| fix: correct smoothScales buffer allocation size for pergroup quantization
Co-authored-by: zhong-zixin<zhongzixin@huawei.com>
# message auto-generated for no-merge-commit merge:
!4770 merge nan_bug into master
fix: correct smoothScales buffer allocation size for pergroup quantization
Created-by: zhong-zixin
Commit-by: zhong-zixin
Merged-by: cann-robot
Description: ## 描述
<!--在这里详细描述你的改动,包括改动的原因和所采取的方法。-->
修复 pergroup 量化场景下,外部传入 smoothScale 时,量化计算时可能引入脏数据的问题。具体来说,量化计算时会以128个元素为一组计算 dynamicScale,但 TBuf 分配内存和 smoothScale 搬运时未按照 128 元素大小对齐,导致量化计算时引入脏数据。
## 关联的Issue
<!-- 如果这个PR是为了解决特定的Issue,请在这里提供Issue链接。例如:关联Issue #000-->
<!-- 如果这个PR是为了解决特定的问题单,请在这里描述问题单单号。-->
## 测试
<!--描述进行了哪些测试来验证你的改动。包括但不限于二级冒烟、算子泛化等。-->
## 文档更新
<!--如果这个PR包含文档的更新,请在这里指出。例如:更新了README.md文件。-->
## 类型标签
<!-- [x] 表示选中 -->
- [x] 🐛 Bug 修复
- [ ] ✨ 新特性
- [ ] ⚡ 性能优化
- [ ] ♻️ 重构
- [ ] 🧪 测试
- [ ] 📦 构建/CI
- [ ] 🔧 配置变更
- [ ] 📝 文档更新
- [ ] ⬆️ 依赖升级
- [ ] 🔒 安全修复
- [ ] 🧹 代码清理
- [ ] ❓ 其他,请描述:
# Ascend C 代码检视报告
## 检视信息
| 项目 | 内容 |
|------|------|
| **Commit ID** | 864ca861e83245c7a8e4df20d890e6153809c8a8 |
| **Commit Message** | fix: correct smoothScales buffer allocation size for pergroup quantization |
| **检视时间** | 2026-04-29 |
| **检视规范** | cpp-secure.md + cpp-general.md + ascendc-topk.md |
| **检视范围** | C++ 安全规范 + 通用编码规范 + TOPK高频问题 |
| **检视结论** | **PASS** |
| **风险点数量** | 0 |
---
## 变更文件清单
| 序号 | 文件路径 | 变更行数 | 检视范围 |
|-----|---------|---------|---------|
| 1 | mc2/moe_distribute_dispatch_v2/op_host/op_tiling/moe_distribute_dispatch_v2_tiling.cpp | +5 | Tiling侧(Host) |
| 2 | mc2/moe_distribute_dispatch_v2/op_kernel/arch35/moe_distribute_dispatch_v2_host_kfc.h | +5 | Kernel侧 |
| 3 | mc2/moe_distribute_dispatch_v2/op_kernel/moe_distribute_dispatch_v2.h | +6 | Kernel侧 |
| 4 | mc2/moe_distribute_dispatch_v2/op_kernel/moe_distribute_dispatch_v2_quant.h | +13 | Kernel侧 |
---
## 假设检验过程
### 代码段1:tiling.cpp(行1601-1611)
**原假设 H0**:新增的 scalesStorageShape 指针判空和 hFp32Size 计算逻辑是安全的。
**备择假设 H1**:存在指针解引用或整数运算风险。
**自信值初始化**:0%
---
#### 证据收集与评估
| 证据类型 | 分析动作 | 分析结果 | 证据分值 |
|---------|---------|---------|---------|
| **规范违反** | 检查指针判空(TOPK-1) | scalesStorageShape != nullptr 判断正确,符合要求 | 无违规 |
| **规范违反** | 检查整数溢出(规范2.1/2.2) | 发现潜在溢出风险点 | +40% |
| **上下文防御** | 检查业务约束保护 | **发现有效防御**:hMax=8192校验保护(行1119) | 无需额外防御 |
| **工具验证** | GCC builtin溢出检测 | 业务范围内(h≤8192)无溢出 | 无溢出 |
---
#### 业务约束证据链
**约束定义**(moe_distribute_dispatch_v2_tiling.cpp:116-118):
```cpp
constexpr int64_t H_MIN = 1024;
constexpr int64_t H_MAX = 8192;
