# 02 — ТЗ: ORCH-082 (ORCH-81)

**Гарантированный идемпотентный код-PR перед merge-verify + наблюдаемость**

> Машина стадий, реестр `QG_CHECKS`, схема БД, exit-коды хука, контракты
> `check_deploy_status`/`_parse_deploy_status`, защита ORCH-073 (SHA-в-main) — **НЕ меняются**.
> Изменение — точечная врезка «ensure PR» в под-гейт merge-verify + новый идемпотентный
> PR-актор в `merge_gate` + структурное логирование.

---

## 1. Задействованные модули `src/`

| Модуль | Роль в задаче | Характер изменения |
|--------|---------------|--------------------|
| `src/merge_gate.py` | leaf-логика merge-актора (`merge_pr`, `verify_merged_to_main`, `pr_already_merged`) | **+ новый идемпотентный актор** `ensure_open_pr(repo, branch) -> (status, detail)` (never-raise). |
| `src/stage_engine.py` | под-гейт `_handle_merge_verify` на ребре `deploy → done` | **врезка:** вызвать `ensure_open_pr` ПЕРЕД `merge_pr`; на `failed` → честный HOLD+alert; логировать исход. |
| `src/agents/launcher.py` | `_ensure_pr` (текущий единственный создатель PR) | **усилить наблюдаемость** (различать created/existed/failed) — опционально переиспользовать новый актор `merge_gate.ensure_open_pr`, чтобы создание PR было единым кодом. Поведение «создавать только у developer» НЕ ужесточать без необходимости. |
| `src/config.py` | флаги | **+ kill-switch** `merge_verify_autocreate_pr_enabled` (дефолт `True`), область — та же `merge_verify_applies` (self-hosting / `merge_verify_repos`). |
| `docs/architecture/README.md`, `CHANGELOG.md` | golden source | обновить (раздел ORCH-071/073 merge-verify — дописать про авто-создание PR). |

> Точная сигнатура `ensure_open_pr`, имя/дефолт kill-switch и место врезки — за архитектором
> (ADR). Ниже — функциональные требования к поведению, не финальный дизайн.

## 2. Функциональные требования

### FR-1 — Идемпотентный PR-актор `merge_gate.ensure_open_pr(repo, branch)`
Возвращает структурированный исход (например `("existed"|"created"|"failed", detail)`):
1. `GET …/pulls?state=open` → если есть PR с **`head.ref==branch` И `base.ref=="main"`** →
   `("existed", <number>)`. **Фильтр идентичен `merge_pr`/ORCH-073 FR-3** — авто-docs-PR
   (`base != main`) НЕ считается код-PR.
2. Иначе `POST …/pulls` (`head=branch`, `base=main`, заголовок/тело — авто) → `201` →
   `("created", <number>)`.
3. Идемпотентность: если параллельно PR уже создан и Gitea вернёт ошибку «PR exists» —
   повторный `GET` подтверждает существующий PR и возвращает `("existed", …)`, **дубль не
   плодится** (AC-2).
4. Любая иная ошибка HTTP/parse/сети → `("failed", <reason>)`. **Never-raise.**

### FR-2 — Врезка в `_handle_merge_verify` (ребро `deploy → done`)
Внутри существующего `_handle_merge_verify`, ПОСЛЕ `merge_verify_applies(repo)`-гейта и
резолва `validated_revision`, но **ПЕРЕД** `merge_pr`:
- если `merge_verify_autocreate_pr_enabled` → вызвать `ensure_open_pr(repo, branch)`;
- `status == "created"|"existed"` → продолжить штатно к `merge_pr` → `verify_merged_to_main`;
- `status == "failed"` → **честный HOLD + alert** (как сегодняшний not-merged путь:
  `note_not_merged_alert` + `set_issue_blocked` + Plane-коммент + Telegram; задача остаётся на
  `deploy`, НЕ `done`, БЕЗ отката на development) с сообщением, отражающим «PR создать не
  удалось» (а не «PR не влит»).
- kill-switch off → текущее поведение 1:1 (никакого создания PR).

