

　ＭＰ１３１が、ＢＥコントローラ１５２にドライブライトコマンド１５００を入力し、ＢＥコントローラ１５２を起動し（ステップ３１０５）、ＢＥ　ＤＸＢＦ１５４に書き込まれた初期割り当て用データと、ＶＶＯＬ　ＬＢＡから計算されたＦＬＡを含むドライブライトコマンド１５００を、ドライブ装置１８０に送信する（ステップ３１０７）。ドライブコントローラ１８１は、ドライブライトコマンド１５００と初期割り当て用データとをＤＭ１８４に格納し（ステップ３１０９）、ドライブライトコマンド１５００中に含まれる書込み先の物理ＬＢＡが示すのブロックを読み出し（ステップ３１１１）、ＭＬＡが初期値かどうかを確認する（ステップ３１１３）。読み出たＭＬＡが初期値の場合（ステップ３１１３のＹ）、データの保証コード部に、コマンドに付加されたＦＬＡと、ドライブコントローラ１８１が計算したＢＬＡのＸＯＲ値をＬＡ領域４２１に格納し、記憶デバイス１８２に初期割り当て用データの書き込みを行う（ステップ３１１５）。
ここで、ＭＬＡが初期値でない場合（ステップ３１１３のＮ）、既に他のＶＶＯＬ　ＬＢＡに割り当てられていることがわかる。そのため、○○は、○○へ異常を通知し（ステップ３１２１）、初期値でない場合、図２４の異常終了時処理を実行する。ＶＤＥＶ　ＬＢＡへのＬＤＥＶ　ＬＢＡの割当ての際に、ＭＬＡが初期値か否か確認することで、割り当て済み領域へ別のＶＶＯＬ　ＬＢＡを割り当てることによるデータ破壊を防ぐことができる（ステップ３１１５のＮ）。

　初期割り当て用データの書き込みが終了すると、ドライブ装置１８０はＤＫＣ１９０へ書き込み完了を通知する（ステップ３１１７）。書き込み完了通知を受け取ったストレージ装置１００中のＭＰ１３１は、アドレスマッピングテーブル１４２３を更新し（ステップ３１１９）、ＶＶＯＬブロック割り当て処理を終了する。

　図３２は、実施例２に係る計算機システム１の、ＢＥＷＲ処理（Ｔｈｉｎ－ｐｒｏ　ＢＥＷＲ処理）のフローチャートである。実施例１との差分のみ説明する。まず、Ｔｈｉｎ－ｐｒｏ　ＢＥＷＲ処理では、ＣＭ１４１から、ＢＥ　ＤＸＢＦ１５４へライトデータを転送する際、ＭＰ１３１が、ＶＶＯＬ　ＬＢＡとＳＭ１４２上のアドレスマッピングテーブル１４２３から、ＬＤＥＶ　ＬＢＡを求める（ステップ３２０１）。ＭＰ１３１が、求めたＬＤＥＶ　ＬＢＡと共有メモリ１４２上の構成情報管理テーブル１４２２から、物理ＬＢＡを求め（ステップ３２０３）、実施例１のＢＥＷＲ処理を行う（ステップ３２０５）。

　図３３は、実施例２に係る計算機システム１の、ホストリード処理（Ｔｈｉｎ－ｐｒｏ　リード処理）のフローチャートである。ＭＰ１３１は、ホスト１０からホストリードコマンドを受領すると（ステップ３３０１）、ＳＭ１４２上のアドレスマッピングテーブル１４２３から、ホスト１０からリード要求のあったＶＶＯＬ　ＬＢＡにＬＤＥＶ　ＬＢＡが割り当てられているかどうかを調べる（ステップ３３０３）。
未割当ブロックへのリード要求であった場合（ステップ３３０３のＮ）、ＭＰ１３１が、図４のユーザデータ部４１０が全て０のデータ作成をＦＥ　ＤＭＡ１１３に指示する。ＦＥ　ＤＭＡ１１３が生成したデータをホスト１０へ送信（ステップ３３０５）し、リード処理を終了する。