constexpr int64_t H_MAX_LAYERED = 7168;
```
**约束校验**(moe_distribute_dispatch_v2_tiling.cpp:1119-1120):
```cpp
OP_TILING_CHECK((xDim1 < hMin) || (xDim1 > hMax), OP_LOGE(nodeName,
"xShape dims1(H) should be in [%ld, %ld], but got %ld.", hMin, hMax, xDim1),
return ge::GRAPH_FAILED);
```
**工具验证结果**:
使用 GCC builtin 函数在业务约束边界(h=8192)验证:
```bash
# 测试行1609: Ceil(hSize * sizeof(float), UB_ALIGN)
uint32_t dividend = 8192 * 4 = 32768
Ceil internal add overflow: NO
Ceil result = 32768
# 测试行1611: Ceil(hSize, PERGROUP_BLOCK_SIZE) * sizeof(float)
uint32_t ceilResult = Ceil(8192, 128) = 8192
ceilResult * 4 = 32768 (overflow: NO)
```
---
#### 自信值计算与决策
**证据汇总**:
- 发现潜在溢出风险:+40%(理论风险)
- 发现业务约束保护:-40%(有效防御)
- 工具验证无溢出:-40%(实际安全)
**自信值** = 40% - 40% - 40% = **-40%** < 60%
**决策**:**PASS**(业务约束保护 + 工具验证确认)
---
### 代码段2:quant.h(行94-97)
**原假设 H0**:新增的 smoothTailOffset_ 和 smoothTailCount_ 计算逻辑是安全的。
**备择假设 H1**:存在未初始化或整数运算风险。
**自信值初始化**:0%
---
#### 证据收集与评估
| 证据类型 | 分析动作 | 分析结果 | 证据分值 |
|---------|---------|---------|---------|
| **规范违反** | 检查变量初始化(规范3.1) | 成员初始化器 {0} 确保初始化 | 无违规 |
| **规范违反** | 检查整数溢出(规范2.2) | 发现潜在溢出风险点 | +40% |
| **上下文防御** | 检查业务约束保护 | axisH_ 来自 TilingData,已校验范围 | 有效防御 |
| **工具验证** | GCC builtin溢出检测 | 业务范围内无溢出 | 无溢出 |
---
#### 变量初始化证据
**类定义**(moe_distribute_dispatch_v2_quant.h:36-37):
```cpp
uint32_t smoothTailOffset_{0}; // ✅ 成员初始化器
uint32_t smoothTailCount_{0}; // ✅ 成员初始化器
```
符合规范 3.1:"变量使用前必须进行有效初始化"。
---
#### 工具验证结果
在业务约束边界(axisH_=8192)验证:
```bash
# 测试行94: Ceil(axisH * sizeof(float), UB_ALIGN) * UB_ALIGN / sizeof(float)
uint32_t ceilResult = Ceil(8192 * 4, 32) = 32768
ceilResult * 32 = 1048576 (overflow: NO)
```
---
#### 自信值计算与决策
**证据汇总**:
- 发现潜在溢出风险:+40%(理论风险)
- 变量已初始化:-40%(符合规范)
- 业务约束保护:-40%(有效防御)
- 工具验证无溢出:-40%(实际安全)
**自信值** = 40% - 40% - 40% - 40% = **-80%** < 60%
**决策**:**PASS**(初始化正确 + 业务约束保护 + 工具验证确认)
---
## 规范条款对照表
### C++ 安全编码规范(cpp-secure.md)
| 规范编号 | 规范名称 | 适用范围 | 检视结果 | 证据 |
|---------|---------|---------|---------|------|
| **2.1** | 有符号整数运算不溢出 | All | ✅ PASS | 业务约束(h≤8192)保护 |
| **2.2** | 无符号整数运算不回绕 | All | ✅ PASS | 业务约束保护 + 工具验证 |
| **2.3** | 除法/余数运算除零保护 | All | ✅ PASS | Ceil函数内置除零校验 |
| **3.1** | 禁止未初始化变量 | All | ✅ PASS | 成员初始化器 {0} |
| **TOPK-1** | 必须校验函数返回值 | Host | ✅ PASS | scalesStorageShape != nullptr |
| **TOPK-7** | 外部输入校验 | Host | ✅ PASS | hSize来自TilingData已校验 |
---
### C++ 通用编码规范(cpp-general.md)
| 规范编号 | 规范名称 | 适用范围 | 检视结果 | 证据 |
|---------|---------|---------|---------|------|