### FR-3 — Защита ORCH-073 цела (регресс-инвариант)
Создание PR **не подменяет** проверку слияния. После `ensure_open_pr` + `merge_pr` верификация
остаётся **только** `verify_merged_to_main` (SHA-в-main, ORCH-073 FR-1) + регресс-гард
(`check_main_regression`). Если код реально не оказался в `main` — HOLD сохраняется. Создание PR
лишь устраняет **ложный** HOLD «no open PR», который конвейер обязан был предотвратить.

### FR-4 — Наблюдаемость (G3)
В лог писать однозначный исход на каждом из мест работы с PR:
- `merge-verify ensure_open_pr -> created PR #N` /
- `… -> existed PR #N` /
- `… -> failed: <reason>`.
Сообщение HOLD при `failed` обязано отличаться текстом от HOLD «not merged» (оператор должен
видеть, что причина — невозможность создать PR, а не невозможность слить уже созданный).
Желательно — пометка исхода в `14-deploy-log.md` (best-effort, frontmatter `deploy_status:`
нетронут).

### FR-5 — Идемпотентность повторного прохода
Повторный заход в merge-verify (reaper / reconciler / повторный approve) при уже существующем
PR → `ensure_open_pr` возвращает `("existed", …)`, `merge_pr` → `already-merged`/штатно — **без
дублей PR и без побочных эффектов** (INV-5/AC-9 ORCH-073 сохранены).

## 3. Изменения API (HTTP / внутренние)
- **Внешний HTTP API сервиса — без изменений** (новых endpoint нет).
- **Исходящие вызовы Gitea:** новый `POST /api/v1/repos/{owner}/{repo}/pulls` из контекста
  merge-verify (тот же вызов, что уже делает `_ensure_pr`); чтение — существующий
  `GET …/pulls?state=open`.
- **Внутренний контракт `merge_gate`:** новая публичная функция `ensure_open_pr` (leaf,
  never-raise), вызывается из `stage_engine._handle_merge_verify` (и опционально из
  `launcher._ensure_pr`).

## 4. Изменения схемы БД
**Нет.** Состояние идемпотентности выводится из самого Gitea (наличие открытого PR), миграции
не требуются. (Согласуется с restart-safe-моделью merge-verify.)

## 5. Требования к новым QG checks
**Новых зарегистрированных QG-checks нет.** Это под-гейт-врезка в `advance_stage`
(`_handle_merge_verify`), как и сам ORCH-071 merge-verify — не отдельный `QG_CHECKS`-элемент.
Реестр `QG_CHECKS` не трогается.

## 6. Конфигурация / kill-switch
- `merge_verify_autocreate_pr_enabled: bool = True` (env `ORCH_MERGE_VERIFY_AUTOCREATE_PR_ENABLED`).
  `False` → ровно прежнее поведение (нет авто-создания PR; «no open PR» → HOLD как раньше).
- Область действия — `merge_gate.merge_verify_applies(repo)`: реально только для self-hosting /
  `merge_verify_repos`; прочие репо — no-op.

## 7. Артефакты pipeline (создать/обновить)
- `docs/work-items/ORCH-082/06-adr/ADR-001-*.md` — архитектор (root cause G1 + дизайн ensure-PR).
- `12-review.md`, `13-test-report.md`, `14/15/16-*` — последующие стадии.
- Обновить `docs/architecture/README.md` (блок ORCH-071/073) и `CHANGELOG.md` — в ТОМ ЖЕ PR
  (правило агентов №2/№6).

## 8. Инварианты (не нарушать)
- `STAGE_TRANSITIONS`, `QG_CHECKS`, схема БД, `check_deploy_status`/`_parse_deploy_status`,
  exit-коды хука, terminal-sync, merge-gate (ORCH-043), image-freshness (ORCH-058) — **без
  изменений**.
- Контракт **never-raise** на всём пути merge-verify (INV-1 ORCH-073).
- Слияние только через PR (`POST /pulls/{index}/merge`); `main` никогда не push/force-push.
- Защита ORCH-073 (SHA-в-main + регресс-гард) приоритетна: при конфликте «создать PR» проигрывает
  «не дать ложно-зелёный done».