　割当済領域へのリード要求であった場合（ステップ３３０３のＹ）、ＭＰ１３１が、ＳＭ１４２上のキャッシュ管理テーブル１４２１より、ＣＭ１４１上に対応するデータがあるか否かを調べる（ステップ３３０７）。実施例２の場合、キャッシュ管理テーブルのＬＤＥＶ＃とＬＤＥＶ　ＬＢＡは、ＶＶＯＬ＃とＶＶＯＬ　ＬＢＡに変更される。ＣＭ１４１上に存在する場合（ステップ３３０７のＹ）、実施例１と同様のＦＥＲＤ処理を行う（ステップ３３１１）。ＣＭ１４１上に対応するデータが存在しない場合、Ｔｈｉｎ－ｐｒｏ　ＢＥＲＤ処理を行い（ステップ３３０９）、実施例１と同様のＦＥＲＤ処理を行う（ステップ３３１１）。

　図３４は、実施例２に係る計算機システム１の、ＢＥＲＤ（Ｔｈｉｎ－ｐｒｏ　ＢＥＲＤ）処理のフローチャートである。ＭＰ１３１が、ドライブリードコマンド１５００を作成するため、ＶＶＯＬ　ＬＢＡと、ＳＭ１４２上のアドレスマッピングテーブル１４２３から、ＬＤＥＶ　ＬＢＡを取得する（ステップ３４０１）。ＭＰ１３１が、取得したＬＤＥＶ　ＬＢＡと、共有メモリ１４２上の構成情報テーブル１４２２から、物理ＬＢＡを取得する（ステップ３４０２）。物理ＬＢＡを取得したら、実施例１と同様のＢＥＲＤ処理を、図２２のステップ２２０１からステップ２２１５まで行う。その後、ＭＰ１３１が、物理ＬＢＡと、共有メモリ１４２上の構成情報テーブル１４２２から、ＬＤＥＶ　ＬＢＡを取得する（ステップ３４０７）。取得したＬＤＥＶ　ＬＢＡと、ＳＭ１４２上のアドレスマッピングテーブル１４２３から、ＶＶＯＬ　ＬＢＡを取得する（ステップ３４０９）。ＶＶＯＬ　ＬＢＡ取得後、実施例１と同様のＢＥＲＤ処理を図２２のステップ２２１５からステップ２２２３まで行い、その後、実施例１と同様のＦＥＲＤ処理を行う。

　図３５は、実施例２にかかる計算機システム１におけるＶＶＯＬブロック割り当て削除処理のフローチャートである。ＶＶＯＬブロック割り当て削除処理は、ドライブ装置１８０の物理容量を効率よく使うための処理である。すなわち、図２７中のＬＤＥＶブロック３１１－１を割り当てたＶＶＯＬブロック３６１は、ホスト１０がＶＶＯＬブロック３６１に書き込みを行っていなくとも、ＬＤＥＶブロック３１１－１に対応する物理ＬＢＡに、ＶＶＯＬブロック２３６１を示すＶＶＯＬ　ＬＢＡ情報を利用したＭＬＡが書き込まれているため、ＶＶＯＬブロック３６１に対する読み込み／書き込み以外を受け付けることができない。従って、未使用のＶＶＯＬブロックに対して割り当てらているＬＤＥＶブロックを他のＶＶＯＬブロックへ再利用するため、ＶＶＯＬブロック割り当て削除処理が必要となる。ＶＶＯＬブロック割り当て処理の開始契機は、ホスト１０がＶＶＯＬブロックを削除した場合等が挙げられる。

