feat(reconciler): sweeper потерянных webhook (реконсиляция застрявших стадий)

Конвейер продвигается только входящими webhook; потерянное событие (502 на
ребилде, отсутствие ретраев у Plane/Gitea, неразрезолвленный sha→branch)
оставляет задачу молча застрявшей (класс инцидента ORCH-044). Новый фоновый
daemon-поток src/reconciler.py (паттерн queue_worker) доигрывает пропущенный
переход через те же штатные гейты/обработчики, что и webhook:

- F-1 gate-side: для задач stage≠done, без активного job и age(updated_at) ≥
  grace_for_stage(stage) — read-only пред-оценка канонического QG; зелёный →
  stage_engine.advance_stage(..., finished_agent=None); красный → тишина (спам
  нотификаций структурно невозможен). analysis F-1 не трогает (человеческий гейт).
- F-2 plane-side: опрос Plane API per-project (plane_sync.list_issues_by_state,
  курсорная пагинация, never-raise) → реплей In Progress/Approved/Rejected через
  существующие handle_status_start/handle_verdict (async из sync-потока, asyncio.run).
- F-3: усиление sha→branch в handle_ci_status — БД-fallback по единственной
  development-задаче repo (неоднозначность → не резолвим), debug→info.
- Анти-дубль на создании (db.create_task_atomic под process-wide Lock): гонка
  reconcile↔webhook не плодит второй task/branch/worktree/analyst-job (AC-4).
- F-4 observability: лог-строка разблокировки + Telegram + блок reconcile в /queue.

Старт/стоп в main.lifespan (после worker.start() / перед worker.stop()),
restart-safe, never-raise на единицу работы. Kill-switches ORCH_RECONCILE_ENABLED
/ ORCH_RECONCILE_PLANE_ENABLED + grace-настройки. Схема БД и реестры
STAGE_TRANSITIONS/QG_CHECKS не менялись.

Тесты: test_reconciler.py, test_reconciler_plane.py, test_gitea_sha_resolve.py,
test_config.py (33 новых, 563 всего зелёные). Документация обновлена (golden source):
architecture/README.md, INFRA.md, README.md, CHANGELOG.md, adr-0007 → accepted.

Refs: ORCH-053

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

src/main.py

@@ -80,11 +80,19 @@ async def lifespan(app: FastAPI):
     from .queue_worker import worker
     worker.start()
 
+    # ORCH-053: start the stuck-task reconciler AFTER the worker so its active-job
+    # guard sees a fully-initialised queue. Kill-switch: ORCH_RECONCILE_ENABLED.
+    from .reconciler import reconciler
+    reconciler.start()
+
     try:
         yield
     finally:
-        # Graceful shutdown of the worker (running agents keep going; their jobs
-        # are requeued on next start via queue-recovery if the process dies).
+        # Graceful shutdown order mirrors startup in reverse: stop the reconciler
+        # first (it must not enqueue new work while the worker is winding down),
+        # then the worker. Running agents keep going; their jobs are requeued on
+        # next start via queue-recovery if the process dies.
+        reconciler.stop()
         worker.stop()
 
 
@@ -114,10 +122,12 @@ async def queue():
     """ORCH-1: job-queue observability — status counts + recent jobs."""
     from .db import job_status_counts, recent_jobs
     from .queue_worker import worker
+    from .reconciler import reconciler
     return {
         "counts": job_status_counts(),
         "max_concurrency": worker.max_concurrency,
         "poll_interval": worker.poll_interval,
         "resilience": worker.status(),
+        "reconcile": reconciler.status(),
         "recent": recent_jobs(10),
     }