| **1.1** | 外部数据合法性检查 | All | ✅ PASS | OP_TILING_CHECK校验链 |
| **15.2** | 入参用const T&,出参用T* | All | ✅ PASS | 参数传递符合规范 |
---
### TOPK 高频问题清单(ascendc-topk.md)
| 序号 | 问题类型 | 适用范围 | 检视结果 | 证据 |
|-----|---------|---------|---------|------|
| **1** | 必须校验函数返回值 | Host | ✅ PASS | GetOptionalInputShape判空 |
| **7** | 融合规则/InferShape/Tiling外部输入校验 | Host | ✅ PASS | h参数范围校验 |
| **8** | gm内存偏移或大小必须用int64表示 | All | ✅ 不适用 | 本变更涉及UB大小计算 |
---
## 代码质量评估
### 变更意图与实现
**变更意图**:修正 PERGROUP_DYNAMIC_QUANT 模式下 smoothScales buffer 分配大小计算逻辑。
**实现评估**:
- ✅ 逻辑正确:从 Ceil(hSize * sizeof(float), UB_ALIGN) 改为 Ceil(hSize, PERGROUP_BLOCK_SIZE) * sizeof(float)
- ✅ 覆盖完整:Tiling侧 + Kernel侧(三个文件)同步修改
- ✅ 条件准确:仅在 PERGROUP_DYNAMIC_QUANT 且 isScales 时生效
- ✅ 注释更新:从 BS * K * 4B 改为 hAlign * 4B,语义更准确
### 安全性评估
| 评估项 | 评分 | 说明 |
|--------|------|------|
| **数值安全** | 100/100 | 业务约束保护 + 工具验证确认无溢出 |
| **内存安全** | 100/100 | 指针判空正确,变量初始化完整 |
| **输入验证** | 100/100 | h参数范围校验链完整 |
| **资源管理** | 100/100 | Buffer静态分配,无动态资源管理 |
---
## 检视结论
### 最终判定:**PASS**
**判定依据**:
1. **业务约束保护**:h参数在 Tiling 阶段校验范围 [1024, 8192],确保整数运算不会溢出
2. **工具验证确认**:使用 GCC builtin 函数在业务边界验证,无溢出触发
3. **代码规范合规**:
- TOPK-1:函数返回值判空正确
- 规范 3.1:变量初始化完整(成员初始化器 {0})
- 规范 2.3:Ceil 函数内置除零保护
4. **变更质量高**:意图清晰,实现正确,覆盖完整
### 安全边界说明
| 约束条件 | 具体内容 | 保护位置 |
|---------|---------|---------|
| **h范围** | [1024, 8192] (普通) / [1024, 7168] (layered) | moe_distribute_dispatch_v2_tiling.cpp:1119-1120 |
| **校验方式** | OP_TILING_CHECK((xDim1 < hMin) || (xDim1 > hMax), ...) | Tiling 阶段强制校验 |
### 未来扩展风险提示
**风险点**:若未来业务需求扩展 h 超过 8192,整数溢出风险将被激活。
**应对建议**:
- 若需支持更大 h(如 h > 268435456),应将 Ceil 函数返回值及中间变量改为 uint64_t
- 或在 Tiling 阶段增加额外校验:OP_TILING_CHECK(h * sizeof(float) > UINT32_MAX, ...)
---
## 附录:工具验证详细数据
### GCC builtin 溢出检测代码
```cpp
// 测试 Ceil 函数内部溢出
uint32_t dividend = 4294967292; // UINT32_MAX - 3
uint32_t divisor = 32;
bool addOverflow = __builtin_uadd_overflow(dividend, divisor - 1, ÷nd);
// 结果:YES(dividend接近UINT32_MAX时溢出)
// 测试业务约束边界(h=8192)
uint32_t hSize = 8192;
uint32_t dividend2 = hSize * 4; // 32768
bool mulOverflow = __builtin_umul_overflow(hSize, 4U, ÷nd2);
// 结果:NO(业务范围内安全)
```
### 大类型对比验证代码
```cpp
// uint32_t vs uint64_t 对比
uint32_t hSize = 8192;
uint32_t result32 = Ceil(hSize * 4, 32);
uint64_t result64 = Ceil((uint64_t)hSize * 4, 32);
// result32 = result64 = 32768(无截断)
```
---
## 检视签名
**检视人**:Ascend C Code Review Skill
**检视时间**:2026-04-29
**检视方法**:假设检验驱动 + 工具组合验证
**检视结论**:**PASS**(业务约束保护 + 代码规范合规)
See merge request: cann/ops-transformer!4770 | 30 天前 |