　ＶＶＯＬブロック割り当て削除処理では、ストレージ装置１００は、図３１のＶＶＯＬブロック割り当て処理のステップ３１０５からステップ３１１１を実行する（ステップ３５０１）。ドライブコントローラ１８１は、ＭＬＡが初期値かどうかを確認し（ステップ３５０３）、割当削除対象となる物理ＬＢＡのＭＬＡが初期値でない場合（ステップ３５０３のＮ）、実施例１におけるライト時ＭＬＡ検査処理を行う（ステップ３５０５）。実施例１におけるライト時ＭＬＡ検査処理と同様に、図１６及び図１７の処理の両方またはいずれか一方の処理を実施するとともに、任意で図１８の処理を行うことができる。ＭＬＡ検査処理の結果が正常か否か確認し（ステップ３５０７）、ＭＬＡが正常であれば（ステップ３５０７のＹ）、ＢＥ　ＤＭＡ１５４が対象のブロックの初期化処理（図１１のステップ１１０７）を行う（ステップ３５０９）。また、ＭＬＡが異常と判定された場合（ステップ３５０７のＮ）、ＭＰ１３１はＶＶＯＬブロック割り当て削除処理を異常終了する（ステップ３５１１）。

　図３６は、実施例２にかかる計算機システム１におけるＶＶＯＬブロック割り当て変更処理のフローチャートである。ＶＶＯＬブロック割り当て変更処理は、Ｐｏｏｌ３５０中のＬＤＥＶ３１０数の増減により、ＬＤＥＶ３１０間でＶＶＯＬ３６０に割り当てたＬＤＥＶブロック量に偏りが発生した場合や、Ｐｏｏｌ３５０中のＬＤＥＶ３１０削除に伴い、ＶＶＯＬ３６０に割り当て済みのＬＤＥＶブロックをＰｏｏｌ３５０中の別のＬＤＥＶブロックへ変更させる場合に行われる。ストレージ装置１００は、移動対象のＬＤＥＶブロックのデータを、ＣＭ１４１へ実施例１のＢＥＲＤ処理（図２２、ステップ２２０１からステップ２２２３）で読み込みを行う（ステップ３６０１）。ＣＭ１４１へデータを読み込んだら、移動元のＬＤＥＶブロックの割当削除処理（図３５の全ステップ）を行う（ステップ３６０３）。

　割当削除後、移動先のＬＤＥＶブロックに対してＶＶＯＬブロック割り当て処理（図３１の全ステップ）を行う（ステップ３６０５）。Ｔｈｉｎ－ｐｒｏ　ＢＥＷＲ処理（図３２の全ステップ）を行い、キャッシュ中のＬＤＥＶブロックをドライブ装置に書き込む（ステップ３６０７）。ＶＶＯＬブロック割り当て変更時、ＳＭ１４２上のマッピングテーブル１４２３の更新を行うが、更新直前にリード要求、ライト要求が発生した場合、更新前のＶＶＯＬブロック割り当て情報を利用してリード／ライト処理を行う可能性があり、正確なデータを読み出せなかったり、別のデータを破壊してしまう課題がある。この課題の原因は、アドレス変換を行うため、ホストＬＢＡと物理ＬＢＡの対応関係が不変ではないことにある。本願発明では、これまでの物理ＬＢＡから作成されるＢＬＡに加えて、ホストＬＢＡから作成されるＦＬＡも使用することで、ホストＬＢＡと物理ＬＢＡの対応関係が変化しても、アドレス変換間違いを検出できる効果がある。

　以上、幾つかの実施例を説明したが、本発明は、これらの実施例に限定されるものでなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。

　また、上述したいくつかの実施形態によれば、論理アドレスの異常を検出することができ、よりデータの信頼性を高め、ミッションクリティカルな業務にも向くストレージ装置を提供することができる。また、演算を計算するドライブ装置１８０を搭載したストレージ装置に適用することにより、ＤＫＣ１９０の負荷を増加させることなく、すなわち、高速なＩ／Ｏ性能を保ったままデータの信頼性を向上させることができる。

　１　ストレージシステム
　１００　ストレージ装置
　１１０　フロントエンドパッケージ
　１２０　保守インタフェース
　１３０　マイクロプロセッサパッケージ
　１４０　キャッシュメモリパッケージ
　１５０　バックエンドパッケージ
　１６０　内部ネットワーク
　１７０　Ｄｉｓｋ　Ｕｎｉｔ
　１８０　ドライブ装置
　１９０　Ｄｉｓｋ　Ｃｏｎｔｒｏｌｌｅｒ

Claims

　上位装置に提供される論理ボリュームを構成する記憶媒体を有する複数のドライブと、　前記上位装置と接続され、前記上位装置から前記論理ボリュームの論理記憶領域を識別する論理アドレスを含むＩ／Ｏ要求とユーザデータとを受信するフロントエンドＩ／Ｆと、
　前記フロントエンドＩ／Ｆと接続され、前記論理アドレスから前記記憶媒体の物理記憶領域を識別する物理アドレスへの変換を制御する第１のプロセッサと、
　前記第１のプロセッサと前記複数の記憶媒体と接続され、前記物理アドレスに基づいて前記複数のドライブへの前記ユーザデータの書込み／読出しを制御するバックエンドＩ／Ｆと、
を有するストレージ装置であって、
　前記ドライブには、前記物理アドレスと前記物理アドレスに対応する論理アドレスとに基づいて得られる第１の保証コードが前記ユーザデータに付加されたデータが、前記記憶媒体の前記物理アドレスによって指定された物理記憶領域に格納されることを特徴とするストレージ装置。
　請求項１に記載のストレージ装置であって、
　前記ドライブは、前記第１の保証コードを計算する第２のプロセッサを有し、
　前記第２のプロセッサは、データの読出し／書込みコマンドを受領すると、
　前記読出し／書込みコマンドで指定された物理アドレスからデータを読み出し、
　当該物理アドレスと、当該物理アドレスに対応する論理アドレスと、前記読み出したデータに付加された前記第１の保証コードと、に基づいてアドレス異常を検出することを特徴とするストレージ装置。
　請求項２に記載のストレージ装置であって、
　前記第１の保証コードは、前記物理アドレスに基づいて計算された第２の保証コードと当該物理アドレスに対応する前記論理アドレスに基づいて計算された第３の保証コードとのＸＯＲ値であることを特徴とするストレージ装置。
　請求項３に記載のストレージ装置であって、
　前記バックエンドＩ／Ｆは、
　前記第２の保証コードを前記ユーザデータに付加し、
　前記第２の保証コードを前記ユーザデータに付加したデータと、前記物理アドレス及び前記第３の保証コードを含むコマンドと、を前記ドライブに送信し、
　前記第２のプロセッサは、
　前記第２の保証コードと前記第３の保証コードとから前記第１の保証コードを計算し、　前記第２の保証コードに代えて前記第１の保証コードを前記ユーザデータに付加することを特徴とするストレージ装置。
　請求項２に記載のストレージ装置であって、
　前記上位装置から書込み要求と前記ユーザデータとを受信すると、
　前記フロントエンドＩ／Ｆは、前記書込み要求に係る論理アドレスに基づいて第３の保証コードを計算し、前記第３の保証コードを前記ユーザデータに付加し、
　前記第１のプロセッサは、
　前記書込み要求に係る論理アドレスを前記物理アドレスに変換し、
　前記書込み要求に係る論理アドレスに基づいて第４の保証コードを計算し、
　前記バックエンドＩ／Ｆは、
　前記第３の保証コードと前記第４の保証コードが一致することを確認すると、前記物理アドレスに基づいて第２の保証コードを計算し、前記第２の保証コードをユーザデータに付加し、
　前記物理アドレス及び前記第３の保証コードを含むコマンドと、前記第２の保証コードが付加されたデータとを前記ドライブに送信することを特徴とするストレージ装置。
　請求項２に記載のストレージ装置であって、
　前記第２のプロセッサは、
　フォーマット処理を指示するコマンドを受信すると、フォーマットデータに保証コードの初期値として定められた値を付加した初期データを前記記憶媒体に格納し、
　データの読出し／書込みコマンドを受領すると、読み出したデータが前記初期データの場合、前記アドレス異常を検出処理を行わないことを特徴とするストレージ装置。
　請求項２に記載のストレージ装置であって、
　前記複数の記憶媒体は、プールボリュームを構成し、
　前記論理ボリュームの論理記憶領域は、前記上位装置からの書込み要求に応じて、前記プールボリュームのプール記憶領域が動的に割り当てられ、
　前記第１のプロセッサは、
　前記論理アドレスを対応する前記プールボリュームのアドレスに変換し、
　当該プールボリュームのアドレスを前記物理アドレスに変換することを特徴とするストレージ装置。
　ストレージ装置の制御方法であって、
　複数のドライブに含まれる記憶媒体から構成される論理ボリュームを上位装置に提供し、
　前記上位装置から前記論理ボリュームの論理記憶領域を識別する論理アドレスを含むＩ／Ｏ要求とユーザデータとを受信し、
　前記論理アドレスから前記記憶媒体の物理記憶領域を識別する物理アドレスへ変換し、　前記物理アドレスに基づいて前記複数のドライブへの前記ユーザデータの書込み／読出しを制御し、
　前記物理アドレスと前記物理アドレスに対応する論理アドレスとに基づいて得られる第１の保証コードが前記ユーザデータに付加されたデータを、前記記憶媒体の前記物理アドレスによって指定された物理記憶領域に格納することを特徴とするストレージ装置の制御方法。
　請求項８に記載のストレージ装置の制御方法であって、
　データの読出し／書込みコマンドを受領すると、
　前記読出し／書込みコマンドで指定された物理アドレスからデータを読み出し、
　当該物理アドレスと、当該物理アドレスに対応する論理アドレスと、前記読み出したデータに付加された前記第１の保証コードと、に基づいてアドレス異常を検出することを特徴とするストレージ装置の制御方法。
　請求項９に記載のストレージ装置の制御方法であって、
　前記第１の保証コードは、前記物理アドレスに基づいて計算された第２の保証コードと当該物理アドレスに対応する前記論理アドレスに基づいて計算された第３の保証コードとのＸＯＲ値であることを特徴とするストレージ装置の制御方法。
　請求項１０に記載のストレージ装置の制御方法であって、
　前記第２の保証コードを前記ユーザデータが付加されたデータと、前記物理アドレス及び前記第３の保証コードを含むコマンドと、が前記ドライブに送信され、
　前記第２の保証コードに代えて、前記第２の保証コードと前記第３の保証コードとから計算された前記第１の保証コードが前記ユーザデータに前記ドライブ装置で付加されることを特徴とするストレージ装置の制御方法。
　請求項９に記載のストレージ装置の制御方法であって、
　前記上位装置から書込み要求と前記ユーザデータとを受信すると、
　前記書込み要求に係る論理アドレスに基づいて第３の保証コードを計算し、前記第３の保証コードを前記ユーザデータに付加し、
　前記書込み要求に係る論理アドレスを前記物理アドレスに変換し、
　前記書込み要求に係る論理アドレスに基づいて第４の保証コードを計算し、
　前記第３の保証コードと前記第４の保証コードが一致することを確認すると、前記物理アドレスに基づいて第２の保証コードを計算し、前記第２の保証コードをユーザデータに付加し、
　前記物理アドレス及び前記第３の保証コードを含むコマンドと、前記第２の保証コードが付加されたデータとを前記ドライブに送信することを特徴とするストレージ装置の制御方法。
　請求項９に記載のストレージ装置の制御方法であって、
　フォーマット処理を指示するコマンドを受信すると、フォーマットデータに保証コードの初期値として定められた値を付加した初期データを前記記憶媒体に格納し、
　データの読出し／書込みコマンドを受領すると、読み出したデータが前記初期データの場合、前記アドレス異常を検出処理を行わないことを特徴とするストレージ装置の制御方法。
　請求項９に記載のストレージ装置の制御方法であって、
　前記複数の記憶媒体は、プールボリュームを構成し、
　前記上位装置からの書込み要求に応じて、前記プールボリュームのプール記憶領域を前記論理ボリュームの論理記憶領域に動的に割り当て、
　前記論理アドレスを対応する前記プールボリュームのアドレスに変換し、
　当該プールボリュームのアドレスを前記物理アドレスに変換することを特徴とするストレージ装置の制御方法。